Ports schließen mit Comodo

Ich hab den Thread nur quer gelesen, vielleicht hab ich es überlesen, aber: wenn man von den verlinkten Webseiten einen Portscan macht und man über einen Router (u.a. WLAN) ins Netz geht, muss man natürlich die Router Firewall ausschalten! Oft nennt gibt es bei den Routern eine sogenannte “DMZ” Zone, wo man die IP Adresse einer Spielekonsole üblicherweise einträgt. Dort muss man dann die IP des PCs eintragen, dann sieht man erst wirklich, ob CIS alle Ports versteckt hält, ausserdem kann man so ggf. die Angriffe von aussen in dem Logs sehen, sofern CIS so eingestellt ist.

SVCHOST lauscht bei mir übrigens auf Port 135 (keine Ahnung warum, es ist aber notwendig, da bei Sperrung einiges nicht mehr funktionierte), das System auf 139 und 445 (wegen SMB) und trotzdem war ein Portscan bei mir nicht erfolgreich (alle Ports zu).

Grüß euch, ich setze wegen meiner Kommentare im Folgenden eure Zitate in eckige Klammern, um mir anderweitige Arbeit aus Zeitgründen zu ersparen, ich hoffe, ihr versteht…

adioz86 hat geschrieben:

<Also diese Anfragen kann man als so ne Art Hintergrund rauschen des Netzes begreifen, wo auch mal Paket falsch geleitet werden oder anderes.>

Ich bin nicht der Meinung, dass es sich in Turricans Fall um reines “Hintergrundrauschen des Netzes” handelt.
Sicher gibt es hie und da fehlgeleitete Packets, aber das ist hier mit ziemlich großer Sicherheit auszuschließen.

<svchost.exe zieht die Windows Updates über den Ziel-Port 80 und 443 vom Windows Server(65.xxx.xxx.xxx, weiß die genaue IP nicht).>

WinUpdate über den Port 443 sollte man denn doch vorsichtshalber unterbinden, um anderweitige Attacken leichter erkennen zu können…

<Ansonsten zu den Sicherheits-Tools.
Ich weiß ja nun nicht was du im Internet alles so treibst, ob du Warez Seiten benutzt oder auch P2P/Torrent.>

Es interessiert mich ehrlich gesagt nicht, was Turrican im Internet “so treibt”, das liegt zunächst doch wohl eher in seiner eigenen Verantwortung. Das muss er selber wissen, und sorry nicht wir @adioz86.

<Meine Konfiguration sieht da eher spartanisch aus: Avira Antivir und Comodo Firewall/D+. Mehr hab ich nicht, und ich hab auch noch nie Malware drauf gehabt.>

Glaube ich dir, jedenfalls beinahe

<Und vieles wird von den Programmen auch schlimmer bewertet, als es ist.>

Lieber zuviel, als zu wenig? Nur ein Gedanke.
Sooo schlecht ist seine config nun mal nicht, auch wenn sie etwas ressourcenschonender aussehen könnte.

Cimba hat geschrieben:

<Ich hab den Thread nur quer gelesen, vielleicht hab ich es überlesen, aber: wenn man von den verlinkten Webseiten einen Portscan macht und man über einen Router (u.a. WLAN) ins Netz geht, muss man natürlich die Router Firewall ausschalten!>

Nein, das hast du nicht “überlesen”, das setzte ich leider innerlich voraus. Danke darum für den Hinweis!
Natürlich muss Turrican ohne seinen Router ins Netz, wenn er von außen einen Stealth-Test unternehmen will.

<Oft nennt gibt es bei den Routern eine sogenannte “DMZ” Zone, wo man die IP Adresse einer Spielekonsole üblicherweise einträgt. Dort muss man dann die IP des PCs eintragen, dann sieht man erst wirklich, ob CIS alle Ports versteckt hält, ausserdem kann man so ggf. die Angriffe von aussen in dem Logs sehen, sofern CIS so eingestellt ist.>

Auch das ist richtig.

