Firewall....hoe weet ik wat ik kan "doorlaten"?

[LisaLisa]

Ik heb de Sygate Firewall, af en toe krijg ik meldingen die mij totaal niks zeggen en weet dan niet of ik toegang moet verlenen.
Twee voorbeelden zijn: Distributed Com Server (RPCSS.EXE) (en een ip-adres) ...using port 135....do you want to allow this program to acces the network?

en: een soortgelijke melding van Win32 Kernel Kerncomponent

Ik klik voor de zekerheid maar op "no" maar ik zou wel graag willen weten hoe ik er achter kan komen wat ik niet moet doorlaten.

Weet iemand raad?

Alvast bedankt,

Lisa.

 

[Joren 007]

heb ff op Google gezocht, maar het hoort (volgensmij) allebei bij Windows, geen zorgen! (als het klopt)

 

[Elisa]

Als je nog niet zo bekend bent op je systeem kun je het beste altijd doen wat Joren 007 deed.
Even intypen in Google en voila je krijgt een uitleg.

 

[buffy]

Geplaatst door LisaLisa
Ik klik voor de zekerheid maar op "no"

Eigenlijk is dat wel een goede methode. Je merkt het vanzelf als je iets blokkeert dat niet geblokkeerd moet worden en dan kun je alsnog toestemming geven.

 

[LisaLisa]

Ok...bedankt voor de antwoorden. Google zoeken had ik nog niet aangedacht.
Maar hoe merk ik het vanzelf dan als ik (voor de zekerheid) op "no" klik?

En zijn er misschien "dingen", die ik sowieso Niet moet doorlaten, bekend? (meldingen met bepaalde inhoud ofzo??)

 

[Elisa]

Buffy is waarschijnlijk al naar bed.
Je merkt het als volgt:
Er komt een melding dat msmsgs.exe de deur uit wil.
Klik jij op nee.
Na een dag of zo wil je Windows Messenger gebruiken en het lukt maar niet.
Op zo'n moment moet je de link leggen naar je firewall en Messenger toestemming geven dat deze de deur uit mag.

Nou zit er bij de meeste firewalls ook een manier om dit automatisch te laten verlopen. Dan hoef jij je hoofd niet te breken over wie of wat. De meeste dingen gaan dan gewoon door.
Je zult dus even de configuratie en opties van de firewall goed moeten bekijken.

Ik heb die RPCSS.exe voor je opgezocht. Dit kun je dus toestemming geven. Het is een proces van Windows.
Als je ooit iets van een trojan ziet staan mag je gaan steigeren

 

[ikself]

Procesinformatie

 

[LisaLisa]

Hallo, bedankt voor de antwoorden weer. Het is alweer een tijdje geleden, en het lijkt allemaal goed te gaan.

Als je eenmaal "no" hebt "gezegd", en "onthoud mijn antwoord", en het blijkt toch niet goed te zijn, kan je dat dan nog veranderen?

De procecces op die site kan ik dus doorlaten? Omdat het processen van Windows zijn?
Ook de top security processes?
En de DLL`s?

En als laatste, ik krijg bij het opstarten altijd deze van Sygate:

The DLLs C:\WINDOWS\SYSTEM\kernel32.dll has changed since the last time you used C:\WINDOWS\SYSTEM\kernel32.dll


To disable DLL Authentication go to the security tab under the Tools, Options menu.

