---

I forbindelse med netstat -ano

Jeg har et problem med at få slået subj. fra.
PDF linket vdr. disable xp-tjenester som ofte florer i gruppen har jeg
slavisk fulgt 2 gange.

Desuden har jeg fulgt debatten fra tidligere:
http://groups.google.dk/groups?q=tcp+445+listening+PID+4&hl
=da&lr=&ie=UTF-8&selm=40530C99.E81EA343%40daimi.au.dk&rnum=8

Såvidt der og andre sider, skal man ændre dword value til 0
i SmbDeviceEnabled under
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Men ligemeget hvad, så er den der:
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 0.0.0.0:0 LISTENING 4

Hvordan får jeg skidtet lukket ?

PID 4 var iøvrigt ikke: Remote Access Connection Manager som er
foreslået i en anden tråd. (kan ikke finde tråden pt)

Ved ikke om det har noget at sige men jeg har svchost.exe kørende
kan det være den der er PID4 ? - PID 4 står kun som system i
ctrl+alt+delete.

Jeg har prøvet i prompt at skrive tasklist/svc som nævnt i anden tråd
og der er RpcSs knyttet til svchost.exe.
(Det er PID 612 og en hel masse services også)

I Run/SERVICES.MSC står RPC også som startet og under
properties/dependensies, er der en del der virker nødvendigt og det
meste kan jeg altså ikke lige gennemskue


Er jo nok endnu en newbee med det her og ved ikke hvilke oplysninger
der skal bruges mht mit system - men spørg endelig hvis nogen vil hjælpe.

PS. Bør jeg være nervøs over at min Sygate pro benytter
UDP 0.0.0.0.1025 - Foreign Adress = *:* når jeg aktiverer den ?

vh Jast -med uønsket services
--
Traveller, there are no paths. Paths are made by walking

---

XPuk sp1
alle patchs og updates
Sygate pro -updateret
AVG free - updateret
daglige scan med adaware,spysweeper
7-9-13 ingen virus eller andet i årevis -tror jeg da


--
Traveller, there are no paths. Paths are made by walking

---

Jast skrev:

> I forbindelse med netstat -ano

> Men ligemeget hvad, så er den der:
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
> UDP 0.0.0.0:445 0.0.0.0:0 LISTENING 4

> Hvordan får jeg skidtet lukket ?

Har du delt nogle drev eller mapper på din maskine (for at kunne
nå dem fra en anden maskine)?

Port 445 bruges til fildeling, og lignende, i Windows 2000 eller
nyere.

---

Peder Vendelbo Mikkelsen skrev:

>Har du delt nogle drev eller mapper på din maskine (for at kunne
>nå dem fra en anden maskine)?

Jeg deler en mappe på min maskine, men port 445 er fraværende i
netstat.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen skrev:

> Peder Vendelbo Mikkelsen skrev:
>> Har du delt nogle drev eller mapper på din maskine (for at
>> kunne nå dem fra en anden maskine)?

> Jeg deler en mappe på min maskine, men port 445 er fraværende i
> netstat.

Du har flere maskiner, hvilken en af dem og hvilket OS?

Der er forskel på at tilgå en delt mappe på en W2K-maskine (eller
senere) med en Win98- og en WinXP-maskine (WinXP-maskinen vil
forsøge at bruge port 445 først og derefter "falde tilbage" til
135-137 og 139).

Tilslutter du til den delte mappe med IP-adressen
(\\192.168.1.5\mappe$) eller navnet på maskinen (\\blh-1\mappe$)?

Microsoft har en omfattende side om hvilke porte som anvendes
til hvilke funktioner (W2K og fremefter):

http://www.microsoft.com/smallbusiness/gtm/securityguidance/articles/ref_net_ports_ms_prod.mspx

Excel 2003 regneark der er lidt mere overskueligt (men mangler
forklaringen af de enkelte services):

http://go.microsoft.com/fwlink/?linkid=21179

---

Peder Vendelbo Mikkelsen skrev:

>> Jeg deler en mappe på min maskine, men port 445 er fraværende i
>> netstat.

>Du har flere maskiner, hvilken en af dem og hvilket OS?

Odin og Thor kører nu begge XP. På Odin har jeg delt en mappe.
Jeg åbnede den fra Thor og åbnede en fil, og det gav ingen nye
åbne porte på Odin.

>Tilslutter du til den delte mappe med IP-adressen
>(\\192.168.1.5\mappe$) eller navnet på maskinen (\\blh-1\mappe$)?

Det sidste (uden $).

