View Full Version : Kernel 34,31 & services32?????????
PainkiLer
27-06-2007, 10:54
Καλημερα.
Την τελευταια εβδομαδα αυτα τα αρχεια Kernel 34,31 & services32 προσπαθουν να μπουν στο internet απο το pc μου.Δεν μπορω να βρω απο ποιο προγραμμα προερχονται και οταν τα σβηνω ξαναεμφανιζονται.Αυτα τα αρχεια βρησκονται στο c:\ "πεταμενα".Τι να κανω; Να τα σβησω απο την registry;Μηπως ειναι ιοι;Επισης το system32 εχει τρελο upload!
Δεν καταλαβα τιποτα μα τιποτα ομως. Ενας ειναι ο kernel του Nod το αρχειο nod32krn.exe. Μπορεις να εξηγησεις λιγο καλυτερα οπως παραδειγμα τα ονοματα το αρχειων αυτων και τι εννοεις τρελο upload. Δηλαδη προγραμματα απο το system32 ζητανε συνεχεια προσβαση στο internet?
PainkiLer
27-06-2007, 13:20
Σορρυ.
Λοιπον μου εχει στον C:\ ενα αρχειο που λεγεται kernel34 το οποιο λεει πως ειναι sqm file,αλλα εχει εικονιδιο με την μορφη αρχειου .exe.Μαζι με αυτο (παρατηρησα μολις τωρα) οτι υπαρχουν και αλλα πολλα sqm files.Βασικα δεν ξερω που πηγαινουν οι εικονες απο το print screen για να σας δειξω ακριβως τι εννοω.Ας μου πει καποιος παρακαλω για να εχουμε εικονα του προβληματος στην κυριολεξια!
anonymous-root
27-06-2007, 17:38
sqm files είναι από το πρόγραμμα βελτίωσης εμπειρίας πελατών του MSN messenger. μπορείς να τα σβήσεις.
Τα άλλα kernel κτλ είναι 99% malware.
Οι εικονες απο print screen πανε στο clipboard. Αφου δηλαδη κανεις print screen θα ανοιξεις τη ζωγραφικη και θα κανεις εκει δεξι κλικ και επικολληση. Ετσι θα σου βγαλει εκει την εικονα. Μετα απλος σωζεις την εικονα απο τη ζωγραφικη σαν jpeg καπου και την ανεβαζεις στο forum
PainkiLer
28-06-2007, 22:15
Δεν χρειαζεται να κανω print screen,για να εξηγησω.Ευχαριστω παντως.Λοιπον τα αρχεια kernel δημιουργουνται απο το nod32,το οποιο μου γραφει συνεχεια οτι εχω ενα αρχειο που λεγεται a.bat και ειναι trojan.Αλλα δεν το εσβηνε.Τωρα πηγα στα quarantine files και το εσβησα.Θα δειξει.
Εχω αλλο ενα προβλημα!Το zone alarm δεν μπορει να κανει update.Τι μπορει να φταιει?
Παντως το format δεν το γλιτωνω.Καιρος ηταν, να κανω ενα μετα απο 8 μηνες συνεχεια στο net.
Το za δινει καποιο μηνυμα λαθους? Ετσι οπως τα λες φαινεται οτι καποιο malware απο μεσα μπλοκαρει το update και ενας συνηθισμενος τροπος ειναι να πειραζουν το αρχειο hosts (C:\WINDOWS\system32\drivers\etc\). Ανοιξε το και δωσε μας τα δεδομενα που εχει μεσα
PainkiLer
29-06-2007, 22:40
Αυτα γραφει το αρχειο hosts!Το αρχειο hosts του msn γραφεi ακριβως τα ιδια.Και το lmhosts θα δειτε παρακατω.
