Dziwne (?) alerty w Dzienniku Zdarzen (i nie tylko)


(Pav444) #1

Witam serdecznie,

komputer: WinXP Home, SP3, chroniony od paru tygodni Avira i Comodo Firevall v3, zapora Windows poki co takze wlaczona, laczenie z netem poprzez neostrade (choc tego posta akurat nie pisze z domu :slight_smile: ), jestem jedynym uzytkownikiem.

Zaczne od tego co sklonilo mnie do podgladu Dzienniku zdarzen.

Bylem polaczony z netem, rozlaczylem sie, za chwile chcialem sie polaczyc ale Comodo Defense dal mi nastepujace 3 alerty ktore zablokowalem, po czym nastapil crash Explorera. http://i43.photobucket.com/albums/e369/ ... comodo.jpg

Te 3 pliki .dll (zobaczcie screenshot powyzej) to z tego co wygooglalem - pozostalosci po skanerach antywirusowych online, dawno nie uzywanych i chyba usunietych. Jestem dosc przecietnie zaawansowanym uzytkownikiem, ale nie mam absolutnie pojecia, dlaczego explorer chcial sie w jakis sposob do nich polaczyc. Moja pierwsza reakcja to byla taka, ze ktos sie chce do mnie wlamac, jako, ze czytalem kiedys, ze ktos sie wlamal do kogos kto mial wlaczonego firewalla, podszywajac sie pod jakies procesy skanera antywiruswego (nie wiem na ile to prawda). Jesli ktos ma jakies wytlumaczenie, to chetnie poslucham.

No w kazdym razie, zajrzalem do dziennika zdarzen i troche zdziwilem sie widzac bardzo duzo pewnych zdarzen w 'zabezpieczeniach' (w sumie prawie nigdy tam nie zagladam). Oto co pokazuje sie w dzinniku zabezpieczen po kazdym wlaczeniu komputera (od dolu - pierwszy wpis tuz po wlaczeniu kompa).

http://i43.photobucket.com/albums/e369/ ... tarcie.jpg

a wiec najpierw mamy komunikaty typu "pakiet uwierzytelnien zostal zaladowany prez lokalny urzad zabezpieczen" itp odnoszace sie do procesow LSASRV.DLL, kerberos.dll, msv1_0.dll, schannel.dll, wdigest.dll a nastenie KSecDD, winlogon, winlogon\MSgina, komunikaty typu "pakiet powiadomienia zostal zaladowany...", scecli, DCOMSCM, CHAP, LAn manager workstation Service..

wystepuje tez komunikat "uslugi IPSec nie moga uzyskac pelnej list interfejsow sieciowych komputera..." nastepnie komunikat 848 odnoszacy sie do zapory windowsa, komunikaty kategorii 849 odnoszace sie do "zmiany zasad", typu ICQ, Logitech desktop messanger, jakis stary klient FTP itp (a wiec procesy ktore sa bezpieczne) a nastepnie.. no wlasnie.... wystepuje okolo 200 (na oko) komunikatow kategorii 850 odnoszacych sie do "zmiany zasad" ktore wskazuja na bardzo wiele wyjatkow odnoszacych sie do wielu portow , jak w tym przykladzie:

http://i43.photobucket.com/albums/e369/ ... arcie2.jpg

Nie mam zupelnie pojecia co to oznacza, ale czyby te porty byly zawsze otwarte jak korzstalem tylko z zapory Windows (nie mialem jeszcze Comodo), tym samym ktos mogl uzyskiwac dostep do mojego komputera poprzez te porty?

czy tez jest to normalny zapis a ja blednie go odczytuje... ?

BTW interesuje mnie takze co oznaczaja bardzo czeste komunikaty 528 i 576 ktore pojawiaja sie dosc czesto zarowno w trybie online i offline. Ten screen pokazuje oba komunikaty http://i43.photobucket.com/albums/e369/ ... pekcja.jpg

No ale to chyba akurat nic groznego...

No i ostatnia kwestia, przejrzalem takze uslugi w "narzedziach administracyjnych" i na innej stronie znalazlem sugestie, zeby niektore z nich wylaczyc lub ustawic na reczne celem zwiekszenia bezpieczenstwa, prosze o sugestie czy zrobic tak w istocie.

Wiekszosc uslug mam defaultowych, a wiec takich jak byly pierwotnie ustawione w Windowsie.

  • klient sledzenia laczy rozproszonych = ustawic na reczny?

  • Serwer - wylaczyc ?

  • telefonia - ustawic na reczny?

  • usluga bramy warstwy aplikacji - na reczny ?

  • usluga odnajdywania SSDP - wylaczyc?

  • usluga IPSEC - wylaczyc ?

  • uslugi terminalowe - ustawic na reczny?

  • webclient - wylaczyc?

  • zgodnosc szybkiego przelaczania uzytkownikow - na reczny?

Z gory dziekuje za wszelkie Wasze odpowiedzi i komentarze. :slight_smile:


(Kambor4) #2

Daj log z -----> ComboFix.