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

> Har du delt nogle drev eller mapper på din maskine (for at kunne
> nå dem fra en anden maskine)? <


Nej det mener jeg ikke at jeg har.
Godtnok undrede jeg mig over at jeg i network conx/properties havde
noget MS printerdeling-halløj.
Det syns jeg ikke jeg plejer at ha.
Men det afinstallerede jeg på et tidspunkt igår -inden jeg postede.

Jeg har kuN Client for MS Networks, Network Monitor Driver, Internet
Protocol (TCP/IP) installeret. (og med netbios over tcp/ip deaktiveret)

Skal jeg tjekke mine drev og mapper for at være shared ?

vh Jast

---

> Skal jeg tjekke mine drev og mapper for at være shared ?<

Ja, det skal jeg vel men mente om man skulle når man havde slået det med
printerhalløj fra i network connections.
Men, ingen af mine drev eller harddiske er shared.
Men jeg har for nyligt sat en usb port til i fronten. - til min mp3
afspiller - men pt. har jeg taget ledninger til moboard fra. Så det er
vel ikke det?

Andre ting/settings jeg kan ha delt ?

vh Jast

--
Traveller, there are no paths. Paths are made by walking

---

>
> Andre ting/settings jeg kan ha delt ? <

Ja, jeg snakker lige lidt med mig selv - alt for tidligt det her..
Jeg har ftp sat op (bullet proof ftp server) - men den er som regel
slukket - men via ftp er noget jo shared. Men Port 21 - men har måske
ikke noget at sige?
I selve windows har jeg ikke specificeret noget som shared.

Er det det?

vh Jast
--
Traveller, there are no paths. Paths are made by walking

---

Jast wrote:
>
>>
>> Andre ting/settings jeg kan ha delt ? <
>
>
> Ja, jeg snakker lige lidt med mig selv - alt for tidligt det her..
> Jeg har ftp sat op (bullet proof ftp server) - men den er som regel
> slukket - men via ftp er noget jo shared. Men Port 21 - men har måske
> ikke noget at sige?
> I selve windows har jeg ikke specificeret noget som shared.
>
> Er det det?
>
> vh Jast

Nope.

Port 445 er SMB (Server Mesage Block), nu af MS kaldet CIFS (Common
Internet File System), kørt over ren TCP/IP uden NetBIOS. SMB
protokollen tager sig af Windows fil- og printdeling.

Med Windows 2000 Professional/Server og frem, blev det i Domain-baserede
netværk, muligt at fil + printdele i Windows uden brug af NetBIOS API'et
til at opløse navne (knytning ml. navn og IP-adr.) på netværket.

Som default er port 445 altså åben, fordi Win2000/XP regner med at
forbinde til en Windows 2000/2003 Server i netværket, der kan bruge
Active Directory/Dynamisk DNS til at registere klienternes/servernes
computernavne til IP-adresser.

Hvis du sidder i et alm. hjemmenet, er "NetBIOS-løst" direct hostet SMB
over port 445, ikke så *damn* spændende, fordi du stadig har brug for
NetBIOS API'et til at registere navne på dit netværk. Windows
workstations understøtter *ikke* dynamisk DNS registrering i
peer-to-peer netværk uden Windows Server.

For at lukke port 445 fuldstændig, skal flg. gøres:

1. Fil og printerdeling skal være afinstalleret

2. Microsoft klienten skal afinstalleres.

3. NetBIOS over TCP/IP bør *altid* være disablet, alene af
sikkerhedsmæssige årsager, og fordi den *sviner* netværket til med
konstante broadcasts.

4. Flg. registreringsnøgle skal ændres:

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\
Value: Start
Type: DWORD value (REG_DWORD)
Content: 4 (værdi er som default sat til "1", skal altså ændres til "4")

Du har nu disablet NetBT driveren, og din port 445 skulle gerne være
lukket.

For at bruge computeren til fil + printdeling skal ovenstående procedure
gentages med omvendt fortegn.

Nice links:
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q204/2/79.ASP&NoWebContent=1

/mvh
michael

--
"Humans are the best value in computers - where else can you get a
non-linear computer weighing
only about 160lbs, having a billion binary decision elements, that can
be mass-produced by unskilled labour?"
Anonymous.

---

>
> For at lukke port 445 fuldstændig, skal flg. gøres:
>
> 1. Fil og printerdeling skal være afinstalleret
>
> 2. Microsoft klienten skal afinstalleres.
>
> 3. NetBIOS over TCP/IP bør *altid* være disablet, alene af
> sikkerhedsmæssige årsager, og fordi den *sviner* netværket til med
> konstante broadcasts.
>
> 4. Flg. registreringsnøgle skal ændres:
>
> Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\
> Value: Start
> Type: DWORD value (REG_DWORD)
> Content: 4 (værdi er som default sat til "1", skal altså ændres til "4")
>
> Du har nu disablet NetBT driveren, og din port 445 skulle gerne være
> lukket. <

Så er jeg just kommet hjem med 1.3 kg kantareller :P

Ja, jeg må jo indrømme jeg ikke rigtigt ved hvad jeg laver.
Men jeg fulgte opskriften præcist og så kunne jeg ikke komme på nettet.