HOSTS:
# Πνευματικά δικαιώματα (C) 1993-1999 Microsoft Corporation
#
# Αυτό είναι ένα δείγμα αρχείου HOSTS που χρησιμοποιείται από το
# Microsoft TCP/IP για τα Windows.
#
# Αυτό το αρχείο περιέχει τις αντιστοιχήσεις των διευθύνσεων IP στα
# ονόματα κεντρικών υπολογιστών. Κάθε καταχώρηση θα πρέπει να
# καταλαμβάνει μια ξεχωριστή σειρά. Η διεύθυνση IP θα πρέπει να
# τοποθετείται στην πρώτη στήλη, ακολουθούμενη από το αντίστοιχο
# όνομα κεντρικού υπολογιστή. Η διεύθυνση IP και το όνομα κεντρικού
# υπολογιστής θα πρέπει να διαχωρίζονται με ένα τουλάχιστον διάστημα
#
# Επιπλέον, σχόλια (όπως αυτά εδώ) θα πρέπει να εισάγονται σε
# ξεχωριστές σειρές ή να ακολουθούν το όνομα του υπολογιστή,
# επισημαίνουσες με ένα σύμβολο '#'.
#
# Για παράδειγμα:
#
# 102.54.94.97 rhino.acme.com # διακομιστής προέλευσης
# 38.25.63.10 x.acme.com # x κεντρικό πρόγραμμα-πελάτη
127.0.0.1 localhost
LMHOST:
#Πνευματικά δικαιώματα (c) 1993-1999 Microsoft Corporation
#
# Αυτό είναι ένα δείγμα αρχείου LMHOSTS που χρησιμοποιείται από το Microsoft TCP/IP για Windows.
#
# Αυτό το αρχείο περιέχει τις αντιστοιχίσεις των διευθύνσεων IP στα ονόματα
# (NetBIOS) των υπολογιστών. Κάθε καταχώρηση θα πρέπει να καταλαμβάνει μια
# ξεχωριστή σειρά. Η διεύθυνση IP θα πρέπει να τοποθετείται στην πρώτη στήλη,
# ακολουθούμενη από το αντίστοιχο όνομα υπολογιστή. Η διεύθυνση και το όνομα
# υπολογιστή θα πρέπει να διαχωρίζονται με ένα τουλάχιστον διάστημα ή tab.
Ο χαρακτήρας "#" χρησιμοποιείται συνήθως για την επισήμανση της αρχής ενός
# σχολίου (δείτε τις παρακάτω επεκτάσεις).
#
# Αυτό το αρχείο είναι συμβατό με τα αρχεία Microsoft LAN Manager 2.x TCP/IP
lmhosts και παρέχει τις παρακάτω επεκτάσεις:
#
# #PRE
# #DOM:<τομέας>
# #INCLUDE <όνομααρχείου>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (υποστήριξη μη εκτυπώσιμων χαρακτήρων)
#
# Η προσθήκη του χαρακτήρα "#PRE" σε κάθε καταχώρηση του αρχείου θα έχει σαν
# αποτέλεσμα την προκαταβολική φόρτωση της καταχώρησης στη μνήμη cache των
# ονομάτων. Ως προεπιλογή οι καταχωρήσεις δεν φορτώνονται προκαταβολικά , μα
μεταφράζονται μόνο αν αποτύχει η δυναμική επίλυση των ονομάτων.
