Firewall meldet rundll32.exe - Zugriff

Hallo,

meine Firewall hat folgendes mitgeloggt:

Beschreibung Eine DLL-Datei als Anwendung ausführen wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (66.249.93.104:smiley:NS).
Bewertung Hoch
Datum/Uhrzeit 2006/04/14 11:26:00+2:00 GMT
Typ Programmzugriff
Programm rundll32.exe
Quell-IP-Adresse 
Ziel-IP 66.249.93.104:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 10
Quell-DNS 
Ziel-DNS www.l

Nun habe ich hier schon einiges über dieses Phänomen gelesen:

1. „Findest Du im Windows-Verzeichnis eine Datei run32.exe? In diesem Fall hast Du Dir den SirCam-Virus eingefangen.“
2. „Du hast das (ziemlich nutzlose und lästige) Tool New.net installiert - bzw. es wurde installiert mit Programmen wie Bearshare oder Go!Zilla.“

Trifft aber beides bei mir nicht zu. Angst habe ich trotzdem. Weiß jemand, was das ist? Diese Fehlermeldung gibt es auch noch in Variation:

Beschreibung Eine DLL-Datei als Anwendung ausführen wurde temporär blockiert von eine Verbindung hergestellt hat, um, lokale Zone (172.16.100.1:smiley:NS).
Bewertung Mittel
Datum/Uhrzeit 2006/04/14 11:26:00+2:00 GMT
Typ Programmzugriff
Programm rundll32.exe
Quell-IP-Adresse 
Ziel-IP 172.16.100.1:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 2
Quell-DNS 
Ziel-DNS 

(172.16.100.1 ist unser Server.)

Ich freue mich über Antworten.
MfG
Tim

meine Firewall hat folgendes mitgeloggt:

Du willst surfen, und deine „Firewall“ erzählt dir, dass dein Rechner aufs Internet zugreifen will? Hey, das Teil hat recht! Krass cool!

rundll32 ist ein Windows-Hilfsprogramm, das von den verschiedensten Anwendungen verwendet wird. Dass dieses Programm eine DNS-Anfrage macht, gehört zu den harmlosesten Dingen unter Windows überhaupt.

Ein echtes Problem hast du allerdings: Eine sogenannte „Firewall“, die dich grundlos in Angst und Schrecken versetzt. Nun, ich würde auch erschrecken, bekäme ich eine selten sinnfreie Meldung vor die Nase geworfen wie Eine DLL-Datei als Anwendung ausführen wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet.

Aber du hast Glück: Sinnlose Programme wie „Firewalls“ lassen sich oft über eine entsprechende Funktion oder das Tool ‚Software‘ in der Systemsteuerung vom Rechner entfernen und stören dann nicht weiter.

HTH
Schorsch

Na, Du hast gut Lachen. Immerhin habe ich Euch ja Beispiele geliefert, die das Gegenteil behautpen: „nicht harmlos“ und außerdem kann ich den Zugriff verweigern lassen und - oh Wunder - es funktioniert alles! Ferner versucht rundll32.exe mit google.de in verbindung zu treten (1. Beispiel - siehe IP) - sehr suspekt: verweigere ich den Zugriff, bin ich in meinem Tun nicht eingeschränkt.

Also, ehrlich, Deine Antwort stellt mich nicht zufrieden.

(Bin mit meiner Firewall übrigens rund-um glücklich: ZA)

Gruß
Tim

Hallo,

(Bin mit meiner Firewall übrigens rund-um glücklich: ZA)

Wenn Du mit Deiner Firewall rund-um glücklich bist, dann frage doch den sicherlich vorhandenen tip top Support von ZA, was es mit der Meldung auf sich hat. Wir sind hier mit der Frage überfordert.

Gruß

Fritze

Hallo,

(Bin mit meiner Firewall übrigens rund-um glücklich: ZA)

Wenn Du mit Deiner Firewall rund-um glücklich bist,

… dann fehlen dem Menschen wohl ein paar kryptische und unverstandene Meldungen zu seinem Glück.

Naja, dann kann er ja weiter glücklich bleiben.

Gruß,

Sebastian

Na, Du hast gut Lachen. Immerhin habe ich Euch ja Beispiele
geliefert, die das Gegenteil behautpen: „nicht harmlos“ und

Es steht dir selbstverständlich frei, Behauptungen, die so substanzlos sind wie die Meldungen deiner „Firewall“, zur Grundlage deiner Überlegungen zu machen.

