System-Prozess, gefährlich?

[Haremhab 10]

hi

habe die outpost firewall installiert.

 

mir ist seit dem aufgefallen, dass die "system"-anwendung ständig ins inet will.

unter anlass steht dann (RPC) oder paket für einen geschlossenen port. unter remote-adressen stehen dann diverse Ip´s (mache nebenbei noch filesharing).

 

hängt das damit zusammen? kann man diesen prozess den zugang ins inet erlauben?

[darthflo 10]

RPC ist der Remote Procedure Call, eine Anwendung, mit der beispielsweise andere Programme installiert werden können. Falls du die IPs nicht kennst, würde ich da lieber mal nichts durchlassen.

[heatwave 10]

Hi,

 

Die Systemprozesse haben nix im Internet zu suchen,

das war der Grund warum sich Blaster so schnell verbreittet hat

(und die fehlenden Patches natürlich).

[Haremhab 10]

ich hatte ja vorher keine firewall das heißt ich konnte nicht checken, welches prog unerlaubt zugriff auf das inet nimmt. ich konnte aber auch keinen trojaner noch einen virus auf meinen

rechner entdecken (regelmäßiges scannen).

 

jetzt habe ich die fw auf dem rechner, und diese meldet mir halt den zugriff des windows "system"-prozesses auf das inet mit anlass (RPC). diese wird nun durch die fw blockiert.

 

es sind insgesamt 2 prozesse (netbios und system), also wenn die mit dem inet nix zu tun haben, warum suchen sie dann eine verbindung ins net?

[Velius 10]

Ganz einfach, du musst unter den Eigenschaften deiner Netzwerkverbindung die "Cleint für Microsoft....." und die "Datei und Druckfreigabe...." deinstallieren, dann suchen sie auch bestimmt Nichts mehr im I-Net ;)

[Haremhab 10]

Ganz einfach, du musst unter den Eigenschaften deiner Netzwerkverbindung die "Cleint für Microsoft....." und die "Datei und Druckfreigabe...." deinstallieren, dann suchen sie auch bestimmt Nichts mehr im I-Net ;)

 

 

hi

 

die habe ich schon vor einer uhrzeit deinstalliert. unter netzwerk ist der tcp/ip protokol installiert (netbios deaktiviert) und ein netzwerkmonitotreiber (vermute ich mal von der fw).

[mützbert 10]

warum steigst du nicht um auf zone alarm?

ist so weit ich weiß das beste (kostenlose) und macht bei mir im gegensatz zu outpost (hatte ich auch mal) keine probleme.

[Das Urmel 10]

Welches XP ( mit SP2)?

Bits, AutoUpdate schauen immer mal wieder rein.

Welche Ports und welche IP's weden denn angefahren?

netstat -aon - listet Apps mit Ports.

[Haremhab 10]

warum steigst du nicht um auf zone alarm?

ist so weit ich weiß das beste (kostenlose) und macht bei mir im gegensatz zu outpost (hatte ich auch mal) keine probleme.

 

ich habe damit keine probs. mir geht es einzig um diese sys-datei mit rpc.

[Haremhab 10]

Welches XP ( mit SP2)?

Bits, AutoUpdate schauen immer mal wieder rein.

Welche Ports und welche IP's weden denn angefahren?

netstat -aon - listet Apps mit Ports.

 

ich habe xp mit sp1.

 

IPs, viele (fast alle) sind von mediaways. beginnen mit 217.187.xxx.xxx

zu diesen adressen, versucht "system" eine rpc-verbindung herzustellen.

mein provider ist ein mediaways-kunde.

 

 

 

inetnum: 217.184.0.0 - 217.191.255.255

org: ORG-TDG4-RIPE

netname: DE-MEDIAWAYS-20010314

descr: PROVIDER Local Registry

descr: Telefonica Deutschland GmbH

country: DE

admin-c: MWH6-RIPE

tech-c: MWH6-RIPE

status: ALLOCATED PA

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: MDA-Z

mnt-routes: MDA-Z

changed: hostmaster@ripe.net 20010314

changed: lir-help@ripe.net 20011214

source: RIPE

 

route: 217.184.0.0/13

descr: mediaWays GmbH

origin: AS6805

remarks: netname: DE-MEDIAWAYS

mnt-by: MDA-Z

changed: ip@mediaways.net 20010315

source: RIPE

 

organisation: ORG-TDG4-RIPE

org-name: Telefonica Deutschland GmbH

org-type: LIR

address: Huelshorstweg 30

address: 33415

address: Verl

address: Germany

phone: +49 5246 80 1701

fax-no: +49 5246 80 2080

e-mail: ip@telefonica.de

admin-c: DK760-RIPE

admin-c: IST1-RIPE

admin-c: ABEN1-RIPE

admin-c: MWH6-RIPE

admin-c: PTA7-RIPE

admin-c: NSB-RIPE

mnt-ref: MDA-Z

mnt-ref: RIPE-NCC-HM-MNT

mnt-by: RIPE-NCC-HM-MNT

changed: hostmaster@ripe.net 20040415

changed: bitbucket@ripe.net 20040817

changed: bitbucket@ripe.net 20041027

changed: bitbucket@ripe.net 20041027

changed: bitbucket@ripe.net 20041027

changed: bitbucket@ripe.net 20041027

changed: bitbucket@ripe.net 20041111

changed: bitbucket@ripe.net 20041118

changed: bitbucket@ripe.net 20041118

changed: bitbucket@ripe.net 20041118

source: RIPE

 

