NTKRNLPA.EXE conectado a una IP extraña

1

Se necesita ayuda / consejo para investigar esto.

Primero: no estoy seguro si este es el lugar correcto para preguntar esto. Si no es así, por favor note y cerraré.

Durante el fin de semana, mis cuentas de correo electrónico (yahoo y corporativo) se bloquearon debido a una contraseña no válida.

Mirando una de mis computadoras portátiles (Windows XPSP3), usando ProcessHacker.exe veo el proceso "ntkrnlpa.exe" conectado a IP 205.202.182.4. Buscando más allá de que IP me apunta a:

  

uk uk lnd londres 51.514999 -0.083000 dinsa ministerio de defensa

¿Qué otra herramienta usaría alguien para inspeccionar esto?

Editar: he añadido algunas capturas de pantalla.

    
pregunta Saif Khan 16.12.2013 - 18:04
fuente

1 respuesta

1

Primero debes investigar la IP y bloquear más. Si realiza una búsqueda inversa, simplemente escribiendo nslookup 205.202.182.4 en una línea de comando, verá:

Name:    mil_shs_4.mil.esu3.k12.ne.us
Address:  205.202.182.4 

Buscando la subred hacia arriba en ARIN, es propiedad de la universidad de Nebraska, pero la dirección parece pertenecer a una escuela primaria. Por lo tanto, nada que ver con el Ministerio de Defensa del Reino Unido.

Entonces, ¿esto te ayuda? Tal vez, si no tiene nada que ver con una escuela en Murdock, Nebraska, entonces uno de sus servidores puede ser de su propiedad, y está siendo utilizado como un servidor de C & C para el malware en su computadora. Si su sistema se está conectando a esto a menudo, es muy posible que haya sido hackeado. Si esa es la razón por la que sus cuentas de correo electrónico estaban bloqueadas es una historia diferente, pero es razonablemente probable.

    
respondido por el GdD 16.12.2013 - 18:18
fuente

Lea otras preguntas en las etiquetas