Wunder - es funktioniert alles! Ferner versucht rundll32.exe
mit google.de in verbindung zu treten (1. Beispiel - siehe IP)

• sehr suspekt: verweigere ich den Zugriff, bin ich in meinem

Aber was soll denn bitteschön suspekt daran sein, wenn dein Rechner DNS-Informationen nicht im nächsten Cache, sondern an der Quelle abruft?

Aber solang du mit dem Gobbledygook deiner „Firewall“ zufrieden bist…
Schorsch

Hallo,

Aber was soll denn bitteschön suspekt daran sein, wenn dein
Rechner DNS-Informationen nicht im nächsten Cache, sondern an
der Quelle abruft?

Wundert mich schon. Ohne Installation eines DNS-Servers hätte ich zumindest erwartet, daß Winodows rekursiv auflöst und nicht iterativ.

Gruß,

Sebastian

Hallo Tim

meine Firewall hat folgendes mitgeloggt:

Beschreibung Eine DLL-Datei als Anwendung ausführen wurde
temporär blockiert von eine Verbindung hergestellt hat, um,
das Internet (66.249.93.104:smiley:NS).

Gestatte das ich schallend lache: hahahahahahahahahi, ich werd nicht wieder…

Mein Gott, http://66.249.93.104/ ist die Adresse von Google.de. Vermutlich hast du eine Toolbar oder sowas ähnliches in deinem IÄ integriert und nun untersagt dir dein ZA die Verbindung zu deinem besten Freund im Internet, der nämlich fast alles weiß und dir auch meist alles sagt.

Deine Bemerkung, das ZA bei dir fehlerfrei läuft, dürfte wohl seit geraumer Zeit eine der übelsten Trollereien im Internet sein, die ich je gelesen habe.

der hinterwäldler

Wundert mich schon. Ohne Installation eines DNS-Servers hätte
ich zumindest erwartet, daß Winodows rekursiv auflöst und
nicht iterativ.

Windows-bezügl. ist deine Annahme gerechtfertigt. Wer aber seinen Rechner mit Zonealarm kaputtmacht, neigt erfahrungsgemäss dazu, sich auch (wie von Hinterwäldler angedeutet) weitere überflüssige Gimmicks eigenverantwortlich einzufangen.

In diesem Fall ein harmloses Gimmick, das sich immerhin an die von Windows vorgegebenen Instanzen hält. Ob meine Interpretation aber korrekt ist, lässt sich aus der überaus mangel-, zweifelhaften und unvollständigen Meldung des Schadprogramms Zonealarm nicht herauslesen.

Gruss
Schorscg

Hallo Sebastian, Fritze, Schorsch und Hinterwäldler,
hallo Jungs und Mädels,

o.k. ich hab’s kapiert: Also welche Firewall empfehlt Ihr mir denn nun, wenn ZA so schlecht ist?

Gruß
Tim

Na, Du hast gut Lachen. Immerhin habe ich Euch ja Beispiele
geliefert, die das Gegenteil behautpen: „nicht harmlos“ und

Es steht dir selbstverständlich frei, Behauptungen, die so
substanzlos sind wie die Meldungen deiner „Firewall“, zur
Grundlage deiner Überlegungen zu machen.

Du verwendest „substanzlos“. Das versuche ich mal zu wiederlegen:

1. „Findest Du im Windows-Verzeichnis eine Datei run32.exe? In diesem Fall hast Du Dir den SirCam-Virus eingefangen.“ (/t/rundll32-exe/1085687
2. „Du hast das (ziemlich nutzlose und lästige) Tool New.net installiert - bzw. es wurde installiert mit Programmen wie Bearshare oder Go!Zilla.“ (/t/rundll32-exe/1085687

Immerhin kann man sich diese Phänomene auch außerhalb von wer-weiss-was ergooglen.

Wunder - es funktioniert alles! Ferner versucht rundll32.exe
mit google.de in verbindung zu treten (1. Beispiel - siehe IP)

• sehr suspekt: verweigere ich den Zugriff, bin ich in meinem

Aber was soll denn bitteschön suspekt daran sein, wenn dein
Rechner DNS-Informationen nicht im nächsten Cache, sondern an
der Quelle abruft?