:wink:


(Pav444) #3

A wiec przeczytalem i nawet wydrukowalem instrukcje ComboFix, sciagnalem Konsole odzyskiwania windows SP2 home(bo sp3 jeszcze tam nie ma), wylaczylem Avire i Firewalla Comodo, zamknalem wszystkie okna, zapisalem ComboFix jako Combo-Fix, najechalem ikonka Konsoli na Ikonke ComboFix.exe, po najechaniu program sam sie uruchomil, kliknalem na "Tak", pojawilo sie nawet juz niebieskie okienko, ale nagle dostalem komunikat bledu, mowiacy (chyba), ze nie mozna odnalezc WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe (a wiec tej konsoli)

probowalem jeszcze raz uruchomic ComboFix, a potem skasowac i od nowa zainstalowac, ale wowczas dostalem juz bledy "you cannot rename ComboFix as Combo-Fix, please use another name, preferably made up of alphanumerical characters." a wiec hm.. mam tak zrobic?? czy moze przeskanowac system innym narzedziem?

notabene, skanowalem dwa dni temu Sdfix'em i log wyglada chyba na czysty, oto on: http://www.wklej.org/id/8819600e99

prosze jednakze o ustosunkowanie sie do moich alertow z Dziennika Zdarzen. Czyzby te wszystkie porty (kategoria 850 jak widac na skreenie powyzej) istotnie byly zawsze otwarte bo sa ustawione jako wyjatki w zaporze windows (tylko dlaczego?). Teraz, od kiedy uzywam Comodo, zakladam, ze mam juz wszystkie porty niewidoczne ("stealth") jak pokazuje np. test "Shields Up" na Grc.com https://www.grc.com/x/ne.dll?bh0bkyd2

a wiec zapore windows moge / powinienem (?) juz wylaczyc ?

Notabene, a propo Comodo - pokazuje mi on zawsze wiele prob polaczen nazwanych "intrusions". Z tego co sie orientuje, w wiekszosci przypadkow, to jest to albo masowe skanowanie otwartych portow przez spamerow itp, albo proby laczenia z moim numerem IP, ktory przed chwila nalezal do kogo innego, (Neostrada = zmienne IP) a ten ktos wymienial sie p2p? Ja w zadne "file sharing" nigdy sie nie bawie, uzywam komputera glownie do emaili, czytania wiadomosci/artykulow, filmikow na Youtube, pisania na forach czy uzywaniu konunikatorow ( GG i ICQ). :wink: ale czasem jest tych prob polaczen kilkanascie na godzine, a czasem duzo wiecej, jak widac np. tutaj:

http://i43.photobucket.com/albums/e369/ ... ions-1.jpg

Po rozlaczeniu/ponownym polaczeniu z Neostrada, bardzo czesto zmienia sie glowny "Destination port", jak widac na screenie powyzej - przed rozlaczeniem bylo wiele prob laczenia z portem 10185, a po ponownym polaczeniu z internetm, nagle z portem 28765... (ale nie tylko z tym).

Przy wiekszej probie polaczen, czasem dostaje "Ostrzezenie" w dzienniku zdarzen->System, ze "Protokol TCP/IP osiagnal limit zabezpieczen ustalonych dla liczby rownoczesnych prob polaczen TCP"

A wiec z gory dziekuje za wszystkie odpowidzi/komentarze :slight_smile:

Zdaje sobie sprawe, ze temat dotyczy zarowno systemu Windows jak i bezpieczenstwa ale mam nadzieje, ze moze zostac w tym dziale :slight_smile:

pozdrawiam


(huber2t) #4

Djarta logi nie mają nic do tego


(Pav444) #5

hm..

komputer sprawdzalem jak mowilem SDFixem, HijackThis (logi sprawdzilem na hijackthis.de), Avira i Kaspersky'm online i jest raczej czysty.. ale... no wlasnie. jak powiedzial huber2t, to chyba nie ma zwiazku z tymi zapisami z Dziennika Zdarzen.

Moze moje posty zabrzmialy zbyt paranoicznie, ale ciekawi mnie co oznaczaja te logi.

Z tego co wyszukalem, nastepujace po sobie zdarzenia 528 i 576

http://i43.photobucket.com/albums/e369/ ... pekcja.jpg

chyba sie zdarzaja u wielu uzytkownikow, choc nie wiem co oznaczaja.

No ale ta masa wyjatkow "zmiany zasad", zdarzenie 850 http://i43.photobucket.com/albums/e369/ ... arcie2.jpg troche mnie dziwi. Po prostu nie wiem co oznacza i skad wzielo sie tyle tych wyjatkow/zmian zasad. W sumie to zapore XP i tak juz wylaczylem i chroni mnie "tylko" Comodo ale po prostu chcialbym wiedziec. Jak by ktos z Was mogl zobaczyc we wlasnym Podgladzie Zdarzen > Zabezpieczeniach , czy tez ma sporo tych zmian zasad/850 po kazdym starcie systemu, byloby fajnie :slight_smile:

aha i naprawde nikt nie moze poweidziec mi, czy mam istotnie wylaczyc te uslugi ktore wspomnialem na koniec pierwszego posta?

Mam nadzieje, ze niektorzy tu znaja sie jednak lepiej niz ja na komputerach. W sumie przez prawie 5 lat mialem je wlaczone, ale jesli faktycznie lepiej wylaczyc, to tak zrobie..

pzdr. :?