The executable has changed since the last time you used

ich_bins

New member
hallo,

benutze xp prof sp2 inkl aller patches und die sygate pf. Diese hat mir vorhin folgendes gemeldet....

The executable has changed since the last time you used: C:\WINDOWS\system32\ntoskrnl.exe
File Version : 5.1.2600.2622
File Description : NT-Kernel und -System
File Path : C:\WINDOWS\system32\ntoskrnl.exe
Process ID : 0x4 (Heximal) 4 (Decimal)

Connection origin : local initiated
Protocol : Raw Ethernet
Local Address : 0.0.0.0
Local Port : 0
Remote Name :
Remote Address : 0.0.0.0
Remote Port : 0

Ethernet packet details:
Ethernet II (Packet Length: 56)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-c0-df-11-a7-71
Type: ARP (0x0806)
Address Resolution Protocol (ARP)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: Request


Habe heut morgen die neusten xp-patches aufgespielt und danach neu gebootet.
Die Meldung der Firewall kam allerdings erst ca 2 Stunden nach dem reboot.
Google ergibt auch net mehr als ich so schon weiss, aber vielleicht kann ja einer von euch mit der genauen Meldung was anfangen.
Für Hilfe und Tips wäre ich dankbar.

gruss...ich
 

SUID:root

Member of Honour
Hallo.

Die PFW legt eine Checksumme von den EXE-Files an. Sobald sich diese ändern (bspw. durch ersetzen mit einer schadhaften EXE), wird bei der nächsten Prüfung ein Alarm ausgegeben.

Dies ist bei dir der Fall durch die Patches. Warum die PFW das aber erst zwei Stunden später meldet, kann ich dir nicht sagen.
Würde mir da keinen Kopf machen. Die Datei wurde wohl kaum in den zwei Stunden kompromitiert.
Möglich aber unwahrscheinlich.

Grüsse

root
 

ivegotmail

Member of Honour
also wenn du davor die neuen patches installiert hast, würd ich mir da keine sorgen machen.
da es sich bei dem überwachungsprogramm um eine firewall handelt, würde ich mal vermuten dass nur dateien mit netzwerkaktivitäten kontrolliert werden. so das die meldung vielleicht erst nach 2 stunden kam, weil ntoskrnl.exe erst später irgendwelche netzwerkaktivitäten hatte. *vermut*
 

ich_bins

New member
ok, dann danke ich erst mal für die schnelle aufklärung

schade, dass ich net die zeit hab mir netzwerkmässig das nötige wissen anzueignen.
so bleibt mir wieder mal ein etwas unsicheres gefühl im hinterkopf, aber vielleicht hab ich ja auch nur zuviel paranoia :D

gruss...ich
 
Oben