#
# Η προσθήκη της ετικέτας "#DOM:<τομέας>" σε κάθε καταχώρηση θα τη συσχετίσει
# με τον τομέα που καθορίζεται στο <τομέας>. Αυτό αφορά τον τρόπο λειτουργίας
# του προγράμματος περιήγησης και των υπηρεσιών σύνδεσης σε περιβάλλον TCP/IP.
# Για τη φόρτωση πρώτα μιας καταχώρησης #DOM, πρέπει να προσθέσετε επίσης #PRE
στη σειρά. Ο <τομέας> φορτώνεται πάντα προκαταβολικά, ακόμα κι αν δεν
# εμφανίζεται όταν προβάλλονται τα ονόματα από τη μνήμη cache.
#
# Καθορίζοντας το "#INCLUDE <όνομααρχείου>" το λογισμικό RFC NetBIOS (NBT)
# θα αναζητήσει το καθορισμένο <όνομααρχείου> και θα το αναλύσει σαν να ήταν
# τοπικό. Ένα <όνομααρχείου> είναι συνήθως ένα όνομα UNC, το οποίο επιτρέπει τη
# διατήρηση ενός κεντρικού αρχείου lmhosts σε ένα διακομιστή.
# Πρέπει πάντα να παρέχεται μια αντιστοίχιση για τη διεύθυνση IP του
# διακομιστή προτού το #INCLUDE. Αυτή η αντιστοίχιση πρέπει να χρησιμοποιεί μια
κατευθυντήρια #PRE. Επιπλέον, η κοινή χρήση "public" στο παρακάτω παράδειγμα
# πρέπει να περιλαμβάνεται στη λίστα "NullSessionShares" του LanManServer, ώστε
# να είναι δυνατή η ανάγωνση από τα προγράμματα-πελάτες των αρχείων lmhosts. Αυτό
# το κλειδί βρίσκεται κάτω από το \machine\system\currentcontrolset\services\lanmans erver
\parameters\nullsessionshares στο μητρώο. Προσθέστε απλά "public" σε αυτή τη λίστα.
#
# Οι λέξεις-κλειδιά #BEGIN_ και #END_ALTERNATE επιτρέπουν την ομαδοποίηση πολλών
μαζί κατευθυντήριων #INCLUDE. Κάθε μια επιτυχημένη συμπερίληψη θα καθορίσει το
# θετικό αποτέλεσμα της ομαδοποίησης.
#
# Τέλος, μπορούν να υπάρχουν τυπογραφικοί χαρακτήρες στις αντιστοιχίσεις, πρώτα
# περικλείοντας το όνομα NetBIOS σε εισαγωγικά και μετά χρησιμοποιώντας τη σημείωση
# \0xnn για την υπόδειξη μιας δεακεξαδικής τιμής για ένα τυπογραφικό χαρακτήρα.
#
# Το παρακάτω παράδειγμα παρουσιάζει όλες αυτές τις επεκτάσεις:
#
# 102.54.94.97 Αθήνα #PRE #DOM:Ελλάδα #DC της ομάδας δικτύου
# 102.54.94.102 "όνομαεφαρμογής \0x14" #Ειδική εφαρμογή διακομιστή
# 102.54.94.123 Σπάρτη #PRE #διακομιστής προέλευσης
# 102.54.94.117 localsrv #PRE #απαραίτητο για το include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\Αθήνα\public\lmhosts
# #END_ALTERNATE
#
# Στο παραπάνω παράδειγμα, ο διακομιστής "όνομαεφαρμογής" περιέχει ένα ειδκό
# χαρακτήρα στο όνομα. το όνομα του διακομιστή "Σπάρτη" φορτώνεται προκαταβολικά
# και το όνομα διακομιστή "Αθήνα" καθορίζεται με τέτοιο τρόπο ώστε να είναι δυνατή
# στη συνέχεια η χρήση του για τη συμπερίληψη #INCLUDE ενός κεντρικού αρχείου lmhosts
# αν το "τοπικό" σύστημα δεν είναι διαθέσιμο.
#
# Παρατηρήστε ότι για κάθε αναζήτηση αναλύεται ολόκληρο το αρχείο, συμπεριλαμβανομένων
# των σχολίων, οπότε, αν ελαττώσετε τα σχόλια θα καλυτερέψουν οι επιδόσεις. Γι αυτό, δεν
# θα σας συνιστούσαμε να προσθέσετε απλά στο τέλος αυτού του αρχείου τις νέες καταχωρήσεις
του αρχείου lmhosts.