<SVCHOST lauscht bei mir übrigens auf Port 135 (keine Ahnung warum, es ist aber notwendig, da bei Sperrung einiges nicht mehr funktionierte), das System auf 139 und 445 (wegen SMB) und trotzdem war ein Portscan bei mir nicht erfolgreich (alle Ports zu).>

keine der svchost.exe(s) sollte meiner Meinung nach auf Port 135 lauschen dürfen. Wenn es ohne das nicht funktioniert, stimmt leider irgendetwas in deiner Systemkonfiguration nicht (hinsichtlich der Sicherheit…)
Das “System” sollte auch nicht unbedingt auf den Ports 139 und 445 lauschen dürfen… Immerhin ist es bei dir so, dass deine Maschine von außen als nicht vorhanden gemeldet wird, auch was wert.

Wie ich bereits sagte, liegt meines Erachtens bei Turricans PC ein anderer (wenn nicht mehrere) Grund vor, und die Ursache dafür wollen wir gemeinsam beheben.

Gruß,
REBOL

Hi ReBol,

Weihnachen gut überstanden ;-)? Bin bei Deinem Plan an Punkt C hängen geblieben, zwar gibt es unter Win7 die Netzwerkverbindunge, aber ich finde die erweiterten Einstellungen nicht. Daher kann ich das vermutlich nicht fortsetzen? Dort finde ich nur WLAN und LAN-Verbindung aber nichts mit den von dir erwähnten Einstellungen :-(.

Hier der HiJack Port Scan Bericht:

Prozess: Prozess ID Port: Proto:

D:\Program Files\a-squared HiJackFree\a2hijackfree.exe 196 1532 TCP
D:\Program Files\a-squared HiJackFree\a2hijackfree.exe 196 1538 TCP
D:\Program Files\Avast4\ashMaiSv.exe 2660 12025 TCP
D:\Program Files\Avast4\ashMaiSv.exe 2660 12110 TCP
D:\Program Files\Avast4\ashMaiSv.exe 2660 12119 TCP
D:\Program Files\Avast4\ashMaiSv.exe 2660 12143 TCP
D:\Program Files\Avast4\ashWebSv.exe 2592 1514 TCP
D:\Program Files\Avast4\ashWebSv.exe 2592 12080 TCP
D:\Program Files\Avast4\ashWebSv.exe 2592 12080 TCP
D:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe 876 1402 TCP
D:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe 876 1403 TCP
D:\Program Files\Mozilla Firefox\firefox.exe 4228 1062 TCP
D:\Program Files\Mozilla Firefox\firefox.exe 4228 1063 TCP
D:\Program Files\Mozilla Firefox\firefox.exe 4228 1134 TCP
D:\Program Files\Mozilla Firefox\firefox.exe 4228 1135 TCP
D:\Program Files\Mozilla Firefox\firefox.exe 4228 1437 TCP
D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe 3320 1073 TCP
D:\Program Files\Windows Media Player\wmpnetwk.exe 3004 554 TCP
D:\Program Files\Windows Media Player\wmpnetwk.exe 3004 5004 UDP
D:\Program Files\Windows Media Player\wmpnetwk.exe 3004 5005 UDP
D:\Program Files\Windows Sidebar\sidebar.exe 3204 49154 UDP
D:\Windows\System32\lsass.exe 528 1027 TCP
D:\Windows\System32\services.exe 512 1029 TCP
D:\Windows\System32\spoolsv.exe 380 1030 TCP
D:\Windows\System32\svchost.exe 804 135 TCP
D:\Windows\System32\svchost.exe 1096 1026 TCP
D:\Windows\System32\svchost.exe 1160 1028 TCP
D:\Windows\System32\svchost.exe 1160 500 UDP
D:\Windows\System32\svchost.exe 3068 1900 UDP
D:\Windows\System32\svchost.exe 1160 3544 UDP
D:\Windows\System32\svchost.exe 1348 3702 UDP
D:\Windows\System32\svchost.exe 3068 3702 UDP
D:\Windows\System32\svchost.exe 1160 4500 UDP
D:\Windows\System32\svchost.exe 960 5355 UDP
D:\Windows\System32\svchost.exe 3068 49923 UDP
D:\Windows\System32\svchost.exe 3068 49924 UDP
D:\Windows\System32\svchost.exe 3068 52232 UDP
D:\Windows\System32\svchost.exe 1348 52234 UDP
D:\Windows\System32\svchost.exe 1160 56209 UDP
D:\Windows\System32\svchost.exe 1348 59883 UDP
D:\Windows\System32\wininit.exe 460 1025 TCP
system 4 139 TCP
system 0 1539 TCP
system 0 1541 TCP
system 0 1542 TCP
system 0 1543 TCP
system 0 1547 TCP
system 4 445 TCP
system 4 2869 TCP
system 4 5357 TCP
system 4 10243 TCP
system 4 137 UDP
system 4 138 UDP
system 0 1548 TCP
system 0 1549 TCP
system 0 1550 TCP
system 0 1551 TCP
system 0 1552 TCP
system 0 1553 TCP
system 0 1554 TCP
system 0 1555 TCP
system 0 1556 TCP
system 0 1557 TCP
system 0 1559 TCP
system 0 1560 TCP
system 0 1561 TCP
system 0 1562 TCP
system 0 1563 TCP
system 0 1564 TCP
system 0 1565 TCP
system 0 1566 TCP
system 0 1567 TCP
system 0 1568 TCP
system 0 1569 TCP
system 0 1570 TCP
system 0 1571 TCP

