ntoskrnl.exe - в сети !?

Коллеги кто владеет инф. подскажите как избавиться!
Стоит Win2k,
есть VPN соединение по L2tp, во время идентификации...
файл ядра NTOSKRNL.EXE просит коннект с IP сервера провайдера,
если запрещаю - внешняя сеть падает, локальная остается.
Если разрешаю (в сетевом экране) висит соединение типа:
ntoskrnl.exe connect 0.0.0.0>45.46.123.230 ....\system32\ntoskrnl.exe
и сеть нормально работает.
ntoskrnl.exe проверен, оригинальный.
Послал скриншоты админу - и тишина...

 

nik_car, а шо есть такой ПРОЦЕСС ntoskrnl.exe?

 

nik_car
Не хочу пугать, но думаю это типа "добро пожаловать в ботнет" Судя по whois с ping.eu сеть 45 зарегана в/для города Chantilly в Америке. Город не сильно известный, могли и ломануть по тихому...

 

процесс нтоскрнл это сильно)
проверь image path ещё раз. вдруг это c:\temp\ntoskrnl.exe например =)

 

гг, велком ту ботнет бро

http://www.wilderssecurity.com/showthread.php?t=224240
http://forums.techguy.org/windows-xp/357747-ntoskrnl-exe-trying-access-internet.html

 

Всем - спасибо за желание помочь.
Но, ntoskrnl абсолютно оригинальный, оттестен и онлайн/av и офлайн.
MS support - тоже подтвердил, что все в порядке. Порты netbios закрыты.
Читал по ссылке (zabej - отдельно благодарю) -
есть ТОЧНО такая же тема на www.wilderssecurity.com/showthread.php?t=224240,
но - решения НЕТ.
Админ юлит, пишет что то про свои настройки L2TP протокола...

Может быть ещё кто то в курсе проблемы ?

 

Вообще на самом деле ntoskrnl в процессах вериться не может, к тому же вы проверяете и вправду оргинальный фал а скорее всего файл в другом месте лежит.

 

Вроде бы нет, судя по ответам моего админа;
насколько мне доступно - подмену пути проверял.

 

А чем Вы активность смотрите? Возможно ядро тут действительно не при чем, просто кто-то подменяет имя файла

 

Смотрю через fwoll

 

nik_car
Файл проверял в своей системе и через ЛивСиДи? В системе возможна "подстава". Также через ЛивСиДи надо клон его искать. Возможно вообще его патчат в памяти.
Порты Нетбиоса вообще слева - когда они открыты, возможно заражение. То что они закрыты - означает что сейчас через них заразится нельзя и ВСЕ.

 

прогоните каким-нибудь антируткитом, и посмотрите processexporer'ом еще, например.

 

Только сейчас увидел. Тяжелый случай. Надеюсь SP4 ? Тут может быть все что угодно : например, просто глюки устаревшей системы, глюки firewall и т.п.

 

не вникая, сказал бы, что это штатная работа VPN-соединения в L2TP. Там наверно еще и IpSec включается. А IP 45.46.123.230 - это по пылез American Registry for Internet Numbers. Не в курсе что они там за интернет числа регистрируют (оказалось что IP и DNS, аналог whois, и криптозащита тоже один из сервисов), но возможно что как раз для IpSec какая-нибудь ключевая информация. Короче, нефиг тратить время на антируткиты - так винда работает, забить и принять.

 

SP4 !
Да уж, все стандартные перепробовал, но весь фокус в том, что
файл отвечает за картинку при старте sys... а значит может
скринить монитор.... тем более, что его коннект на сервер провайдера,
а адрес 45. .. .. вписал левый - для примера.

 

------------------------------------------------------------------------------------

не вникая... - тоже спасибо, но ipsec не вкл. А ip - для примера вписал,
чтобы реальный не светить.

 

Так сходи на ping.eu и посмотри по whois куда он ломится. Если к провайдеру, то все нормально.

 

ломится именно к провайдеру, но melkosoft отписал мне, что этого быть не должно..,
а а-мин мне лепит про какую то политику компании и ТОЧНО такая же тема на www.wilderssecurity.com/showthread.php?t=224240,
но - решения и там НЕТ.

 

проверяю регулярно sys через разные PE. И ТОЧНО такая же тема на www.wilderssecurity.com/showthread.php?t=224240,
но - решения и там НЕТ.

 

писал вам на мыло но без ответа. ТОЧНО такая же тема на www.wilderssecurity.com/showthread.php?t=224240,
но - решения и там НЕТ.