Da jeg ændrede dword værdien til 1 igen og installerede Client for MS
Windows virkede det igen men har en enorm sløv boot ( blåt i taskbar i
meget lang tid)

Tak for svar -måske skal jeg bare beholde min sygate : (


ADSL -Tele2 /deres modem gør det selv

vh Jast

---

Jast wrote:

> Så er jeg just kommet hjem med 1.3 kg kantareller :P

Jamen så velbekomme, da!

> Ja, jeg må jo indrømme jeg ikke rigtigt ved hvad jeg laver.
> Men jeg fulgte opskriften præcist og så kunne jeg ikke komme på nettet.

Hvilke papers/links har du brugt til at finde ud af, hvilke services,
der kan/skal disables. Eller "fumler" du bare lidt i blinde

Disabling af NetBT, kan ikke smadre din I-net forbindelse. Det eneste du
har brug for, til at komme på, er en Ip-adresse, en netmaske, en default
gateway og een DNS-server. Intet andet.

Det lyder mere som et tegn på at du har fået disablet nogle essentielle
Win services, af hvilke der stadig er nogle. Man kan ikke bare blindt
disable alle Win-services, uden at smadre noget funktionalitet.

Lang opstartstid tyder også på, at Windows prøver at starte en service
som du har disablet, eller sat til manuel opstart.

Hvad siger din "Event log"?"!

> Da jeg ændrede dword værdien til 1 igen og installerede Client for MS
> Windows virkede det igen men har en enorm sløv boot ( blåt i taskbar i
> meget lang tid)

Se ovenstående vedr. lang boot-tid og disablede services.

> Tak for svar -måske skal jeg bare beholde min sygate : (

Din computer bliver hverken mere ell. mindre sikker af Sygate "Firewall'en".

Tro det ville være bedst at afinstallere din Sygate, *før* du går i gang
med service-minimeringen, så er den der ikke til at forvirre. Personligt
har jeg også oplevet folk, hvis opkobling blev "bustet" af
Sygate/Zonealarm m.fl.

> ADSL -Tele2 /deres modem gør det selv
>
> vh Jast

BTW. Sidder du bag en (ADSL)-router ell. et (ADSL/ISDN)-modem?

/mvh
michael

--
"Humans are the best value in computers - where else can you get a
non-linear computer weighing
only about 160lbs, having a billion binary decision elements, that can
be mass-produced by unskilled labour?"
Anonymous.

---

> Jamen så velbekomme, da! <

Tak : )

> Hvilke papers/links har du brugt til at finde ud af, hvilke services,
> der kan/skal disables. Eller "fumler" du bare lidt i blinde <

Deaktivering af tjenester af Thomas G Madsen

Og ifbm. (som du også senere linkede til)
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

Ændret dword value til 0
i SmbDeviceEnabled under
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Men har pga af andre tråde i gruppen efterfølgende disabled:
Remote Acess Auto Connection Manager

og resten er i blinde : )

> Disabling af NetBT, kan ikke smadre din I-net forbindelse. Det eneste du
> har brug for, til at komme på, er en Ip-adresse, en netmaske, en default
> gateway og een DNS-server. Intet andet. <

Der kan man bare se

> Det lyder mere som et tegn på at du har fået disablet nogle essentielle
> Win services, af hvilke der stadig er nogle. Man kan ikke bare blindt
> disable alle Win-services, uden at smadre noget funktionalitet.<

Det kan du have ret i - men ved ikke lige hvad det skulle være udover
det med Remote Acess Auto Connection Manager.
>
> Lang opstartstid tyder også på, at Windows prøver at starte en service
> som du har disablet, eller sat til manuel opstart.<

Ok - virker sandsynligt det du siger

> Hvad siger din "Event log"?"!

Jeg kan desværre ikke fortælle dig præcist hvad jeg havde gjort - og i
hvilken rækkefølge, da jeg efter at ha´ fulgt din "opskrift" desperat
forsøgte forskellige kombinationer af install/uninstall (Client for MS
Windows/Printerdeling/disable Remote Acess Auto Connection/ + det med
dword værdi etc.