Και αυτα γραφει το services:
# �¤�¬£�« ΅α › ΅� ι£�«� (C) 1993-1999 Microsoft Corporation
#
# €¬«ζ «¦ �¨®�ε¦ §�¨ β®� «¦¬ �¨ �£¦η �¬¨ι¤ � � « �¤ΰ©«β ¬§�¨�©ε�
# §¦¬ ΅��¦¨ε�¦¤«� £β©ΰ «¦¬ IANA
#
# ƒ �£ζ¨*ΰ©�:
#
# <椦£� ¬§�¨�©ε�> <�¨ �£ζ �η¨�>_<§¨ΰ«ζ΅¦ΆΆ¦> [―�¬›ι¤¬£�...] [#<©®ζΆ ¦>]
#
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Quote of the day
qotd 17/udp quote #Quote of the day
chargen 19/tcp ttytst source #Character generator
chargen 19/udp ttytst source #Character generator
ftp-data 20/tcp #FTP, ›�›¦£β¤�
ftp 21/tcp #FTP. βΆ��®¦
telnet 23/tcp
smtp 25/tcp mail #�¨ΰ«ζ΅¦ΆΆ¦ �§Άγ £�«�*¦¨α �ΆΆ�Ά¦�¨�*ε�
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #�¨ΰ«ζ΅¦ΆΆ¦ �¤«¦§ ©£¦η §ζ¨ΰ¤
nameserver 42/tcp name #ƒ �΅¦£ ©«γ ¦¤ζ£�«¦ ΅�¤«¨ ΅¦η ¬§¦Ά¦� ©«γ
nameserver 42/udp name #ƒ �΅¦£ ©«γ ¦¤ζ£�«¦ ΅�¤«¨ ΅¦η ¬§¦Ά¦� ©«γ
nicname 43/tcp whois
domain 53/tcp #ƒ �΅¦£ ©«γ ¦¤ζ£�«¦ «¦£β�
domain 53/udp #ƒ �΅¦£ ©«γ ¦¤ζ£�«¦ «¦£β�
bootps 67/udp dhcps #ƒ �΅¦£ ©«γ §¨ΰ«¦΅ζΆΆ¦¬ Bootstrap
bootpc 68/udp dhcpc #�¨ζ�¨�££�-§�Άα«� §¨ΰ«¦΅ζΆΆ¦¬ Bootstrap
tftp 69/udp #�¨ΰ«ζ΅¦ΆΆ¦ �§Άγ £�«�*¦¨α �¨®�εΰ¤
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #ƒ �΅¦£ ©«γ ¦¤ζ£�«¦ ΅�¤«¨ ΅¦η ¬§¦Ά¦� ©«γ NIC
iso-tsap 102/tcp #ISO-TSAP ‰Άα©� 0
rtelnet 107/tcp #€§¦£�΅¨¬©£β¤� ¬§�¨�©ε� Telnet
pop2 109/tcp postoffice #�¨ΰ«ζ΅¦ΆΆ¦ Post Office - λ΅›¦©� 2
pop3 110/tcp #�¨ΰ«ζ΅¦ΆΆ¦ Post Office - λ΅›¦©� 3
sunrpc 111/tcp rpcbind portmap #€§¦£�΅¨¬©£β¤� › �› ΅�©ε� ΅Άγ©� (RPC) SUN
sunrpc 111/udp rpcbind portmap #€§¦£�΅¨¬©£β¤� › �› ΅�©ε� ΅Άγ©� (RPC) SUN
auth 113/tcp ident tap #�¨ΰ«ζ΅¦ΆΆ¦ �¤��¤ι¨ ©�
uucp-path 117/tcp
nntp 119/tcp usenet #�¨ΰ«ζ΅¦ΆΆ¦ £�«�*¦¨α � ›γ©�ΰ¤ › ΅«η¦¬
ntp 123/udp #�¨ΰ«ζ΅¦ΆΆ¦ ΰ¨�¨ε¦¬ › ΅«η¦¬
epmap 135/tcp loc-srv #€¤αΆ¬©� �§ζΆ�¥� DCE
epmap 135/udp loc-srv #€¤αΆ¬©� �§ζΆ�¥� DCE
netbios-ns 137/tcp nbname #“§�¨�©ε� ¦¤¦£α«ΰ¤ NETBIOS
netbios-ns 137/udp nbname #“§�¨�©ε� ¦¤¦£α«ΰ¤ NETBIOS
netbios-dgm 138/udp nbdatagram #“§�¨�©ε� �¬«¦›η¤�£ΰ¤ §�΅β«ΰ¤ NETBIOS
netbios-ssn 139/tcp nbsession #“§�¨�©ε� §�¨ ζ›ΰ¤ Ά� «¦¬¨�ε� NETBIOS
imap 143/tcp imap4 #�¨ΰ«ζ΅¦ΆΆ¦ §¨ζ©™�©� £�¤¬£α«ΰ¤ Internet
pcmail-srv 158/tcp #ƒ �΅¦£ ©«γ PCMail