VG
Turri

Hallo Adioz,

habe keine Warez und kein P2P laufen, das wäre ja noch eine Erklärung, ist aber alles nicht drauf ^^

VG
Turri

Hi Rebol,

langsam wird der Thread unübersichtlich ;-). Versuche es trotzdem mal, weil ich auch langsam durcheinander komme srgh

Teste ich gleich mal ^^

Ich denke das ist so ne Glaubenssache ;-). Bietet der Avira denn so viele Vorteile?

Spyware Terminator ist drauf, nur die Crawler Bar nervt derzeit etwas rum und will ständig ins Netz, aber das legt sich augenscheinlich auch wieder. SuperAntiSpyware ist gestartet aber kein Echtzeitschild. Der Terminator hat auch eine ulkige Update-Funktion, die wohl nach dem P2P Prinzip läuft.

Spybot & AdAware habe ich schon so ewig laufen, solange das System nicht hängt lasse ich die lieber an,., Man weiß nie.

Wird gleich getestet, derzeit aktualisiert sich der Terminator.

Log siehe Beitrag

Vielen Dank für die ganze Hilfe, Mühe und alles, ich hoffe ich steige da noch durch X-D

Schon mal einen guten Rutsch und vielen Dank an alle Helfer und alles Gute für 2010 wünscht
Turri
[/quote]

Grüß dich, Turrican, hab leider nur kurz Zeit heute:

system 4 139 TCP (TCP: daher relativ gefährlich)

system 4 445 TCP (TCP: daher relativ gefährlich)

system 4 2869 TCP (ungewöhnlich, zumal TCP: sehr verdächtig)

system 4 5357 TCP (ungewöhnlich, zumal TCP: sehr verdächtig)

system 4 10243 TCP (ungewöhnlich, zumal TCP: sehr verdächtig)

system 4 137 UDP (allg. gefährdeter Port, UDP-Protokolle gelten vielen als harmlos, Vorsicht!

system 4 138 UDP (allg. gefährdeter Port, UDP-Protokolle gelten vielen als harmlos, Vorsicht!

Wir sollten uns wohl noch länger über dein Sys unterhalten.
Im Augenblick jedenfalls scheint es mir gespenstisch offen für so manches…

Bis bald.

REBOL.

Also so wie ich das sehe, sollte eigentlich alles in Ordnung sein, außer bei mir ist auch der ganze Rechner Schrott und völlig unsicher, was ich beim besten Willen nicht glauben kann.
Bei mir sieht die Log von HJackFree auch nicht groß anders aus:

Prozess: Prozess ID Port: Proto:

