Você pode executar o Verificador de arquivos do sistema em seu sistema? Em um prompt de comando, digite sfc / runnow e certifique-se de ter seu disco do Windows XP à mão.
Eu não tenho certeza se essa pergunta pertence a ela ou não, mas deixe-me tentar.
Quando eu chego ao escritório esta manhã Um dos meus colligues teve um problema com seu laptop e me disse que ele tinha problemas para reiniciá-lo e quando ele finalmente recebeu a mensagem seguinte e ele diz que tudo estava vindo do meu IP (laptop)
Application has changed since the last time you opened it, process id: 0
Filename: C:\Windows\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\Windows\system32\ntoskrnl.exe
---- New modules: 0 ----
A única mudança que fiz no meu laptop é que eu ligo o XP_cmdshell ontem, já que não consegui executar algum script T-SQL. Eu não sei se está relacionado ou não.
Estou no win xp sp3 e no SQL Server 2008
Por favor, ajude-me a entender se meu sistema está comprometido e isso é um problema.
Obrigado,
UPDATE: Eu corro o antivírus e ele vem limpo!
Você pode executar o Verificador de arquivos do sistema em seu sistema? Em um prompt de comando, digite sfc / runnow e certifique-se de ter seu disco do Windows XP à mão.
Eu acho que depende do que o seu script faz, por exemplo.
Para ver se o seu sistema estava infectado com algo, eu começaria a digitalizá-lo com as definições de antivírus atualizadas do seu scanner favorito, bem como com as buscas e destruições do ad-aware e do spybot. Você também pode executar o Process Explorer para testar e ver se há processos incomuns em execução em segundo plano e autoruns (ambos fazem parte do Sysinternals, google para download gratuito).
Se você for útil com o Linux, pode configurar um sistema ou VM para interceptar o tráfego de rede do laptop (ou ter uma porta espelhada no comutador) para monitorar o tráfego de rede de saída de seu laptop para procurar atividades suspeitas e verificar registros de outras máquinas em sua rede para ver se seu computador está tentando acessar arquivos ou copiar coisas para outros locais sem permissão. Se você é um usuário administrador na rede, não há como saber até onde o malware poderia ter passado através dos compartilhamentos ocultos do sistema e de outros compartilhamentos aos quais você tem acesso legítimo. Ter servidores atualizados com novas definições de vírus e fazer uma varredura também.
Se nada realmente se destacar depois de verificar seu próprio sistema, você também pode executar um chkdsk no computador do seu colega, apenas para verificar se há algum motivo para corrupção, mas você disse que isso está registrado em algum lugar que mostrava o IP do seu sistema up ... então isso é um pouco estranho.
Execute o máximo de verificações off-line o quanto antes. Você precisa estar on-line por tempo suficiente para receber atualizações e assinaturas mais recentes, e parece que, se houver uma infecção, o dano já foi feito, mas assim que possível, coloque seu laptop offline para verificar infecções e limpeza.
Este link parece ter boas informações sobre remoção de spyware.
O texto da mensagem que você descreve é como algo gerado pelo aplicativo Sygate Personal Firewall.
Se o seu colega acabou de instalar os patches de segurança do mês passado, isso pode estar relacionado a isso, os patches de fevereiro de 2010 incluíram atualizações para o Kernel do Windows (também conhecido como ntoskrnl.exe). Se houver problemas no kernel, é mais provável que o sistema seja rastreado em azul e os despejos de memória fornecerão uma grande quantidade de informações que podem apontar para o software problemático ou possível infecção.
Mesmo que essa seja a causa dessa mensagem ser benigna, ainda pode haver malware no sistema. Gostaria de sugerir que você procure outros indicadores de comprometimento (desempenho ruim, tráfego de rede estranho de saída, pop-ups goofy, etc.)