Hulp nodig bij een alarm

Het is niet de eerste keer dat ik deze melding krijg en ik weet absoluut niet wat ik moet doen.
Ik heb dus maar geblokkeerd zonder onthouden.
De melding is de volgende:
Applicatie svchost.exe
Bestemming : 134.54.14.157 - TCP
Poort ms-rpc(135)
En dan de uitleg Svchost.exe is een veilige applicatie. Echter je staat op het punt een verbinding van een andere computer te ontvangen. Als je niet zeker weet wat te doen moet je dit verzoek blokkeren.

Ik was op dit ogenblik niets speciaals aan het doen dus ik heb maar geblokkeerd.
Het is ook niet zo dat ik de melding regelmatig krijg. Vorige maal op 13/4
Telkens van IP 134.54.14.157

Anderzijds heb ik een ander probleem waarover ik al ettelijke meldingen aan Microsoft gemakkt heb maar waarop ze mij geen antwoord geven.
Dit probleem is dat ik na het uitvoerten van Windows Update in de logboeken voor een groot deel van de updates de waarschuwing krijg dat de update niet bestemd is voor mijn systeem.
De enige reactie van Microsoft is : in de logboeken moet je niet kijken.
Bij Windows Answers is er een persoon, die dit al een paar jaar geleden opmerkte en ook nooit een reactie van Microsoft kreeg.
Ik dacht op een moment dat het aan Comodo zou kunnen liggen maar hij werkt er niet mee.
Toch stel ik me de vraag of Comodo Microsoft zou kunnen beletten in mijn pc naar mijn systeem te kijken.

Wat betreft dit 2e - vermeld ik gewoon terloops

Hoi danyb,

Het blokkeren van dit alarm lijkt me verstandig, er is normaal gesproken geen enkele reden om vanaf internet een connectie te moeten toestaan naar jou PC op poort 135 (MS-RPC) deze worden regelmatig aangevallen door wormen die via een netwerk verspreiden. Volgende keer kun je deze gerust blokkeren en onthouden.

Wat betreft je 2e opmerking heb je daar ook de eventID’s bij die in het logboek staan?
evt een schermprintje van deze melding(en), beetje vreemde opmerking van M$ dat je daar niet in zou moeten kijken.

Ronny,
Zoals altijd weer klaar om te helpen blijkbaar.
Zal dus steeds blokkeren.

Wat betreft de tweede opmerking:
Dit is het antwoord dat ik van Microsoft kreeg:
Wij hebben uw verzoek in ons team onderzocht. Dat is ook de reden waarom het antwoord op uw vraag wat langer op zich heeft laten wachten. Hier is volgende uit gekomen. U meldt dat u bij het installeren van de updates geen melding krijgt waar uit zou kunnen blijken dat er iets aan de hand is metde updates. U meldt alleen dat u meldingen in het logboek van Windows vindt. Het probleem met de logboeken is dat in ieder logboek op iedere computer meldingen staan zoals u ze beschrijft. Dat is ook op mijn computer het geval. Ook op mijn computer kan ik melden vinden waarin gemeld wordt dat iets niet werkt of gaat zoals het zou moeten gaan. De door u gevonden meldingen in het logboek van Windows zijn daarom dus geen reden tot zorg. De bedoeling van de logboeken is ook niet om er in te kijken als alles goed werkt. Het is eerder juist omgekeerd. De logboeken zijn bedoeld voor als zou blijken dat iets niet goed werkt. In uw geval lijkt alles juist goed te werken. U hoeft daarom dan ook niet in de logboeken te kijken.

Intussen blijf ik de logboekmeldingen krijgen. Zo ook weer bij de laatste Windows update op 13/4:
Gebeurtenis-id is 4374 "Pakket KB2449742 (security update) is niet geschikt voor uw systeem - zelfde voor KB2412687

Ik ben ook in contact geweest met iemand, die hetzelfde had vastgesteld en er een tijd over correspondeerde op Windows Answers Redirecting. Hij heeft nooit een antwoord gekregen. Hij haalt de updates er telkens weer af en heeft er ook een pagina over http://www.jjvanka.net/webslug.htm. Omdat ik vreesde dat mijn Comodo misschien de oorzaak was heb ik hem gevraagd of hij er mee werkte maar dat was niet zo.

Voorlopig trek ik er mij niets meer van aan. Oorspronkelijk liep mijn pc een paar keer volledig vast. Dat was de reden waarom ik in de logboeken keek. Nu gebeurt het echter niet meer.

O ja - over die melding nog iets. Ik ben in mijn Firewall logboek gaan kijken en vond daar het IP adres van de Bron. Dat blijkt toe te horen aan Agfa Geevaert Mortsel (134.54.14.157) - Zelfde IP adres voor de aanval op 13/4 en op 18/4. Zou ik daar stappen voor moeten ondernemen?