File Version : 4.90.0.3000
File Description : Win32 Kernel-kerncomponent
File Path : C:\WINDOWS\SYSTEM\kernel32.dll
Process ID : 0xFF0FA387 (Heximal) 4279214983 (Decimal)

Connection origin : local initiated
Protocol : UDP
Local Address : 82.............
Local Port : 137
Remote Name :
Remote Address : 82.172.95.255
Remote Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)

Ethernet packet details:
Ethernet II (Packet Length: 112)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-d0-41-07-a7-c5
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0xf7e5 (Correct)
Source: 82.172.78.94
Destination: 82.172.95.255
User Datagram Protocol
Source port: 137
Destination port: 137
Length: 8
Checksum: 0xf83d (Correct)
Data (76 Bytes)

Binary dump of the packet:
0000: FF FF FF FF FF FF 00 D0 : 41 07 A7 C5 08 00 45 00 | ........A.....E.
0010: 00 60 00 E0 00 00 80 11 : E5 F7 52 AC 4E 5E 52 AC | .`........R.N^R.
0020: 5F FF 00 89 00 89 00 4C : 3D F8 00 01 29 10 00 01 | _......L=...)...
0030: 00 00 00 00 00 01 20 46 : 44 46 46 46 44 45 42 45 | ...... FDFFFDEBE
0040: 4F 43 41 43 41 43 41 43 : 41 43 41 43 41 43 41 43 | OCACACACACACACAC
0050: 41 43 41 43 41 41 41 00 : 00 20 00 01 C0 0C 00 20 | ACACAAA.. .....
0060: 00 01 00 04 93 E0 00 06 : 00 00 52 AC 4E 5E 00 00 | ..........R.N^..

Het local adress (even wegghaald, weet ook niet precies waarom) is anders dan het remote adress.
Ik weet niet wat het is en of het in deze rubriek thuishoort, en ik zeg altijd maar "no".......en het komt elke keer weer terug.....kan ik dit doorlaten?
Wat is het?
Moet ik DLL Authentication disable-len?
Of anders, als het niks bijzonders is, hoe zorg ik ervoor dat het niet steeds terugkomt?


Ik hoor het graag.

Alvast bedankt weer.

Lisa.

 

[Elisa]

Moet ik DLL Authentication disable-len?
Waarom zou je gewaarschuwd worden voor een wijziging om vervolgens weer te horen dat je het kunt uitschakelen.

Je wordt gewaarschuwd dat er iets is gewijzigd in je systeem.

kernel32.dll Last modified: Monday, July 23, 2001

Kernel32.dll is the 32-bit dynamic link library found in the Windows operating system kernel. It handles memory management, input/output operations, and interrupts. When Windows boots up, kernel32.dll is loaded into a protected memory space so other applications do not take that space over.

On occasion, though, users may encounter the "invalid page fault" error.

This error occurs when a program or application tries to access kernel32.dll's protected memory space. Sometimes the error is caused by one particular program or application, and other times it is provoked by multiple files and applications.
If the problem results from running one application, then the application needs to be replaced. If the problem occurs when accessing multiple files and applications, the corruption is probably caused by faulty hardware.


Het kan dus zijn dat je laatst een programma hebt geinstalleerd die kernel32.dll gebruikt. Deze geeft dan de problemen.
Heb je laatst iets geinstalleerd? Dit programma moet er dan weer af.
Of je hebt een verkeerde driver op de pc gezet.

 

[decock1]

Geplaatst door LisaLisa

Moet ik DLL Authentication disable-len?

Lisa.

(Vrijwel alle Windows toepassingen gebruiken Kernel32.dll dus dat wordt moeilijk zoeken.)
Lees de volgende site eens door. Daarin staat dat alléén geoefende Windowsgebruikers van Sygate firewall "DLL Authentication" moeten aanvinken.

"Because this option can interfere with the functioning of Windows applications, it is recommended that only users who have a firm understanding of Windows and DLLs enable this feature"

http://smb.sygate.com/support/documents/spf/security_tab.htm

Overigens, heb je Windows XP?

Peter

 

[LisaLisa]

Elisa, ik weet niet waarom er wordt gevraagd voor "yes" of "no" te kiezen, ik snap eigenlijk in zijn geheel niet wat de bedoeling is behalve dat ik erop gewezen wordt dat er iets veranderd is, maar niet of datgene fout is ofzo.
Ik kan dit: "kernel32.dll Last modified: Monday, July 23, 2001" niet terugvinden in dat stukje trouwens.