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #���ε›�¬©� SNMP
print-srv 170/tcp #PostScript › ΅«η¦¬
bgp 179/tcp #�¨ΰ«ζ΅¦ΆΆ¦ ¦¨εΰ¤ §ηΆ�
irc 194/tcp #�¨ΰ«ζ΅¦ΆΆ¦ �§�Ά�¬�β¨ΰ©� ©¬¤¦£ Ά ι¤ Internet
ipx 213/udp #IPX ©� IP
ldap 389/tcp #�¨ΰ«ζ΅¦ΆΆ¦ §¨ζ©™�©� �©γ£�¤«ΰ¤ ΅�«�Άζ�ΰ¤
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp #Kerberos (�΅›.5)
kpasswd 464/udp #Kerberos (�΅›.5)
isakmp 500/udp ike #€¤«�ΆΆ��γ ΅Ά� › ι¤ Internet
exec 512/tcp #„΅«βΆ�©� �§¦£�΅¨¬©£β¤� › �› ΅�©ε�
biff 512/udp comsat
login 513/tcp #€§¦£�΅¨¬©£β¤� ©η¤›�©�
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #ƒ �΅¦£ ©«γ ¦¤¦£α«ΰ¤ �΅«�«�£β¤ΰ¤ �¨®�εΰ¤
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #‚ � β΅«�΅«� �¬¨�ε� › �¤¦£β
uucp 540/tcp uucpd
klogin 543/tcp #‘礛�©� Kerberos
kshell 544/tcp krcmd #€§¦£�΅¨¬©£β¤¦ ΅βΆ¬*¦ Kerberos
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP ©� TLS/SSL
doom 666/tcp #�¦� ©£ ΅ζ Doom Id
doom 666/udp #�¦� ©£ ΅ζ Doom Id
kerberos-adm 749/tcp #ƒ �®�ε¨ ©� Kerberos
kerberos-adm 749/udp #ƒ �®�ε¨ ©� Kerberos
kerberos-iv 750/udp #Kerberos β΅›¦©� IV
kpop 1109/tcp #Kerberos POP
phone 1167/udp #‰Άγ©� › α©΅�―�
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp #Microsoft-SQL-Monitor
wins 1512/tcp #“§�¨�©ε� ¦¤¦£�©ε� Internet «ΰ¤ Windows «� Microsoft
wins 1512/udp #“§�¨�©ε� ¦¤¦£�©ε� Internet «ΰ¤ Windows «� Microsoft
ingreslock 1524/tcp ingres
l2tp 1701/udp #„§ε§�›¦ 2 §¨ΰ«¦΅ζΆΆ¦¬ › ¦®β«�¬©�
pptp 1723/tcp #�¨ΰ«ζ΅¦ΆΆ¦ › ¦®β«�¬©� �§ζ ©�£�ε¦-©�-©�£�ε¦
radius 1812/udp #�¨ΰ«ζ΅¦ΆΆ¦ �Άβ�®¦¬ «�¬«¦«γ«ΰ¤ RADIUS
radacct 1813/udp #�¨ΰ«ζ΅¦ΆΆ¦ Ά¦��¨ �©£ι¤ RADIUS
nfsd 2049/udp nfs #ƒ �΅¦£ ©«γ NFS
knetd 2053/tcp #Kerberos de-multiplexor
man 9535/tcp #ƒ �΅¦£ ©«γ �§¦£�΅¨¬©£β¤¦¬ Man
PainkiLer
29-06-2007, 22:43
Δεν νομιζω να βοηθανε.Κατι αλλο που μπορω να κανω;;;
Κανεις scan παντα απο safe mode. Μπορεις να δοκιμασεις και καποιο αλλο antivirus οπως kaspersky που ειναι πολυ καλο και υπαρχει trial. Μια καλη λυση ακομα ειναι αυτο εδω http://support.f-secure.com/enu/home/ols.shtml που ειναι online scanner. Παντος τα αρχεια οπως τα εδωσες φαινονται μια χαρα
vBulletin® v3.8.6, Copyright ©2000-2012, Jelsoft Enterprises Ltd.