Hilfe
Neues Thema
Antworten
hai
Der/Die/Das Comodo-Firewall hat vorhin eine komische Meldung von sich gegeben:
"windows operating system is trying to connect to the internet"
Das hab ich erst Mal blocken lassen - kommt seit Stunden nicht wieder.
Genauere Infos: Application: Windows Operating System, Protocol:TCP, Source IP:92.227.128.245, Source Port:4702, Destination IP:81.173.232.43, Destination Port:5002
E-Mule lief, Firefox, Zattoo.
Es wird nicht als exe oder sonstwie Anwendung angezeigt. Das macht mich stutzig...
Wer hat eine Meinung?
Danke.
Seite 1 von 1
Comodo Firewall Pro: Komische Meldung:"windows Operating System I Comodo Firewall Pro: komische Meldung:"windows operating system is
#1
snemelc 
geschrieben 16. Oktober 2008 - 01:21
Nach oben
#2
Spiderman
geschrieben 20. Oktober 2008 - 23:16
Sieht ja mit Port 4702 nach Emule aus.
Solche Programme wie Emule haben oft nicht sichtbare Prozesse, kann sein, dass dadurch die Meldung entsteht.
Wenn bei "Remember" ein Haken war fragt er auch nicht nochmal.
Schaue doch mal bei Firewall, Advanced, Network Security Policy, da müsste die erstellte Regel ja auftauchen.
Gruß
Spiderman
Solche Programme wie Emule haben oft nicht sichtbare Prozesse, kann sein, dass dadurch die Meldung entsteht.
Wenn bei "Remember" ein Haken war fragt er auch nicht nochmal.
Schaue doch mal bei Firewall, Advanced, Network Security Policy, da müsste die erstellte Regel ja auftauchen.
Gruß
Spiderman
#3
snemelc
geschrieben 21. Oktober 2008 - 17:19
ja, emule läuft schon jahre. das kann´s nicht sein...
und comodo hab ich nicht auf "remember" gestellt - ich wollt es doch noch mal replizieren, oder so :-)
wo kann man denn schnell bei cpf die warnmeldung wieder hervorkramen? vllt stehen dort noch genauere infos...
danke
1 tag später.
grad kam die meldung noch einmal. ich startete gerade unlocker - aber unwahrscheinlich, dass dies programm damit was zu tun hat, es kam nie vorher vor bei diesem.
nun habe ich einen screenshot gemacht.
http://i33.tinypic.com/vo4wgm.png
antwort: block + not remember.
pseudo-process?
und comodo hab ich nicht auf "remember" gestellt - ich wollt es doch noch mal replizieren, oder so :-)
wo kann man denn schnell bei cpf die warnmeldung wieder hervorkramen? vllt stehen dort noch genauere infos...
danke
1 tag später.
grad kam die meldung noch einmal. ich startete gerade unlocker - aber unwahrscheinlich, dass dies programm damit was zu tun hat, es kam nie vorher vor bei diesem.
nun habe ich einen screenshot gemacht.
http://i33.tinypic.com/vo4wgm.png
antwort: block + not remember.
pseudo-process?
Dieser Beitrag wurde von snemelc bearbeitet: 22. Oktober 2008 - 16:51
#4
Spiderman
geschrieben 04. November 2008 - 13:55
Das sieht nach Spyware aus, du solltest das System mal scannen.
Am sichersten ist das System nicht ins Internet zu lassen, dann musst du Updates, Zeit sync. ... selbst machen.
Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser.
Gruß
Spiderman
Am sichersten ist das System nicht ins Internet zu lassen, dann musst du Updates, Zeit sync. ... selbst machen.
Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser.
Gruß
Spiderman
#5
Sanches
geschrieben 04. November 2008 - 17:07
Spiderman sagte:
Das sieht nach Spyware aus, du solltest das System mal scannen.
Epic fail würde ich meinen wollen.
#6
snemelc
geschrieben 05. November 2008 - 00:45
hai
danke für deine mühe.
ich scanne gerade mit ad-aware - an einen letzten spyware-scan kann ich mich nicht erinnern...
ups! zu schnell löschen geklickt.. war glaub ich irgendwas mit "search helper" oder so. das ungeile an ad-aware ist, dass im log-txt nur der bericht "1 kritisches objekt" steht, nix mit namen oder ort usw. - nicht gut.
ich mach nochmal mit spybot search&destroy... nur tracking cookies.
@spiderman
"Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser."