Ik krijg dat al vanaf augustus eigenlijk, sinds ik sygate heb geinstalleerd....dus ik denk niet dat het met een recente download o.i.d te maken heeft.
Ik weet niet wat er gebeurd als ik "yes" kies.

Ik zal het niks veranderen aan het
en-en disablegedeelte, maar omdat disable-en van DLL Authentication als optie werd gegeven, dacht ik dat ik dat misschien moest doen om van die "melding" af te komen.
Ik heb Windows ME.

 

[decock1]

Geplaatst door LisaLisa

Ik zal het niks veranderen aan het
en-en disablegedeelte
Ik heb Windows ME.

LisaLisa
Heb je die opmerking van Sygate (in het engels) in mijn post gelezen?

Peter

 

[LisaLisa]

Ja, heb ik gelezen. "enable" is en was niet aangevinkt. Dat is goed toch dan?
Er wordt gevraagd, als dat bericht komt, of ik het door wil laten of niet, waarop ik "no" kies omdat ik nog steeds niet weet wat het is.

 

[Elisa]

Gaan die foutmeldingen alleen maar over die kernel?
Of zijn het ook andere programma's?

In de omschrijving hierboven kun je lezen wat kernel32.dll doet maar daar wordt je ook niet veel wijzer van.
Waarom geeft Sygate die melding terwijl de functie niet op enable staat. Blijkbaar vindt het programma het belangrijk genoeg.

If the problem results from running one application, then the application needs to be replaced. If the problem occurs when accessing multiple files and applications, the corruption is probably caused by faulty hardware.

Stel je gebruikt een programma zoals Bittorrent en je krijgt daarna steeds die melding dan is het te herleiden.
Je zult dus toch in de gaten moeten houden wanneer je die melding precies krijgt. Welke programma's je gebruikt op dat moment.

Als dit niets oplevert dan zul je het blijkbaar in je hardware moeten zoeken. Nou dat vind ik wel erg somber gesteld.

Wat ik zojuist las toen ik kernel component invoerde:
Bovenste link nemen
HIER Je bent dus niet de enige.
Wel erg toevallig dat jullie allebei Sygate hebben.

In de tweede link (onderaan op de pagina) las ik het volgende:

Bij het onderwerp kreeg ik in de verscheidene reacties drie wegen genoemd die me verder zouden helpen. Ik was er op gebrand te weten te komen wie of wat zo frequent mij de "kernel32.dll" wilde laten "ophalen". En zo zag ik bij HJT alsmaar die knop Save onderaan in de interface over het hoofd. Stevig suf van mijzelf.
Dank dat u Eagle me die knop liet zien!

Als je NO zegt tegen Sygate, vergeet je dan niet te saven?

 

[decock1]

LisaLisa
Vond de volgende site over de Sygate firewall:

http://bellsouthpwp.net/i/k/ikpe/SygateBasics.html

Daarin wordt aanbevolen om op tabblad "Security" van de firewall de optie
"Automatically Allow Known DLL's" aan te vinken wanneer je het vervelend om telkens die meldingen van "DLL Authentication" te krijgen. Probeer dat eens.
Uiteindelijk kan kernel32.dll echt wel tot een "known dll" gerekend worden.
Overigens zeg je dat je die melding al krijgt bij het opstarten van je computer en ik denk dat na het automatisch opstarten van Sygate deze al ziet dat kernel32.dll gewijzigd is (misschien door een Windows Update?).

Peter

 

[LisaLisa]

Oef...ik vind het allemaal erg ingewikkeld...ik weet niet eens zeker of het een foutmelding/probleem is, of "gewoon" een melding waarbij gevraagd wordt of jet hetgeen door wilt laten of niet.
Waar ik wel wat angstig voor ben is als ik "yes" kies, dat ik dan wellicht een probleem heb.