C:\Program Files (x86)\ICQ6.5\ICQ.exe 2008 52342 TCP
C:\Program Files (x86)\ICQ6.5\ICQ.exe 2008 57991 UDP
C:\Program Files (x86)\Mozilla Firefox\firefox.exe 180 52366 TCP
C:\Program Files (x86)\Mozilla Firefox\firefox.exe 180 52367 TCP
C:\Program Files (x86)\Mozilla Firefox\firefox.exe 180 52369 TCP
C:\Program Files (x86)\Mozilla Firefox\firefox.exe 180 52370 TCP
C:\Program Files (x86)\Mozilla Firefox\firefox.exe 180 52812 TCP
C:\Program Files\Windows Media Player\wmpnetwk.exe 3468 554 TCP
C:\Program Files\Windows Media Player\wmpnetwk.exe 3468 5004 UDP
C:\Program Files\Windows Media Player\wmpnetwk.exe 3468 5005 UDP
C:\Windows\System32\lsass.exe 552 49155 TCP
C:\Windows\System32\services.exe 536 49159 TCP
C:\Windows\System32\spoolsv.exe 1616 49160 TCP
C:\Windows\System32\svchost.exe 840 135 TCP
C:\Windows\System32\svchost.exe 364 49153 TCP
C:\Windows\System32\svchost.exe 492 49154 TCP
C:\Windows\System32\svchost.exe 492 500 UDP
C:\Windows\System32\svchost.exe 1888 1900 UDP
C:\Windows\System32\svchost.exe 1888 3702 UDP
C:\Windows\System32\svchost.exe 1156 3702 UDP
C:\Windows\System32\svchost.exe 492 4500 UDP
C:\Windows\System32\svchost.exe 976 5355 UDP
C:\Windows\System32\svchost.exe 1888 49614 UDP
C:\Windows\System32\svchost.exe 1888 58633 UDP
C:\Windows\System32\svchost.exe 1888 58634 UDP
C:\Windows\System32\svchost.exe 1156 63197 UDP
C:\Windows\System32\svchost.exe 1156 65448 UDP
C:\Windows\System32\wininit.exe 480 49152 TCP
D:\Games\Steam\Steam.exe 824 55684 UDP
D:\Games\Steam\Steam.exe 824 61066 UDP
system 4 139 TCP
system 0 52819 TCP
system 0 52821 TCP
system 0 52822 TCP
system 4 445 TCP
system 4 2869 TCP
system 4 5357 TCP
system 4 10243 TCP
system 4 137 UDP
system 4 138 UDP
system 0 52799 TCP
system 0 52800 TCP
system 0 52801 TCP
system 0 52802 TCP
system 0 52803 TCP
system 0 52804 TCP
system 0 52805 TCP
system 0 52806 TCP
system 0 52807 TCP

Hallo adioz86,

ich sagte nicht, dass hier irgendein Rechner Schrott ist oder völlig unsicher, ich hab lediglich auf die eventuelle Gefährdung besonders anfälliger Ports hingewiesen…

Sieh dir doch einfach mal die PIDs (Process ID) an, die euren Verbindungen/beendeten Verbindungen von “system” zugeordnet sind. Bei mir besteht nur eine Verbindung von system unter der PID 0.
Bei euch besitzen mehrere die PID 4. Und gerade diese lauschen bei euch an den Ports 137-139 sowie 445, bei mir hingegen nicht.
Muss trotzdem nichts böses sein, evtl. automatisches Winupdate etc. etc.
Um das herauszufinden, einfach den “Process Explorer” runterladen und damit feststellen, welchen Anwendungen / Prozessen denn nun genau diese PID 4 zugeordet ist. (Bitte posten)
Damit dürften sich dann alle offenen Fragen erledigen.

http://download.sysinternals.com/Files/ProcessExplorer.zip

Viele Grüße

REBOL

War vllt nen bisschen übertrieben von mir mit dem Schrott und so, sorry.

Gut, mag bei mir daran liegen, dass ich das NetBios nicht deaktiviert habe im System, sehe dazu auch eigentlich keine Notwendigkeit, denn wenn CIS deaktiviert werden konnte, ist es eh schon zu spät, da komsmt dann darauf auch nicht mehr an.

Also bei mir läuft unter der PID 4: System → smss.exe

Hi Rebol,

sorry, dass ich länger nicht geschrieben habe, war viel Stress mit Job/Familie ^^

So langsam werde ich echt nervös :-(, wenn Du meinst, da sei Polen bei mir so offen. Wozu habe ich dann die Firewall? Dann scheint CIS ja doch nicht so der Bringer zu sein, wenn Hinz & Kunz alle bei mir reinspazieren können hilfe.