De eerste update is;
MS11-028: Description of the security update for the .NET Framework 3.5 Service Pack 1 and the .NET Framework 2.0 Service Pack 2 on Windows Vista Service Pack 2 and Windows Server 2008 Service Pack 2: April 12, 2011

MS11-029: Description of the security update for Windows GDI+: April 12, 2011

Wat voor OS versie, service pack en taal gebruik je?

Hier zijn nog wat aanwijzingen naar wat log bestanden om evt verder te spreuren.

Ik kom ook nog iets tegen over systemen die van XP naar Vista geupgrade zijn, is dat toevallig hier ook van toepassing?

Met betrekking tot dat ip zou je abuse@provider kunnen emailen zodat ze contact op kunnen nemen met die klant, de kans is vrij groot dat de pc(s) besmet zijn. Of ze er iets op uit doen is maar de vraag.

Dit is een beetje een long shot maar lijkt me de moeite waard.

Als ik het goed begrijp gebruik je Vista. Laat de Windows Vista Update Readiness Tool eens zijn werk doen. Deze tool kan problemen met je installatie die kunnen optreden met het updaten analyseren, en vaak verhelpen.

Het programma loopt voor ongeveer 20-30 minuten. Niet afbreken maar gewoon laten lopen

Ronny:
Ik gebruik Windows Vista Home Premium - Service Pack 2
Taal Nederlands
Wat betret NET Framework zie ik (als ik Revo Uninstaller mijn programma’s laat overlopen):
Microsoft.NET Framework 3.5 SP (geinstalleerd 6/3/2009) en
Microsoft.NET Framework 4 Client Profile (geinstalleerd 5.9/2010)

Zou het aan die .NET Frameworks kunnen liggen?

Ik ga mij nu in de verdere tips verdiepen o.a. ook wat Eric aanraadt.
Alvast bedankt voor de hulp.
Het zou wel super zijn als ik het door jullie kan oplossen!!!

Ronny:
Vermits het IP adres niet dat van een provider maar van Agfa Geevaert was heb ik hen gebeld. Ze hebben de zaak onderzocht en ontdekt dat er een probleem was met een computer, die is intussen afgesloten.
Hoera voor Comodo.
Ik heb daarmee geleerd: bij elke melding, die ik niet begrijp eerst even blokkeren (antwoord niet onthouden) en de zaak verder onderzoeken.

Schitterend dat jullie ook zoeken naar mijn windows update probleem. Jouw tip bewaar ik maar helpt mij niet meteen verder

Look at the last error in the Component-Based Servicing (CBS) log (located at %windir%\logs\cbs\cbs.log)
Ik kan de logs niet lezen. Probeerde rechtsklikken en openen als administrator maar dat staat niet bij de opties.
For information about how to contact CSS, see Support Options from Microsoft Services
- kan het niet vinden.

Dan gedaan wat Eric voorstelde :
Hulpprogramma System Update Readiness voor Windows Vista (KB947821) [februari 2011] geïnstalleerd.
Eerst Windows6.0-KB947821-v12-x86.msu opgeslagen en dan dit geïnstalleerd. Installatie heeft lange tijd gelopen en dan gebeurde er niets meer : ik vermoed dat de hotfix daarmee uitgevoerd is.
Voorlopig kan ik niet nagaan of alles goed verlopen is. Dat zal blijken bij volgende Windows update.
Willen jullie op de hoogte gehouden worden?
Ben vanaf zondag wel voor 3 weken weg naar Frankrijk.

Ja hoor, laat maar even weten of het iets geholpen heeft, zo niet kunnen we altijd nog even verder speuren…

Okidoki!

The System Update Readiness Tool slaat een log up in H:\Windows\Logs\CBS\CheckSUR.log . Dan kun je zien of het fouten heeft geconstateerd en of die gefixt zijn of niet.

Ik heb nog een vraagje over jouw verbinding. Het lijkt erop dat jij met een modem rechtstreeks met het web verbindt; lees er is geen router aanwezig. Is dat correct?

In dat geval kun je CIS ook instellen dat het standaard alle verkeer blokt zonder je te informeren. Dat is wat prettiger omdat je dan de “ruis” van het web niet ziet.

Dat kun je doen via Firewall → Hulp bij poortmaskering → druk op “Blokker alle inkomende connecties. Maskeer mijn poorten voor iedereen” en klaar ben je. Je kunt het resultaat zien in Netwerkbeveiligingsregels → Globale Regels.

Mocht je willen dat CIS de blokkeringen voor je logt dan moet je de Block regel, onderaan bij Globale Regels met het rode icoon, even aanpassen.

