ntoskrnl.exe geïnfecteerd met funlove virus?

Wat zegt je virusscanner? In ieder geval hoort die file daar niet thuis, het is niet iets van Windows zelf in ieder geval.

Stuur de file eens aub.
Zie sig voor mail.

BigFast schreef op 31 januari 2004 @ 14:28:
ah het is ntoskRNl... foutje heb hem getuurd...

ntoskml hoort daar iig niet thuis, ntoskrnl is de NT Operating System Kernel... Die hoort daar wel te staan

XanderH schreef op 31 januari 2004 @ 14:29:
[...]


ntoskml hoort daar iig niet thuis, ntoskrnl is de NT Operating System Kernel... Die hoort daar wel te staan

inderdaad, gewoon laten staan.

En vertelt de firewall ook nog waar ntoskrnl naar wil connecten (IP/port) ?

BigFast schreef op 31 januari 2004 @ 14:31:
Hmm maar dan vind ik het nog raar dat hij geblockt wordt door mijn firewall

Hoezo wordt hij "geblockt"?
Geeft je firewall aan dat ntoskrnl.exe contact wil maken met het internet ofzo??

BigFast schreef op 31 januari 2004 @ 14:28:
ah het is ntoskRNl... foutje heb hem gestuurd...
Hmm hotmail vind hem niet leuk te groot ruim 1.7mb... waar kan ik hem makkelijk oploaden??

Eigen webspace?

BigFast schreef op 31 januari 2004 @ 14:39:
Maar dan nog snap ik niet waarom hij geblockt wordt.
De firewall geeft aan dat hij niet op het netwerk mag.

Het lijkt me dat je zoiets zelf kunt instellen

W32.FunLove.4099 has the opportunity to modify the Ntoskrnl.exe file, the Windows NT kernel located in the \Winnt\System32 folder.
http://securityresponse.s...ata/w32.funlove.4099.html

Fix: http://www.symantec.com/a...fix.dos.funlove.4099.html

Hmm hotmail vind hem niet leuk te groot ruim 1.7mb... waar kan ik hem makkelijk oploaden??

Gebruik (Win)Rar/Zip zijn split functie en verdeel hem over meerdere mailtjes

[ Voor 51% gewijzigd door Anoniem: 44568 op 31-01-2004 14:51 ]

De file die je me gestuurd hebt, ntkrnlpa.exe, is gewone windows file.
Wel niet de laatste versie trouwens..

Topictitel bijgeschaafd

Zolang jij alles zonder problemen kan doen zou ik hem juist geen toegang geven tot het internet.

Het lijkt me niet iets van Windows, dat dit proces wil connecten, dat ligt vast wel aan iets anders. Anders zouden we dit proces wel terug kunnen vinden in de firewall-settings. Hetzelfde geldt overigens voor NTOSKRNL.exe, die hoort dat ook niet te doen. Toch even zoeken naar een ander verdacht proces..

Heeft Schouw jouw NTOSKRNL ook gecheckt?

[ Voor 7% gewijzigd door BoGhi op 31-01-2004 22:54 ]

Anoniem: 44568 schreef op 31 januari 2004 @ 14:48:
Gebruik (Win)Rar/Zip zijn split functie en verdeel hem over meerdere mailtjes

Of gebruik gewoon outlook express?

Jij weet niet of de MUA aan de andere kant dat wel vreet, of wel?

BigFast schreef op 01 februari 2004 @ 00:03:
ja dus Maar wat het wel is weet ik nog steeds niet. Dat hij geblockt werd vind ik dus gek, zoals ik al aangaf. Dat zou niet moeten gebeuren met een standaard windows service.

ik heb hetzelfde probleem. alleen heet het bij mij ntoskrnl.exe en zit het in system32. ik heb al voor allow gekozen en toch krijg ik elke minuut een popup met geluidje erbij dat ntoskrnl.exe geprobeerd heeft op internet te komen en dat het is geblokt door sygate, ik heb ook 1000 keren de vakje "dont show this message anymore" aangevinkt, zelfs gescand met KAV 5.0 en nu met 4.5, vind nix en helpt helemaal nix zo te lezen lijkt het gwoon een windowsapplicatie te zijn omdat hij een versie nummer heeft (wat virsussen doorgaans nie hebben)



heb overigens XP prof SP2

Krijg je nog meer meldingen Mr Tweak? Misschien een optie om even een andere firewall te proberen en/of het bestand even door jotti's online virus/malware scan? http://virusscan.jotti.dhs.org