Auf den 4er PID ist nur System registriert, siehe Bild. Sollte ich das System besser neu aufsetzen oder die Firewall tauschen? Warum kann ich diese Ports mit Comodo nicht schließen, bzw. gibt es einen Weg dafür, oder nicht schlichtweg ein Port-Tool um einfach zu sagen: mach die die und die Ports zu und schluss? Bin leider kein Experte :-(…

Danke fürs Helfen, ich krieg langsam Panik…

VG
Turri

[attachment deleted by admin]

Wenn du bei dem Programm mal vor dem System auf das Minus drückst, dann verschwindet die Datei drunter, also die smss.exe, d.h., sie läuft unter der Prozess ID vom System mit.

Ganz so schlimm ist es mit deinem System nicht, wie du schreibst.
Er meinte halt nur, dass da was sein könnte, aber nicht muss. Ich geh stark davon aus,dass da nichts ist, und es kann ja auch keiner reinspazieren bei dir ins System.
Hast du mal die Port weiterleitung probiert, ob es vllt an deinem Router liegt, dass der TCP Null Test nicht bestanden wird? Müsstest du mal in deinem Router bei Demilitarisized Zone (DMZ) gucken oder nach Exposed Host suchen. Und dann den Test nochmal durchführen, wenn alles an CIS weitergeleitet wird.

@ Rebol
hab jetzt übrigens bei mir den Grund warum System auf NetBios lauscht, habs für die LAN adressen erlaubt, wird wahrscheinlich der Grund sein.

Stimmt, wird langsam schwierig…

wenn ich cis installiere, ist alles dicht. du solltest NIEMALS ingoing erlauben, außer du stellst nen server! benutze den stealth port wizard unter firewall---common (allgemein). die 3. einstellung, hide me to all.

es darf normalerweise kein port offen sein.
den eindruck, den du von cis hast, kann ich nicht teilen. hier kann keiner rein. da ist was im argen bei dir.
ich habe grundsätzlich NUR outgoing rules, für alles. und das funktioniert. dann ist auch kein port offen.

svchost ist geblockt (falls updates von windows nicht laufen, einfach OUTGOING), windows ist geblockt, firefox ist ein web browser (als rule).

Habe CIS so konfiguriert wie es empfohlen wurde, bzw. wie im Forum angegeben. Trotzdem findet der Port-Scanner 3 offene.

falls bei dir dann irgendwas nicht geht, brauchst du nur dein eigenes wlan netzwerk erlauben.

wenn ich lese, svchost allow tcp udp in any adress, ja, dann ist es wohl besser, du deinstallierst die firewall gleich, spart dir ram und hat ungefähr dieselbe wirkung.
eine firewall ist nur so gut, wie du sie einstellst.
mach alle regeln nochmal. nur outgoing allow.
im höchstfall brauchst du eine adress zone ingoing erlauben, und zwar die deines wlan netzwerkes!
hoffe, das hilft.

Ich habe mich was svchost angeht an Rebols Anleitung gehalten.

btw, sind das nicht sehr viele svchost exe die du da hast???

Wundert mich auch, ist mal mit WindowsDefender, mal mit Plug’n’Play verbunden etc.

how to close ports (the hard way). hab ich nie gebraucht. aber so gehts

firewall, advanced, netzwerk sicherheitsrichtlinie, global rules

add rule, block AND log, ip, in out, einzelner source port 135 (als beispiel), ok, ok, fertig.

und noch ein allgemeiner tip am rande: block rules sollten oben stehn. weil das die reihenfolge ist. wird oben was erlaubt, was unten geblockt ist, wird es erlaubt.

Gemacht, Ports sind immer noch offen. Habe das mehrfach probiert, brachte gar keinen Effekt. Genau das sollte CIS doch tun, das ist ja was mich wundert, an sich habe ich alles so konfiguriert wie es empfohlen wird, habe keine negative Software installiert aber die Ports bleiben stur offen, 135, 139, 1025 werden vom Port-Scanner als offen angezeigt. Genau das sollte CIS doch eigentlich verhindern?