Bedankt Eric,
Heb de CheckSUR.log bekeken : geen errors
BTW (jullie zijn toch zo behulpzaam dus ik vraag maar) - Ik had een tijd geleden msdtc fouten aan Microsoft gemeld. Net vandaag vroegen ze of ik de H:\Windows\Logs\CBS\CBS.log eens wou bekijken. Daar krijg ik de melding toegang geweigerd???

Bedankt voor de typ in verband met Poortmaskering. Ga ik dan geen problemen krijgen? Ik denk er bvb aan via een programmaatje dat ik laatst op het internet vond hulp op afstand te bieden aan een paar mensen, die mijn hulp soms vragen bij problemen. Zal dat dan nog werken?
Ik werk nu al jaren met Comodo en het hindert mij niet echt dat ik die vragen krijg. En zoals nu met deze melding hebben ze bij Agfa Geevaert ontdekt dat ze een probleem hebben. Dat is toch mooi.
Waar het wel interessant voor is : Ik promoot Comodo nogal bij vrienden. Voor hen is de instelling misschien beter. Als ze geen router hebben natuurlijk.
Ik begrijp het toch goed dat een router zo’n ding is dat in je huis verschillende pc’s met het net verbindt?

De CBS log file bevat de log gegevens van System File Check opdrachten vanaf de command prompt (typisch sfc /scannow) en zou gewoon benaderbaar moeten zijn. Wellicht is er een probleem met wie de eigenaar van het bestand is (Ownership). Hier kun je een beschrijving vinden hoe weer eigenaar te worden van bestand of map (Take Ownershi): http://www.raymond.cc/blog/archives/2009/03/05/full-control-permission-to-delete-or-edit-restricted-windows-registry/ .

Er zijn meerdere van dergelijke tutorials te vinden voor het geval deze niet helder genoeg is. Zoek met zoekopdracht take ownership.

Bedankt voor de typ in verband met Poortmaskering. Ga ik dan geen problemen krijgen? Ik denk er bvb aan via een programmaatje dat ik laatst op het internet vond hulp op afstand te bieden aan een paar mensen, die mijn hulp soms vragen bij problemen. Zal dat dan nog werken?
Dat zal niet zondermeer werken. Je moet dan in Globale Regels poorten openzetten voor inkomend verkeer en wellicht ook de Programma Regel voor dat programma aanpassen.
Ik werk nu al jaren met Comodo en het hindert mij niet echt dat ik die vragen krijg. En zoals nu met deze melding hebben ze bij Agfa Geevaert ontdekt dat ze een probleem hebben. Dat is toch mooi.
Niets aan toe te voegen. Wie de schoen past trekke hem aan. Deze schoen past jou en je hebt daarbij ook nog een nuttige bijdrage geleverd.
Waar het wel interessant voor is : Ik promoot Comodo nogal bij vrienden. Voor hen is de instelling misschien beter. Als ze geen router hebben natuurlijk. Ik begrijp het toch goed dat een router zo'n ding is dat in je huis verschillende pc's met het net verbindt?
Dat is precies wat een router doet.

Je kunt deze instellingen ook op je locale netwerk instellen. Dan krijgen de gebruikers geen alerts van andere computers die contact willen. Als delen van bestanden en printers over het locale netwerk een vereiste is kun je het lokale netwerk als vertrouwd definiëren via Hulp bij poortmaskering.

Je kunt met CIS alle kanten op zoals je ziet.

Je kunt met CIS alle kanten op zoals je ziet.
Ik ben dan ook een onvoorwaardelijke fan. Alleen moet je er wel mee leren werken. Dankzij dit forum heb ik al veel bijgeleerd. Jullie doen hier schitterend werk. Ik vertrek einde van de week voor 3 weken naar Frankrijk en kan mij nu niet echt erg met het Windows Update probleem meer bezighouden. Jullie horen dus een tijdje niets meer van mij.
Quote

Bedankt voor de typ in verband met Poortmaskering. Ga ik dan geen problemen krijgen? Ik denk er bvb aan via een programmaatje dat ik laatst op het internet vond hulp op afstand te bieden aan een paar mensen, die mijn hulp soms vragen bij problemen. Zal dat dan nog werken?
Dat zal niet zondermeer werken. Je moet dan in Globale Regels poorten openzetten voor inkomend verkeer en wellicht ook de Programma Regel voor dat programma aanpassen.


Dus als ik met dat programma begin zal ik jullie hulp waarschijnlijk weer moeten inroepen ;D

We zijn hier als je terug bent van vakantie.

We krijgen notificatie als er gepost wordt dus je wordt niet vergeten als je straks terugkomt.