Aber solang du mit dem Gobbledygook deiner „Firewall“
zufrieden bist…

Das verstehe ich nicht: Welche Informationen will denn mein Rechner von wem haben? Was ist „Gobbledygook“? Was negatives?

Gruß
Tim

Hallo Tim

o.k. ich hab’s kapiert: Also welche Firewall empfehlt Ihr mir
denn nun, wenn ZA so schlecht ist?

Überhaupt keinen. Da du ein HomePC hast, benötigst du nur eine vernünftige Konfiguration deines System. Diese Konfiguration erreichst du mit hilfe eines OpenSource-Scriptes, welchen du bei http://www.ntsvcfg.de kostenlos erhältst. Mit diesem Script werden dir alle unnötigen Dienste abgeschaltet und sind damit nicht mehr angreifbar. Auch können sie nicht mehr von Malware mißbraucht werden. Genau diesen Effekt wünschst du doch, oder?

Denke nun um Himmelswillen nicht wie so viele andere User, das du diese Dienste vielleicht doch gebrauchen könntest. Die hat der Herr M$ per default installiert und aktiviert, weil er damit beweisen wollte, was seine Systeme alles tolles können. Das Gegenteil ist das Ergebnis. Wir müssen nun jeden Anwender überzeugen, das ein W2k oder XP ohne diese Dienste genau so tauglich für das Internet war und noch immer ist wie ein Win9x. Auch dieser hatte keine Dienste, bzw der eine Netzdienst wird nur eingeschaltet, falls er gebraucht wird.

Selbstverständlich kann auch dieser Script nicht deinen Verstand ersetzen. Noch immer gilt, das du dir Malware durch deine eigene Aktion ins System holst und dort installierst. Entsprechend sollte dein Sicherheitskonzept aussehen. Eine kleine Hilfe dazu findest du hier http://www.hinterwaeldlers-home.de/NewsGroups/Sicher…. Falls du dies konsequent verwirklichst, kann ein krimineller „Hacker“ nur noch versuchen herauszufinden wo du wohnst, an deiner Türe klingeln und dir paar auf die Fresse hauen. Ehrlich, das ist so.

der hinterwäldler

Hallo Tim

o.k. ich hab’s kapiert: Also welche Firewall empfehlt Ihr mir
denn nun, wenn ZA so schlecht ist?

Überhaupt keinen. Da du ein HomePC hast, benötigst du nur eine
vernünftige Konfiguration deines System. Diese Konfiguration
erreichst du mit hilfe eines OpenSource-Scriptes

Höre ich zum ersten Mal: Klinkt aber gut! Auf jeden Fall ganz herzlichen Dank für die gut erklärten Tipps auf Deiner Seite. In der Tat hatte ich in den letzten 2 Jahren nur einmal einen Trojaner (ein Persilschein für meine Servgewohnheiten?). Habe ich mir eventuell bei meinem Arbeitgeber eingefangen, als ich wiedermal den IÄ nutzen musste (es gibt tatsächlich Internetseiten, die ohne den gar nicht funktionieren: www.neustadtanderorla.de - seit März 2006 aber auch behoben Der Server meines Arbeitgebers scheint sowieso das Problem schlechthin zu sein: Der scheint Maleware nur so anzuziehen. Da habe ich Tage, an denen meldet ZA alle 15 Minuten einen ernsthaften Angriff (nicht so’n rundll32.exe - Quatsch .

Gruß Tim

Hallo,

Da habe ich Tage, an denen meldet ZA alle 15 Minuten einen
ernsthaften Angriff (nicht so’n rundll32.exe - Quatsch .

Interessant, also hat ZA das, was Du hier gepostet hast als „unernsthaften Angriff“ bezeichnet?

Gruß,

Sebastian

Du verwendest „substanzlos“. Das versuche ich mal zu
wiederlegen:

1. "Findest Du im Windows-Verzeichnis eine […]
2. "Du hast das (ziemlich nutzlose und lästige) […]

Ich darf zitieren: Trifft aber beides bei mir nicht zu. Also offenbar in deinem Fall völlig bedeutungslos.

Das verstehe ich nicht: Welche Informationen will denn mein
Rechner von wem haben?

