我的系统被入侵了吗?我收到了有关 ntoskrnl.exe 的消息

我的系统被入侵了吗?我收到了有关 ntoskrnl.exe 的消息

我不确定这个问题是不是她提出的,但让我试试。

今天早上我到办公室的时候,我的一个同事的笔记本电脑出了问题,他告诉我他无法重新启动它,当他终于重新启动时,他收到了以下消息,上面说所有信息都来自我的 IP(笔记本电脑)

Application has changed since the last time you opened it, process id: 0
Filename: C:\Windows\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\Windows\system32\ntoskrnl.exe
---- New modules: 0 ----

我对笔记本电脑做的唯一改变就是打开XP_cmdshell昨天我无法运行一些 T-SQL 脚本。我不知道这是否相关。

我使用的是 win xp sp3 和 SQL server 2008

请帮助我了解我的系统是否受到了损害并且这是否是一个问题。

谢谢,

更新:我运行了防病毒软件并且它已经清理干净!

答案1

您可以在系统上运行系统文件检查器吗?在命令提示符下输入 sfc/runnow,并确保手边有 Windows XP 磁盘。

答案2

我认为这取决于你的脚本的作用。

要查看您的系统是否感染了某种病毒,我会开始使用您最喜欢的扫描仪的更新防病毒定义以及广告感知和间谍机器人搜索和摧毁来扫描它。您还可以运行进程资源管理器来测试并查看后台是否有异常进程在运行和自动运行(这两者都是 Sysinternals 的一部分,可在 Google 上免费下载)。

如果您熟悉 Linux,则可以设置系统或 VM 来拦截笔记本电脑的网络流量(或在交换机上安装镜像端口),监控笔记本电脑的传出网络流量以查找可疑活动,并检查网络上其他机器的日志以查看您的计算机是否试图访问文件或未经许可将内容复制到其他地方。如果您是网络上的管理员用户,则无法确定恶意软件可以通过隐藏的系统共享和您有合法访问权限的其他共享传播到多远。使用新的病毒定义更新服务器并让它们也进行扫描。

如果在检查您自己的系统后没有发现什么问题,您也可以在同事的计算机上运行 chkdsk,只是为了检查是否由于某种原因存在损坏,但您说这记录在某个地方,并且显示了您的系统的 IP……所以这很奇怪。

尽快离线运行尽可能多的检查。您需要在线足够长的时间才能获得更新和最新签名,听起来如果有感染,损害已经造成,但尽快让您的笔记本电脑离线以检查感染并进行清理。

此链接似乎有一些关于间谍软件清除的好的信息。

答案3

您描述的消息文本听起来像是 Sygate 个人防火墙应用程序生成的内容。

如果您的同事刚刚安装了上个月的安全补丁,那么这可能与此有关,2010 年 2 月的补丁包括对 Windows 内核(又名 ntoskrnl.exe)的更新。如果存在内核问题,那么系统更有可能出现蓝屏,而崩溃转储将为您提供大量信息,这些信息可以指向问题软件或可能的感染。

即使导致此消息的原因是良性的,系统上仍可能存在恶意软件。我建议您寻找其他入侵指标(性能不佳、奇怪的出站网络流量、愚蠢的弹出窗口等)。

相关内容