Ook een online scan bij bijvoorbeeld http://housecall.antivirus.com

nee verder geen meldingen. zo en nu dan portscan meldingen. dit probleem ontstond nadat sygate een nieuwe firewall beschikbaar had gesteld (1 maand voordat SP2 NL uitkwam of zo) en toen had ik last van dit verschijnsel, heb toen kerio PF uitgeprobeerd, toen SP2 NL firewall, en onlangs Kaspersky Anti-Hacker maar ik kreeg 6 Bluescreens door KAH en nu ben ik weer terug bij Sygate.... KAH vertelde me wel dat ik per dag 1000 inbraakpogingen kreeg van LoveSan besmette pc dat zelfde range had als mijn pc 62.234.***.*** en dat ze allemaal afgeweerd werden. 1 keer door HelKern.

maar online scan heb ik nog niet gedaan, pc is gisteren geformatteerd omdat ik KAV 4.5 niet goed kon installeren en kreeg hem ook niet meer eruit en toen kon KAV 5.0 ook niet meer erop... dus ik heb nu een schone installatie dus lijkt me krom dat me pc dan nog besmet is?

edit: virusscan jotti ben ik nu ff aan het doen

File: ntoskrnl.exe Status: OK Packers detected: None AntiVir No viruses found (0.16 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.32 seconds taken) ClamAV No viruses found (0.58 seconds taken) Dr.Web No viruses found (0.63 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.57 seconds taken) mks_vir No viruses found (0.43 seconds taken) NOD32 No viruses found (0.34 seconds taken) Norman Virus Control No viruses found (0.29 seconds taken)

[ Voor 30% gewijzigd door Anoniem: 99760 op 12-11-2004 12:46 ]

Dit is wel een oud topic; maar ik move het toch maar even naar BV

SA > BV

dank u

ennuh voor de anderen: housecall online test draait nu

Als je sygate firewall opent en met de muis boven een van de 'ntoskml.exe' sweeft, zie je waarvan die is (bv netbios service etc.).

Anoniem: 123452 schreef op 12 november 2004 @ 12:52:
Als je sygate firewall opent en met de muis boven een van de 'ntoskml.exe' sweeft, zie je waarvan die is (bv netbios service etc.).

online scan van housecall is voltooid, geen virussen gevonden.

ik ben met me muis boven ntoskrnl.exe gaan zweven en zie helemaal niets, bij andere applicaties zie ik wel wat maar bijv bij IE en messenger zie ik ook niets. en overigens zit ik normaal gesproken op details, voor jouw manier moest ik switchen naar large icons.

anyways het lijkt erop dat het toch geen virus is maar eerder een flinke fout van sygate die ze na 4 a 5 maanden nog altijd niet opgelost hebben...

in de tussentijd dat ik hier heb zitten posten kreeg ik nog steeds elke minuut die popup en ik wordt er razend gestoord van... in traffic log is te lezen dat ntoskrnl allowed maar blijkbaar toch niet helemaal. hoe heeft de topicstarter het overigens opgelost (als het al opgelost is tenminste, ik geloof niet dat hij 3 maanden tegen popups heeft willen aankijken)

edit: ik heb sygate verwijderd, wordt gestoord van die melding....

[ Voor 25% gewijzigd door Anoniem: 99760 op 12-11-2004 15:02 ]

Tijdens de herinstalatie de pc met internet verbonden gehad.
Het is nl. verstandig bij een herinstalatie van xp. Pas na de installatie van sp2 de pc met internet te verbinden. Zo word nl. besmeting met een worm voorkomen.

hessel schreef op vrijdag 12 november 2004 @ 18:47:
Tijdens de herinstalatie de pc met internet verbonden gehad.
Het is nl. verstandig bij een herinstalatie van xp. Pas na de installatie van sp2 de pc met internet te verbinden. Zo word nl. besmeting met een worm voorkomen.

ik heb een inbelverbinding, dus ik had geen internet voordat windows setup is voltooid, en dan nog moet ik handmatig de inbelgegevens invoeren en dan nog heb ik een windows cd met sp2 erop geslipstreamed.

ik heb nou outpost geinstalleerd en ik kijk ff of het me bevalt...

Heeft er iemand al een oplossing want ik heb dezelfde irritante pop-up window. Heb process NTOSKRNL nochtans op 'doorlaten' gezet...

Dit kan helpen:
http://forum.faqman.nl/messages/6/69780.html?1105627704

[ Voor 38% gewijzigd door Anoniem: 42943 op 16-04-2005 13:14 ]

fraggel zit al op de nieuwste sygate 5.6 ? iig heb ik geen last meer van die melding sinds ik een andere modem heb (motorola ipv com 21).

versie 5.6 build 2808.

Sinds ik die optie opgezet heb, krijg ik ze precies niet meer. Nu ja, heb nog niet genoeg voor mijn PC gezeten om te weten of het goed is.