Настоящий файл должен находиться ДИСК:\WINDOWS\system32\ntoskrnl.exe
ntoskrnl.exe - ядро системы. Получение (обмен) файлами из расшареных папок.
TCP: 139-out (NetBIOS-сессия)
UDP: 137,138-both (NetBIOS over TCP/IP)
Но для уверенности не мешало-бы провериться на отсутствие вредоносного ПО. Примеры цитирую:
"...
W32.Focelto.A

Признаки, действие и защита
При запуске копирует себя в %System%\dllcache\sygate.exe. (%System% - системная директория Windows)

Создает в реестре запись, обеспечивающую автозагрузку при каждом старте Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[СЛУЧАЙНЫЙ CLSID]}\"stubpath" = "%System%\dllcache\sygate.exe s"


Создает в реестре подключи

HKEY_LOCAL_MACHINE\Software\Sygate
HKEY_CURRENT_USER\Software\Sygate


Устанавливает руткит:


%System%\oddysee.exe - определяется Symantec как Hacktool.Rootkit
%System%\ntoskrnl.exe:kernel - определяется Symantec как Hacktool.Rootkit

(Файл :kernel - поток (Alternate Data Stream, ADS) в ntoskrnl.exe. Оригинальный ntoskrnl.exe не модифицируется червем)

Регистрирует сервис для руткита, создавая раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Oddysee.

Отображаемое имя - Oddysee, путь к образу - %System%\ntoskrnl.exe:kernel, Start: 3, Type: 1.

Руткит скрывает процессы, файлы и подключи реестра, относящиеся к червю, перехватывая системные функции ZwQuerySystemInformation, ZwEnumerateKey и ZwEnumerateValueKey.

Запускает процессы explorer.exe и iexplore.exe и встраивает в них код для обеспечения функционала руткита.
Для хранения информации создает следующие файлы:

%Userprofile%\rgst152.dat
%Userprofile%\Application Data\addon.dat
%System%\dllcache\klog.dat

Создает компоненты даунлоадера (определяются как W32.Focelto.A) на дисках от C: до Z:

\Foto_celular.scr
\Foto_celular.zip


Создает свою копию в %System%\backsys.sys.
Распространяется через интернет-пейджеры Microsoft, рассылая Foto_celular.scr по списку контактов.

Файл Foto_celular.scr пытается загрузить копию червя с URL:

[http://]naoadianta1.memebot.com/sexy???
[http://]naoadianta2.memebot.com/insta???
[http://]naoadianta3.memebot.com/movi???

Также соединяется через HTTP с сайтами naoadianta9.no-ip.org и naoadianta10.no-ip.org.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Найти и остановить сервис, созданный червём.
Действие
Червь для платформы Windows. Распространяется, рассылая себя по списку контактов в интернет-пейджерах Microsoft.

Открывает на компьютере "черный ход", загружает и выполняет дополнительный вредоносный код.
Использует руткит (определяется Symantec как Hacktool.Rootkit) для сокрытия себя в системе.

Источник: Symantec.com.."

"...
Троян Nukulus.A, который предназначен для кражи пользовательских данных, а также черви Winko.A и Addon.A. в обзоре от PandaLabs
Nukulus.A – это опасный троян, способный красть все виды конфиденциальной информации: банковские данные, информацию, вводимую в веб-формах, локальные сертификаты и др.

Он также способен перенаправлять трафик с определенных веб-адресов на вредоносные страницы, разработанные для онлайнового мошенничества. - Так этот троян пытается завладеть конфиденциальными данными пользователя.

“Это попытка скомбинировать способность трояна красть пароли с фишинговой атакой. Таким образом кибер-преступники стараются повысить вероятность успешной кражи данных”, объясняет Луис Корронс, технический директор PandaLabs.

Кроме того, этот троян предназначен для загрузки из интернета собственных обновлений и других вредоносных файлов. Он также создает несколько новых записей в реестре Windows, благодаря чему получает возможность запускаться при каждой перезагрузке компьютера.

Winko.A - это червь, предназначенный для загрузки на зараженный компьютер других вредоносных кодов, включая опасных троянов, занимающихся кражей паролей, таких как QQRob и Lineage. Также он скачивает рекламное ПО, например Alexa.

Этот червь создает в системе несколько своих копий, а также для распространения копирует себя на все доступные носители (жесткие диски, USB-устройства и др.)

Addon.A - это червь, который распространяется в файле под названием Foto_celular.zip. При запуске он производит установку другого вредоносного файла и уязвимой версии файла ntoskrnl.exe, который заменяет собой оригинальный системный файл. Эту уязвимость хакер может затем использовать для контроля над зараженным компьютером на правах администратора. Addon.A запускается при каждой перезагрузке компьютера.

по информации PandaLabs, PandaLabs..."

я проще сделал, создал правило в фаерволе разрешить все хосты все ип и всё.......

Браво . Ты бы еще фаервол удалил, для надежности

PS

TCP: 139-out (NetBIOS-сессия)
UDP: 137,138-both (NetBIOS over TCP/IP)

MoscowStyle Вот эти порты не пробовал для него открывать?