ähem, davon habe ich bisher nix gehört. machen fw das nicht sowieso?
und wenn nicht: warum sollte man das sowieso machen? und wie macht man das? (bilder)
ich glaube, das hölfe nicht nur mir :-)
vielen dank
danke für deine mühe.
ich scanne gerade mit ad-aware - an einen letzten spyware-scan kann ich mich nicht erinnern...
ups! zu schnell löschen geklickt.. war glaub ich irgendwas mit "search helper" oder so. das ungeile an ad-aware ist, dass im log-txt nur der bericht "1 kritisches objekt" steht, nix mit namen oder ort usw. - nicht gut.
ich mach nochmal mit spybot search&destroy... nur tracking cookies.
@spiderman
"Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser."
ähem, davon habe ich bisher nix gehört. machen fw das nicht sowieso?
und wenn nicht: warum sollte man das sowieso machen? und wie macht man das? (bilder)
ich glaube, das hölfe nicht nur mir :-)
vielen dank
Zitat (Spiderman: 04.11.2008, 14:55)
Das sieht nach Spyware aus, du solltest das System mal scannen.
Am sichersten ist das System nicht ins Internet zu lassen, dann musst du Updates, Zeit sync. ... selbst machen.
Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser.
Gruß
Spiderman
Am sichersten ist das System nicht ins Internet zu lassen, dann musst du Updates, Zeit sync. ... selbst machen.
Auch den DNS Clienten(Service) deaktivieren, der benutzt svchost.exe, dann braucht jede Anwendung die ins Internet darf, eine DNS (UDP 53) Freigabe, das ist besser.
Gruß
Spiderman
#7
Spiderman
geschrieben 05. November 2008 - 02:05
Das gehört zum härten des OS:
- in TCP/IP eine feste IP eintragen
- in TCP/IP eine festen DNS Server eintragen, IP des Gateways(Router)
- in der Computer Verwaltung den Dienst "DHCP Client" beenden und deaktivieren
- in der Computer Verwaltung den Dienst "DNS Client" beenden und deaktivieren
DHCP hat keinen Schutz vor Manipulation, eine Schadsoftware könnte dem PC einen neuen DNS Server geben.
Der DNS Client sammelt alle DNS Anfragen aller Programme, und sendet über die svchost.exe
Die svchost.exe ist in der Firewall per Standard erlaubt, weil auch andere Dinge wie automatische Updates damit gemacht werden.
Jede Anwendung kommt also über den DNS Client durch die Firewall(die Firewall sieht nur die erlaubte svchost.exe, und nicht die verbotene Anwendung dahinter), das macht nur Sinn wenn sie vorher den DNS Server Eintrag verändert hat.
Die erlaube DNS Regel siehst du z.B. hier, ist die erste Regel (die Router IP muss angepasst werden): Senden Von Daten Nach Google Blocken
Geblockt wird bei mir:
- das System
- Windows Updater (svchost.exe ...)
- wscript.exe, rundll32.exe, dllhost.exe, explorer.exe
- und alle Anwendungen die nicht ins Internet sollen
Gruß
Spiderman
- in TCP/IP eine feste IP eintragen
- in TCP/IP eine festen DNS Server eintragen, IP des Gateways(Router)
- in der Computer Verwaltung den Dienst "DHCP Client" beenden und deaktivieren
- in der Computer Verwaltung den Dienst "DNS Client" beenden und deaktivieren
DHCP hat keinen Schutz vor Manipulation, eine Schadsoftware könnte dem PC einen neuen DNS Server geben.
Der DNS Client sammelt alle DNS Anfragen aller Programme, und sendet über die svchost.exe
Die svchost.exe ist in der Firewall per Standard erlaubt, weil auch andere Dinge wie automatische Updates damit gemacht werden.
Jede Anwendung kommt also über den DNS Client durch die Firewall(die Firewall sieht nur die erlaubte svchost.exe, und nicht die verbotene Anwendung dahinter), das macht nur Sinn wenn sie vorher den DNS Server Eintrag verändert hat.
Die erlaube DNS Regel siehst du z.B. hier, ist die erste Regel (die Router IP muss angepasst werden): Senden Von Daten Nach Google Blocken
Geblockt wird bei mir:
- das System
- Windows Updater (svchost.exe ...)
- wscript.exe, rundll32.exe, dllhost.exe, explorer.exe
- und alle Anwendungen die nicht ins Internet sollen
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 05. November 2008 - 02:07
- ← Mit Cipher.exe Gelöschte Dateien überschreiben
- Sicherheit
- Privaten 24/7 Server So Gut Wie Möglich Schützen? →
Thema verteilen:
Seite 1 von 1