Ziel-IP 172.16.100.1:53

Deine „Firewall“ vergisst, eine kleine, aber entscheidende Information mitzuliefern: Welches Protokoll für die Abfrage verwendet wurde. Aber auch ohne diese und andere, von Firewalls (die diesen Namen auch verdienen) üblicherweise mitgelieferten Informationen lässt sich aus 172.16.100.1 :53 mit hoher Sicherheit sagen, dass hier eine Namensabfrage gemacht wurde: Übersetze irgendeine im Browser eingegebene Web-Adresse in die zugehörige IP-Adresse.

Ziel-IP 66.249.93.104:53

Und als dein eigener Server die benötigte Information nicht liefern konnte, hat dein Rechner sich halt an die Quelle gehalten. Deutet auf eine nicht ganz saubere DNS-Implementation in deinem Netz, was aber zunächst keinerlei Gefahr für dessen Sicherheit darstellt.

Was ist „Gobbledygook“? Was negatives?

Das sagt dir zuverlässig http://dict.leo.org

Gruss
Schorsch

Da habe ich Tage, an denen meldet ZA alle 15 Minuten einen
ernsthaften Angriff (nicht so’n rundll32.exe - Quatsch .

Interessant, also hat ZA das, was Du hier gepostet hast als
„unernsthaften Angriff“ bezeichnet?

Na ja, ZA hat es als „Angriff“ bezeichnet. Aber ich merke schon, dass ich mich hier um Kopf und Kragen rede. Ich lass das mal lieber bleiben…

Nun weiß ich wenigstens, was es für eine Alternative zu ZA bzw. firewall-at-all gibt. Ich würde mich übrigens noch freuen, wenn Ihr mir mal erklärt, von wem die rundll32.exe missbraucht werden könnte, um was für wen zu tun? Was tut die rundll32.exe normalerweise? Wem darf ich erlauben, diese zu benutzen und wem nicht?

Gruß
Tim

Ich würde mich übrigens noch
freuen, wenn Ihr mir mal erklärt, von wem die rundll32.exe
missbraucht werden könnte,

Von jedem (JEDEM!) Programm, welches Windows-Funktionen einsetzen will, um irgendein Ziel zu erreichen.

Es ist nicht erforderlich, rundll32.exe einzusetzen, um Funktionen zu nutzen, die bereits im Windows-Kernel vorgestartet sind. Will der Programmierer aber nachzuladende Bibliotheksfunktionen nutzen, beauftragt er damit (so ists zumindest in der Windows-Architektur vorgesehen) die rundll.

um was für wen zu tun? Was tut die
rundll32.exe normalerweise?

Um das zu tun, was der Programmierer erreichen will.

Wem darf ich erlauben, diese zu
benutzen und wem nicht?

Du kannst an dieser Stelle nicht verbieten oder erlauben - Okay, du kannst verbieten: Rechner darf nie eingeschaltet werden.

Mir ist aber derzeit kein Schädling bekannt, dessen Programmierer sich an die Windows-Konventionen gehalten hätte, der sein Programm mutwillig der Kastration durch die xp-eigene Firewall ausgesetzt hätte.

Andererseits nutzen aber andere, durchaus legitime Programme diese Schnittstelle, und es mögen viele Programme unter diesen legitimen sein, von denen du nicht willst, dass sie diese Schnittstelle nutzen.

Hier hilft tatsächlich nur eins: Nicht jeden Gimmick installieren. Und wenn du doch einen brauchst: Brauchst du ihn wirklich? Kannst du den Gimmick auf einem Testsystem installieren? Hast du Autoplay für CD und DVD abgeschaltet? Ists Open Source oder proprietär? Informiert der Hersteller prominent über die Folgen der Installation für dein System?

Anders gesagt: Du vertraust entweder der Quelle, dem Hersteller oder der Empfehlung, die dich ein bestimmtes Programm installieren lässt und gehst das Risiko ein, dass deine überaus schwache Schutzmassnahme ZA übertölpelt wird wie eine schreckhafte Ente von der Lockpfeife des Jägers. Oder du machst dir vor jeder Installation Gedanken über die möglichen Auswirkungen, verlässt dich nicht auf ZA und triffst Vorsorge (Datensicherung!) für den Fall, dass der tolle neue Gimmick wirklich toll, nämlich Tollwutinfiziert ist.

Bessere Schutzmaßnahmen sind mir nicht bekannt.

Ausser vielleicht: Datensicherung
Schorsch