[HaBo]

ich_bins · 13.04.05, 13:00

hallo,

benutze xp prof sp2 inkl aller patches und die sygate pf. Diese hat mir vorhin folgendes gemeldet....

The executable has changed since the last time you used: C:\WINDOWS\system32\ntoskrnl.exe
File Version : 5.1.2600.2622
File Description : NT-Kernel und -System
File Path : C:\WINDOWS\system32\ntoskrnl.exe
Process ID : 0x4 (Heximal) 4 (Decimal)

Connection origin : local initiated
Protocol : Raw Ethernet
Local Address : 0.0.0.0
Local Port : 0
Remote Name :
Remote Address : 0.0.0.0
Remote Port : 0

Ethernet packet details:
Ethernet II (Packet Length: 56)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-c0-df-11-a7-71
Type: ARP (0x0806)
Address Resolution Protocol (ARP)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: Request

Habe heut morgen die neusten xp-patches aufgespielt und danach neu gebootet.
Die Meldung der Firewall kam allerdings erst ca 2 Stunden nach dem reboot.
Google ergibt auch net mehr als ich so schon weiss, aber vielleicht kann ja einer von euch mit der genauen Meldung was anfangen.
Für Hilfe und Tips wäre ich dankbar.

gruss...ich

SUID:root · 13.04.05, 13:10

Hallo.

Die PFW legt eine Checksumme von den EXE-Files an. Sobald sich diese ändern (bspw. durch ersetzen mit einer schadhaften EXE), wird bei der nächsten Prüfung ein Alarm ausgegeben.

Dies ist bei dir der Fall durch die Patches. Warum die PFW das aber erst zwei Stunden später meldet, kann ich dir nicht sagen.
Würde mir da keinen Kopf machen. Die Datei wurde wohl kaum in den zwei Stunden kompromitiert.
Möglich aber unwahrscheinlich.

Grüsse

root

Anzeige

- Anzeige -

ivegotmail · 13.04.05, 13:13

also wenn du davor die neuen patches installiert hast, würd ich mir da keine sorgen machen.
da es sich bei dem überwachungsprogramm um eine firewall handelt, würde ich mal vermuten dass nur dateien mit netzwerkaktivitäten kontrolliert werden. so das die meldung vielleicht erst nach 2 stunden kam, weil ntoskrnl.exe erst später irgendwelche netzwerkaktivitäten hatte. *vermut*

ich_bins · 13.04.05, 13:30

ok, dann danke ich erst mal für die schnelle aufklärung

schade, dass ich net die zeit hab mir netzwerkmässig das nötige wissen anzueignen.
so bleibt mir wieder mal ein etwas unsicheres gefühl im hinterkopf, aber vielleicht hab ich ja auch nur zuviel paranoia

gruss...ich

Anzeige

- Anzeige -

13.04.05, 13:00	#1 (permalink)
ich_bins Registriert seit: 28.10.04 Likes: 3	The executable has changed since the last time you used Anzeige hallo, benutze xp prof sp2 inkl aller patches und die sygate pf. Diese hat mir vorhin folgendes gemeldet.... The executable has changed since the last time you used: C:\WINDOWS\system32\ntoskrnl.exe File Version : 5.1.2600.2622 File Description : NT-Kernel und -System File Path : C:\WINDOWS\system32\ntoskrnl.exe Process ID : 0x4 (Heximal) 4 (Decimal) Connection origin : local initiated Protocol : Raw Ethernet Local Address : 0.0.0.0 Local Port : 0 Remote Name : Remote Address : 0.0.0.0 Remote Port : 0 Ethernet packet details: Ethernet II (Packet Length: 56) Destination: ff-ff-ff-ff-ff-ff Source: 00-c0-df-11-a7-71 Type: ARP (0x0806) Address Resolution Protocol (ARP) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: Request Habe heut morgen die neusten xp-patches aufgespielt und danach neu gebootet. Die Meldung der Firewall kam allerdings erst ca 2 Stunden nach dem reboot. Google ergibt auch net mehr als ich so schon weiss, aber vielleicht kann ja einer von euch mit der genauen Meldung was anfangen. Für Hilfe und Tips wäre ich dankbar. gruss...ich

13.04.05, 13:13	#3 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	also wenn du davor die neuen patches installiert hast, würd ich mir da keine sorgen machen. da es sich bei dem überwachungsprogramm um eine firewall handelt, würde ich mal vermuten dass nur dateien mit netzwerkaktivitäten kontrolliert werden. so das die meldung vielleicht erst nach 2 stunden kam, weil ntoskrnl.exe erst später irgendwelche netzwerkaktivitäten hatte. vermut __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Once upon a time in IRC	sw33tlull4by	Fun Section	3	27.09.09 00:17
PE - Datei an Executable anhängen	petrLo	Code Kitchen	10	28.11.08 22:19
C++ // Kompilierte Executable läuft auf keinem anderen PC	aelo	Code Kitchen	17	05.07.08 21:16
The boot devices had been changed. Please enter Setup to check.	NMK	Die Problemzone	2	03.07.07 15:00
First Time	DocZimmermann	Spiced Pork and Ham - Spam & seine Brüder	17	25.06.05 12:38

13.04.05, 13:10	#2 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Hallo. Die PFW legt eine Checksumme von den EXE-Files an. Sobald sich diese ändern (bspw. durch ersetzen mit einer schadhaften EXE), wird bei der nächsten Prüfung ein Alarm ausgegeben. Dies ist bei dir der Fall durch die Patches. Warum die PFW das aber erst zwei Stunden später meldet, kann ich dir nicht sagen. Würde mir da keinen Kopf machen. Die Datei wurde wohl kaum in den zwei Stunden kompromitiert. Möglich aber unwahrscheinlich. Grüsse root

13.04.05, 13:30	#4 (permalink)
ich_bins Themenstarter Registriert seit: 28.10.04 Likes: 3	ok, dann danke ich erst mal für die schnelle aufklärung schade, dass ich net die zeit hab mir netzwerkmässig das nötige wissen anzueignen. so bleibt mir wieder mal ein etwas unsicheres gefühl im hinterkopf, aber vielleicht hab ich ja auch nur zuviel paranoia gruss...ich

[HaBo]

The executable has changed since the last time you used