hallo zusammn,
habe mir gestern die normale sygate-firewall auf die platte gebracht. nun zeigt das gute stück in abständen immer die Meldung das er "ntoskrnl.exe" blockt..(ich nutze übrigens XP falls das wichtig sein sollte).
was hat denn die meldung zu bedeuten und kann man dagegen was machen? liege ich mit der vermutung richtig dass da daten an micros. gesendet werden sollen, oder bin ich da auf dem holzweg?
danke für eure hile schon einmal!

hi,

- welchen PFad gibt Sygate für die verbindungsfreudige EXE an ?
- bitte liste doch mal all fundstellen von ntoskrnl.exe aauf deinem System, mit Datums und Größenangaben & evtl den Infos aus Dateieigenschaften (Explorer-Optionen so einstellen, dass ALLE (auch System-Dateien) angezeigt werden)

ntoskrnl ist eigentlich eine Win-System-Datei, also erstmal Vorsicht;
es gibt natürlich auch Viren, die sie modifizieren:
http://us.mcafee.com/virusInfo/default.asp?id=searchAdv

Außerdem geben sich Trojaner gerne Namen von SystemDateien.

->
Scanne die Datei mal mit Onlinescannern von KAV und/oder Trend (s.u.) bzw. nach www.ravantivirus.com

Hast du kein aktuelles AV-Programm drauf ?


[ 24. Oktober 2003, 18:34: Beitrag editiert von: Who Cares ]

also: dazu muss ich evtl. noch was erklären-hatte bis vor wenigen tagen norton firewall+antivirus drauf, die ich dann runtergeworfen habe um dann halt mal sygate und antivir auszuprobieren.antivir hatte mir auch trojaner angezeigt und auch gelöscht..wobei ich aber sagen muss dass norton mir vorher garnix angezeigt hat (hatte ich ca. halbes jahr drauf).
mit diversen trojaner-sacnnern habe ich auch nichts gefunden (u.a. tauscann+anti-trojan-beide melden system trojaner-frei). nun habe ich in anderen foren einfach mal geschaut und folgenden beitrag bzw. antworten gefunden. hänge das einfach mal an an diesen beitrag (der mensch hatte das gleiche Problem..):

http://board.protecus.de/showtopic.php?threadid=3845

Neben den Antworten auf Who Cares' Fragen, wären außerdem die genauen Firewall-Meldungen von Interesse (incoming oder outgoing, beteiligte IP's, Ports etc.)

Grundsätzlich _ist_ die ntoskrnl.exe 'das System' und ist somit z.B. für für die Datei- und Druckerfreigabe zuständig. Da könnten die Meldungen also herrühren.
Ist diese Freigabe bei dir aktiviert?

Der Grund für einige Konfusionen bzgl. der ntoskrnl.exe gerade bei Sygate-Neulingen ist übrigens die Tatsache, dass andere Firewalls anstatt des richtigen(?) Dateinamens hier ganz lapidar von "System" sprechen (wenn überhaupt...) - evtl. ein Hinweis darauf, dass Sygate 'tiefer' ansetzt als andere PFWs (was an verschiedenen Orten bereits zu lesen war...)

[ 24. Oktober 2003, 23:25: Beitrag editiert von: forge77 ]

Ich benutze die Sygate Personal Pro 5.1 mit Windows XP Home. Ich habe eine Advanced Rule zur Freigabe von ICMP eingefügt. Die ntoskrnl.exe übernimmt bei mir laut Traffic-Protokoll den ausgehenden ICMP-Traffic.
Ansonsten steht die ntoskrnl.exe auf "Fragen". Es kommen aber nie "Fragen". Offensichtlich wird sie für die normale Internetnutzung bei mir zumindest nicht benötigt.
Gruß
Bernd

Ach so, verstehe. Ist alles immer sehr verwirrend wenn man sich nicht eingehend damit beschäftigt..Hb sie mal unter Suchen eingegeben und online gescannt..aber auch nix gefunden. Also vermutlich ist es so wie der Optimist berichtet hat..
Komisch ist im Prinzip nur dass quasi kostenfreie Programme wie Antivir und Sygate mir Sachen melden die Norton garnicht wirklich entdeckt hatte..
Was haltet Ihr vom Sygate? Hat ja gute Kritiken z.T. bekommen wenn ich das als Unwissender mal sagen darf..

Ach so: Eben hatte ich wieder ne Block-Meldung, aber im Traffic sind nur eingehende Verbindungen blockiert (Irgendeine US-UNI, mehrere IPs), und im Sicherheitsprotok. steht garnix, sowie AUSGEHEND wurde bei mir bisher noch überhauptnichts blockiert (zumindest im Protokoll..)..Naja, ausser die Windows-updates vielleicht...