Mir fällt auf, dass Firefox ständig abstürzt, alle paar Minuten. Bei Eingabe von Text, oder Dateiauswahl etc. Friert ein und muss neu gestartet werden. Aber kein einziger Scanner meldet etwas.

Viele Grüße
Turrican

Ich kann keinen einzelnen Port schließen. Schließen kann ich
-beliebig
-einzelne IP (IPv4, also kein Port)

• IP-Bereich
• IP-Maske
  -Zone
• Hostname (habe da die 135 eingetragen)
  -MAC-Adresse.

Also kann ich keinen Port schließen, was genau mach ich denn falsch?

VG
Turrican

Ports schließen tut man genauso wie man auch welche öffnet, nur das es dann eine eingehende Verbindung TCP/UDP Ziel Port 135 oder 139, 1025 ist.
Mehr ist es nicht.
Der Portscanner ist doch auf deinem PC oder? Welchen Portscanner nutzt du eigentlich. Auf die Portscanner, die direkt aus dem Inet scannen, würde ich mich eher verlassen.

Ich habe sie ja nicht bewusst geöffnet, ich habe nachdem ich Win7 aufgesetzt habe, direkt CIS installiert und darauf vertraut, dass dieses sich um alles kümmert. Selber geändert habe ich ja eben nichts.

Ich nutze Advanced Port Scanner und nun auch CPorts, das auch schließen kann, aber die 3 offenen Ports macht es einfach nicht dicht, passiert einfach nix.

Habe mir gerade die F-Secure Boot-CD runtergeladen und gebrannt und scanne gleich noch mal. Egal was ich versuche, ich krieg die Ports nicht zu, es ist zum heulen. Genau das sollte die Regel von CIS doch alleine machen, darum bin ich derzeit etwas enttäuscht, weil ich ja dachte, da ginge damit automatisch… Der Stealth Modus scheint ja zumindest bei mir nicht richtig zu klappen…

Überlege schon, den Rechner platt zu machen…

Habe mal eine Anleitung befolgt, den 135er manuell zu schließen. AdvancedPortScan meldet ihn immer noch als offen. Langsam zweifle ich an meinem Verstand.

Viele Grüße
Turri

Sooo, habe noch mal Port Scanner bemüht. http://tools-on.net, http://www.auditmypc.com, http://www.port-scan.de und https://www.grc.com melden allesamt mein System sei sicher, bzw. Stealth. Angeblich alles sicher, ob mich der interne PortScanner nur verhohnepiepelt?

Sorry dass ich hier alle verrückt mache, mich nervt es auch langsam X-(. Möchte nur nich nächstes Mitglied im Botnetzwerk sein…

Viele Grüße
Turri

_{Edit von EricJH: habe die url fuer portscean.de repariert}

Hallo Clockwork,

Man höre und staune, ich hab es geschafft… Mann bin ich verpeilt, habe die Option aber gefunden und alle IN Verbindungen für IP, TCP etc… geschlossen.

du benutzt windows 7, da kann es schon sein, daß da mehr svchosts sind als beim alten xp. hatte mich nur gewundert. bei vista gibts ja auch viel mehr "auto processe" als in xp. (vermutung)

ZUR PRAXIS:
wenn du einen port scan im internet machen läßt “pcflank.com” “port-scan.de”, dann ist es eher so, wie es in echt passiert. jemand scannt dich. nur sind die so freundlich, dir zu sagen wie das ergebnis war

Yepp^^. Habe es gerade mit TCP über https://www.grc.com versucht und er meldet 135, 139 und 1025 als Stealthed. Ergo muss sich das Port-Scan-Tool täuschen, oder ich habe es falsch konfiguriert.

wenn alle deren tests sagen, du bist close or stealth, was willst du mehr? (tcp test nicht vergessen bei port-scan.de, dauert 3 stunden, testet alle ports).

