(1) Greift ntoskrnl.exe korrekterweise auf den Port 80 zu?
(2) Falls ja: Wie kann ich dies verhindern?
(3) Falls nein: Was gilt es zur Bereinigung zu tun?
Hallo,
ich selbst habe kein Windows 8 in Betrieb, aber lt. diversen Foren im Netz ist dies bei diesem Betriebssystem normal.
Natürlich könnte auch ein Virus dahinter stecken. Daher sollte man in der Kommandozeile mit erhöhten Rechten das Kommando
netstat -ano
laufen lassen und alle Verbindungen zu Port 80 anschauen. Die Portnummer wird von der IP-Adresse durch einen Doppelpunkt getrennt. Bei IP-V6-Adressen gibt es mehrere Doppelpunkte, hier ist der am weitesten rechts stehende gemeint. In der rechten Spalte der Liste sieht man die Prozess-ID (PID) des Programms, das den Port verwendet. Wenn dort eine ganz niedrige Nummer steht, z.B. 4, dann ist dies ein Systemprozess, der ganz am Anfang, wenn Windows startet, geladen wird. Genaueres erfährt man, wenn man sich im Task-Manager oder Process Explorer die PID aller Prozesse anzeigen lässt.
Wenn man Zweifel an der Virenfreiheit von ntoskrnl.exe hat, sollte man die Dateien mit diesem Namen aus %windir%system32 und %windir%syswow64 mal auf www.virustotal.com hochladen zum Scannen.
VG
Norbert
Hallo „beatstoeckli“,
ntoskrln ist eine Windows Systemdatei genauer der Windows Systemkernel (r Windows NT operating system kernel). Der Systemkernel ist das Grundgerüst des Betriebssystems, daher darf er fast alles.
Wie kommen Sie darauf, das der Zugriff auf Port 80 schlimm ist?
Es kann natürlich immer sein, das eine solche Systemdatei durch ein Schadprogramm verändert oder ausgetauscht wurde und nun zusätzliche Dinge macht, die nicht vorgesehen sind. Eine Überprüfung wie Norbert sie vorgeschlagen hat bietet sich hier an.
Mit freundlichen Grüßen,
Dirk Kleemann
Norbert, besten Dank für die Antwort. Gemäss www.virustotal.com ist ntoskrnl.exe virenfrei.
Hallo dirkkleemann. Ob die Belegung des Ports 80 schlimm ist, möchte ich mich nicht äussern. Sicher ist es unerwünscht, wenn man z.B. den Webserver XAMPP starten möchte.