@ tonymontana
Die Schutzwirkung der Sygate gegen "echte" Malware ist wohl nur als gering einzuschätzen. Wie auch bei allen anderen Personal Firewalls. Wenn Du dich allerdings über den Internet-Traffic informieren willst und nebenbei auch was über Netzwerkprotokolle lernen willst, dann ist die Sygate (ich kenne nur die Pro-Version) allerdings ideal, da sie sehr vielfältige Konfigurationsmöglichkeiten bietet und sehr gute Protokolle liefert.
Für Fragen kann ich dies Forum empfehlen:
http://forum.webmart.de/wmforum.cfm?id=2104181

So, jetzt konnte ich doch was zurückverfolgen im PACKet-Protokoll. Und zwar wurden im Zusammenhang mit der ntoskrnl.exe folgende IPS blockiert.
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.134.250.202... ok.
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 80.128.0.0 - 80.146.159.255
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.134.250.202... ok.
Final results obtained from whois.ripe.net.

Aber ich habe trotzdem jetzt keine Ahnung worum es sich dabei genau handelt..
(also wie gesagt eingehend, und nicht ausgehend)

Danke Euch nochmal an dieser Stelle

</font><blockquote>Zitat:</font><hr />Original erstellt von tonymontana:
So, jetzt konnte ich doch was zurückverfolgen im PACKet-Protokoll. Und zwar wurden im Zusammenhang mit der ntoskrnl.exe folgende IPS blockiert.
GeekTools Whois Proxy v5.0.3 Ready.
Checking access for 80.134.250.202...</font>[/QUOTE]Die IP ist bei der Analyse des Grundes einer Warnmeldung oder Blockierung erstmal zweitrangig. Wichtiger wäre das Protokoll und ggf. gesetzte Flags.
Was die IP-Adressen betrifft:
T-Online-IP-Pool, also beliebige T-Online-Dialup-Kunden
</font><blockquote>Zitat:</font><hr />Aber ich habe trotzdem jetzt keine Ahnung worum es sich dabei genau handelt..</font>[/QUOTE]Und aus ebendiesem Grunde nützt dir die Desktopfirewall rein gar nichts. Du brauchst sowas nicht. Punkt.

Ja, aber was käme denn stattdessen in frage??
also ich könnte mich sicherlich eingehender mit der Materie beschäftigen, aber das braucht ne Menge Zeit+Geduld vermute ich (obwohl ich leute kenne die noch nicht mal nen virenscanner haben, ob das so gut ist ist allerdings die Frage..)
Nochmal ne blöde FRage: Welches Protokoll meinst Du? Gibt ja drei.

Sowohl Opera als auch Mozilla haben funktionierende Mail-Clients.
Ich hab in 10 Jahren Internet-Nutzung noch nie was anderes als Netscape und später Mozilla benutzt (mal für ein paar Tage PostMe).

Maßnahmen:

Dienste beenden nach www.kssysteme.de und http://www.heisig-it.de/dienste.htm

keine Malware installieren

Phonehomesoftware meiden oder in deren Optionen stumm schalten

Verzicht auf IE/Outlook

Übrigens gibts wesentlich mehr als drei Protokolle.

@iron: ahh, habe mal auf deiner HP zu dem Thema nachgelesen..Sehr inter. und auch nachvollziehbar..Aber wie gesagt: Mna ist oft zu bequem oder zeitlich setzt man sich zu wenig mit dem Thema auseinander.. Aber Du hast schon recht: man sollte nicht alles glauben was man liest+hört (Gillt ja nicht nur für PCs..grins). Den perfekten Schutz gibts ja anscheinend nich...

Zum IE: Das der SCHROTT ist habe sogar ich erkannt, benutze Opera oder Mozilla, heute habe ich Firebird entdeckt. Verzicht auf Outlook? Hm, mir ist bewusst dass grade dieses Programm das Tor für alles Mögliche ist. Gibt es etwas ähnliches was sicherer ist?
Die anderen Sachen checke ich grade die du mir empfohlen hast. thx

Warum habe ich nur den Eindruck, daß hier OutlookExpress und Outlook mal wieder verwechselt wird?

</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:
Ich hab in 10 Jahren Internet-Nutzung noch nie was anderes als Netscape und später Mozilla benutzt (mal für ein paar Tage PostMe). </font>[/QUOTE]Nimm's mir nicht übel, aber dies ist kein Qualitätskriterium, Millionen nutzen seit einem Jahrzehnt OutlookExpress... [img]graemlins/lach.gif[/img]
Wobei definitiv vor 10 Jahren das Mail-Programm von Netscape schlecht war (mehre Konten/Nutzer) und Netscape sich auch nicht unbedingt an bestehende "Normen" gehalten hat.
Großer Vorteil von jedem funktionierenden E-Mail-Client abseits von OL oder OE ist aber, dass die Sicherheitslücken von Malware-Programmieren fast nicht ausgenützt wurden/werden (bedeutet aber nicht, dass Lücken nicht bestehen).