Der läuft gerade, also der lange Test, den mache ich bei PC Flank weil Port-Scan.de nicht klappt (meldet entweder Fehler oder sagt, es könne etwas auf der Seite nicht finden). Die anderen Tests waren alle positiv.

falls du in zukunft mal keinen router mehr benutzt, nur noch eine firewall, mach auf jeden fall die tests da nochmal. bis dahin, sei dir noch gesagt: ich habe bisher nur online tests gemacht. und wenn die beiden mir sagten dicht, waren die andern nur cosmetic.

hast du bei “traffic” im hauptfenster irgendwas stehn, was auf den ports lauscht? ich meine, von sich aus, ohne daß du es startest? falls du das nicht brauchst, und alles läuft, braucht auch nix von sich aus lauschen.

System lauscht immer noch auf 139, obwohl ich es geblockt habe bei den Regeln. Ansonsten svchost, habe da mal alles geblockt und dann ging kein Internet mehr. Viel läuft über ashwebsv.exe, ein Teil von Avast.

UND NICHT VERGESSEN: du brauchst normalerweise nie eine INgoing rule. du bist kein server, also fragst du nach sachen, die du haben willst, und du bekommst sie. SVCHOST ALLOW INGOING PORT 443 bedeutet: zum beispiel "ich" kann mit deinem svchost quatschen, wenn ich ihn auf 443 anspreche. lösche deine INgoing rules, setz die block rules nach oben. falls du einen server hast, versuche INgoing soweit wie möglich einzugrenzen. solange du den wizard nicht benutzt, und svchost exe ingoing traffic erlaubst, bekommst du nichmal mit, wenn "ich mit dem rede". firewalls sind ein logicrätsel. da comodo ein gutes userinterface hat, kannst du alle aufgaben lösen ;)

ps: eventuell solltest du einem moderator das programm zukommen lassen, was dir sagte, die ports seien offen. man kann ja nie wissen. und das resultat seines tests könnte hier gepostet werden.

Habe ja alle IN-Regeln per globalDEfine geblockt und hoffe, da wirkt. Warum System immer noch lauscht ist mir aber ein Rätsel. An wen dürfte ich den Port-Scanner denn schicken? Ansonsten die Daten: AvancedPortScanner 1.3 von Radmin, Range 192.168.0.0 bis 192.168.0.255, meldet hartnäckig die drei anfgeblich offenen Ports. Vielleicht sind diese ja nur intern offen, oder irgendwas…

Mir raucht der Kopf…

Viele Grüße
Turri

So habs mal ausprobiert.
Bei mir sieht es bei den ersten 10001 Ports auch nicht gut aus.
Mir ist aber aufgefallen, dass der Scanner gar nicht von CIS bemerkt wird, also dass er Verbindungen aufbaut.
Von daher kann CIS ihn auch gar nicht blocken.
Du kannst also sonst was für Regeln erstellen um die Programme zu blocken, es wird dir nicht gelingen.
Also kannst du den Portscanner vergessen.
I have used superscan and this shows 1 open Port (UDP 137), which i could not close, but that’s an Software port scanner, too. But here CIS notice him that he scans, with correct settings.

[attachment deleted by admin]

Hi Clockwork,

habe beide Tests pcflank und port-scan.de durchlaufen lassen. PCFlank gibt nichts an und sagt die Session sei abgelaufen :-(, Port-Scan zeigt an dass alles zu ist, aber es gibt kein Protokoll, die Liste ist einfach leer. So ganz koscher ist das doch irgendwie nicht…

Was ich meinte: Ich habe für alle eine globale Regel erstellt, also für IP, Mac, TCP etc - habe überall IN auf blockiert und protokolliert gesetzt und alle Bereiche geschlossen. D.h. es dürfte gar keinen IN-Verkehr mehr geben.

Werde das englische Forum mal bemühen

Viele Grüße
Turri

Hey adioz,

also würdest Du sagen es liegt am Scanner? Der andere hatte ja auch was angegeben bei mir. Da aber der letzte HiJack Log sauber war und von außen alle Scanner melden, dass sie draußen bleiben, darf ich das vielleicht als False Positive werten ;-)? Wobei svchost immer noch ständig nachfragt, was aber auch jeweils Tools sein können, bzw. ggf. auch an Win7 liegt?

Vielen Dank an alle für Eure Hilfe! Klasse dass es Leute gibt, die Ahnung haben und mir weiterhelfen :-).

VG
Turri