De grote, lange melding krijg ik tijdens het opstarten, als ik eenmaal "no" heb gekozen, hoor ik er verder niks meer van, tot de volgende opstart.

Ik vind het ietwat irritant. Ook omdat ik dus nog steeds niet weet wat het is.
Ik kon niet echt eenzelfde probleem teugvinden bij de links die je gaf helaas Elisa. Dat saven ging volgens mij over HiJackThis.

Verder krijg ik, als mijn pc gewoon aanstaat, eigenlijk maar twee meldingen, n.l:
-an application named Distributer Com Services (file name RPCSS.EXE) has been blokked from accesing the network.

en

-portscan attack is logged.

Die eerste zal wel zijn omdat ik destijds voor "no" heb gekozen..
En betekent die tweede dat er een aanval op mijn pc is geweest? Ik krijg hem zo nu en dan.


peter, ik ben nou wel in de war over of ik nou "enable" moet aanvinken of niet. Want op die site wordt inderdaad een ander advies gegeven daarover. Overigens krijg ik bij options wel een soortgelijk securty-tabblad, maar ik kan eigenlijk maar vijf dingen veranderen, waar onder wel "enable DLL authentication".

Ik zou echt niet weten wat sygate bedoeld en wathet is dat veranderd zou zijn (er zal vast wel iets veranderd zijn), aangezien ik dit al krijg sinds ik sygate geinstalleerd heb.....

Bedankt avast....ingewikkeld hè

 

[decock1]

LisaLisa
Ik heb de Sygate firewall zelf niet maar zeer waarschijnlijk gaat het hier om een voorziening die jou waarschuwt als er een DLL gewijzigd is. Dit checkt de firewall aan de hand van een database, denk ik. Jij moet dan zelf uitmaken of dat ter goeder trouw gedaan is of dat die wijziging door een virus of trojan gedaan is. Klik jij op "Yes" dan wordt die database aangepast en krijg je de melding in het vervolg niet meer.
Volgens mij kan daarmee niets fout gaan want de bewuste DLL is toch al gewijzigd en werkt jouw computer nog altijd goed (neem ik aan).
Je scant je computer toch wel regelmatig op spyware en virussen?

Peter

 

[Elisa]

Lisa,

Als je twijfelt zoek dan met Google. Zoals ik onder deed. Zo leer je je pc kennen.
Of...en dat vind ik in jouw geval beter, je zet die firewall op automatisch. Hij weet het zeker beter dan jij.
Geef het over.

Sygate zal na het automatisch instellen alleen nog maar zeuren bij nieuwe programma's. Krijg je dan te lezen: KaZaa wil de deur uit dan ga jij echt de link wel leggen met wat je geinstalleerd hebt.

Als jij trouwens NO zegt en een vinkje zet dat Sygate het de volgende keer niet meer mag vragen dan heb je er geen last meer van.Dan stel je dus 'nee voor alle keren in'.

Hier


Tenslotte zou ik zeggen: Duik eens goed de configuratie van de firewall in. Kijk onder programma's waar je tot nu toe toestemming hebt gegeven om de deur uit te gaan. Zo leer je wat. En als je denk....wat gek.....dan zoek je het op.
En kijk waar je op automatisch kunt zetten.

 

[decock1]

LisaLisa
Daar het zéér ongebruikelijk, en dus verdacht, is dat "Kernel32.dll" het internet op wil, raad ik je aan om een HijackThis-log op het ASO-forum te plaatsen.
Dit moet je als volgt doen (met dank aan Crash):

Lees dit bericht goed door:
http://www.antispywareoffensief.nl/forum/showthread.php?t=12

Kijk voor uitleg HijackThis:
http://www.antispywareoffensief.nl/hijackthis/handleiding.html

Plaats daarna je Hijackthis log in de volgende sectie:
http://www.antispywareoffensief.nl/forum/forumdisplay.php?f=38

Vermeld daar ook je probleem erbij.

Peter