role: mediaWays Hostmaster

address: Telefonica Deutschland GmBH

address: Huelshorstweg 30

address: Postfach 185

address: D-33415 Verl

phone: +49 5246 80 1244

fax-no: +49 5246 80 2081

e-mail: abuse@telefonica.de

e-mail: hostmaster@telefonica.de

e-mail: ncc@telefonica.de

admin-c: ABEN1-RIPE

admin-c: DK760-RIPE

tech-c: ABEN1-RIPE

tech-c: DK760-RIPE

nic-hdl: MWH6-RIPE

notify: hostmaster@telefonica.de

notify: hm-dbm-msgs@ripe.net

mnt-by: MDA-Z

changed: hostmaster@telefonica.de 20030312

source: RIPE

 

# Bold: Object type.

[Haremhab 10]

? :(

[Velius 10]

Also ich hab 'mal das Log eingeschaltet bei mir, und über einen Zeitraum von etwa 20 min hab ich nur Incoming auf dem Port 135(RPC), und nicht Outgoing so wie bei dir.

 

1,[03/Jan/2005 17:47:16] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.121.218:3215->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:47:39] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.57.38:1346->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:47:41] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-57-38.dclient.hispeed.ch [80.218.57.38:1346]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:14] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.188.11:2936->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:17] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-188-11.dclient.hispeed.ch [80.218.188.11:2936]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:21] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.229.151:3895->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:24] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-229-151.dclient.hispeed.ch [80.218.229.151:3895]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:29] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.46.157:3132->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:32] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-46-157.dclient.hispeed.ch [80.218.46.157:3132]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:33] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.251.197:4933->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:36] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-251-197.dclient.hispeed.ch [80.218.251.197:4933]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:50:10] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-239-237.dclient.hispeed.ch [80.218.239.237:1186]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE

 

 

Was hast denn du für'n Virenscanner?

Schon den hier versucht? http://housecall.antivirus.com/housecall/start_corp.asp

 

Gruss

Velius

[Haremhab 10]

Also ich hab 'mal das Log eingeschaltet bei mir, und über einen Zeitraum von etwa 20 min hab ich nur Incoming auf dem Port 135(RPC), und nicht Outgoing so wie bei dir.

 

1,[03/Jan/2005 17:47:16] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.121.218:3215->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:47:39] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.57.38:1346->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:47:41] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-57-38.dclient.hispeed.ch [80.218.57.38:1346]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:14] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.188.11:2936->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:17] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-188-11.dclient.hispeed.ch [80.218.188.11:2936]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:21] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.229.151:3895->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:24] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-229-151.dclient.hispeed.ch [80.218.229.151:3895]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:29] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.46.157:3132->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:32] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-46-157.dclient.hispeed.ch [80.218.46.157:3132]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:33] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80.218.251.197:4933->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:48:36] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-251-197.dclient.hispeed.ch [80.218.251.197:4933]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
1,[03/Jan/2005 17:50:10] Rule 'Generic Host Process for Win32 Services': Blocked: In TCP, 80-218-239-237.dclient.hispeed.ch [80.218.239.237:1186]->localhost:135, Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE

 

 

Was hast denn du für'n Virenscanner?

Schon den hier versucht? http://housecall.antivirus.com/housecall/start_corp.asp

 

Gruss

Velius

 

 

 

hi

 

also ich benutze den gdata antivirenkit2004, kann nur weiterempfehlen!

habe das windows-verzeichnis gescannt, und konnte keinen trojaner noch virus entdecken!

 

 

unter richtung steht: in refused!

 

das heißt dann wohl in-going-traffic wurde abgelehnt!?

dann muß ich mich korrigieren, denn es war dann kein out, sondern in-going, sorry.

 

es sind nur zwei windows-prozesse die auffällig sind netbios und system (bei system ständig RPC anforderungen). ich hatte ja vorher keine fw, und merke von den beiden auch wenig, von wegen einbruch oder so, oder dass der rechner plötzlich gebootet hat oder da irgendeine meldung von shutdown stand .... ich habe mein log-file gecheckt es sind so ca. 6 meldungen pro minute die auftauchen, also ca. 360 in einer stunden, und das ist doch wirklich nun mal nicht mehr normal. (ich mache filesharing, vielleicht liegt es daran?)

 

habe winxp +sp1 +alle patches auf für rpc.

 

bei dir scheint auch so ein prozess herumzuwildern...

[Velius 10]

 

bei dir scheint auch so ein prozess herumzuwildern...

 

Jein, eben nur incoming! Das heisst, dass irgendwelche Rechner im Netz mir diese Päckchen zusenden. Aber was interessiert uns deren Päckchen :D ;) !

 

(Solange du keine Outgoing hast, einfach blocken!!)

 

 

Gruss

Velius

[Haremhab 10]

wieviel ingoing verkehr hast so in einer stunde geblockt?