Men her er det der måske kunne ha interesse:
Event Type:   Error
Event Source:   Service Control Manager
Event Category:   None
Event ID:   7001
Date:      12-07-2004
Time:      14:47:02
User:      N/A
Computer:   USURA-GS6F255J0
Description:
The DHCP Client service depends on the NetBios over Tcpip service which
failed to start because of the following error:
The service cannot be started, either because it is disabled or because
it has no enabled devices associated with it.
-----
Event Type:   Information
Event Source:   Service Control Manager
Event Category:   None
Event ID:   7035
Date:      12-07-2004
Time:      14:47:02
User:      NT AUTHORITY\SYSTEM
Computer:   USURA-GS6F255J0
Description:
The Network Connections service was successfully sent a start control.
-----
Event Type:   Error
Event Source:   DCOM
Event Category:   None
Event ID:   10005
Date:      12-07-2004
Time:      15:34:58
User:      USURA-GS6F255J0\Janus
Computer:   USURA-GS6F255J0
Description:
DCOM got error "The service cannot be started, either because it is
disabled or because it has no enabled devices associated with it. "
attempting to start the service wuauserv with arguments "" in order to
run the server:
{E9376CC6-121A-447E-81CF-D8BCC200007C}
-----


> Da jeg ændrede dword værdien til 1 igen og installerede virkede det igen men har en enorm sløv boot ( blåt i taskbar i
>> meget lang tid)
>
>
> Se ovenstående vedr. lang boot-tid og disablede services. <

Jep


> Din computer bliver hverken mere ell. mindre sikker af Sygate
> "Firewall'en". <

ok, troede jeg i det mindste var bare _lidt_ mere beskyttet når den var
sat til at lukke de/den port jeg ikke kan få has på.

> Tro det ville være bedst at afinstallere din Sygate, *før* du går i gang
> med service-minimeringen, så er den der ikke til at forvirre. Personligt
> har jeg også oplevet folk, hvis opkobling blev "bustet" af

Tror jeg også - havde store problemmer med at stoppe Remote Acess Auto
Connection Manager når sygate var på + ifbm. install af Client for MS
Windows.

Skal jeg også slå min AVG fra ? - den blev der også ballade med
tilsidst. Jeg kunne selvom jeg ved at jeg havde de oprindelige
settings/services/dword, ikke komme på nettet. Så jeg måtte bruge en
system restore jeg heldigvis havde lavet forinden.



> BTW. Sidder du bag en (ADSL)-router ell. et (ADSL/ISDN)-modem? <

Ja, jeg ved det (fyfy) sidder bag Tele2-ADSL modem og intet andet



Tak for tålmodigheden
vh Jast

---

Jast wrote:

[snip]

Det er ikke en binær on/off værdi. For at enable NetBT driveren skal
DWORD værdien være 1.
For at forhindre den i at blive loaded ved boot, skal DWORD værdien være 4.

> Ændret dword value til 0
> i SmbDeviceEnabled under
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
>
> Men har pga af andre tråde i gruppen efterfølgende disabled:
> Remote Acess Auto Connection Manager

Det skal du ikke gøre! Du skal bruge den service, til at lave en
netværksforbindelse med dit ADSL-modem.
"Remote Acces Auto Connection Manager" er afhængig af "Remote Acces
Connection Manager".
Sæt begge til manuel opstart. Så kan du selv check om de er blevet
startet af Windows efter boot. Hvis de er startet, har du brug for dem...

[snip]

> Men her er det der måske kunne ha interesse:
> Event Type: Error
> Event Source: Service Control Manager
> Event Category: None
> Event ID: 7001
> Date: 12-07-2004
> Time: 14:47:02
> User: N/A
> Computer: USURA-GS6F255J0
> Description:
> The DHCP Client service depends on the NetBios over Tcpip service which
> failed to start because of the following error:
> The service cannot be started, either because it is disabled or because
> it has no enabled devices associated with it.

DHCP servicen fejler fordi, den er afhængig af NetBIOS over TCP/IP.

Microsofts DHCP-server implementering er udbygget i forhold til de
originale RFC doks, til at kunne levere NetBIOS relaterede info til
klienterne. Et eksempel på at MS nogen gange går lidt langt i
integrationsforsøgene.

Jeg har ikke lige noget svar på den der, da jeg selv kører med faste
IP-adresser på mit hjemme-LAN. Det vil nok kræve en større Googling og
noget hackning i Reg-basen, for at få båndet ml. DHCP og NetBIOS brudt.

[snip]

> Event Type: Error
> Event Source: DCOM
> Event Category: None
> Event ID: 10005
> Date: 12-07-2004
> Time: 15:34:58
> User: USURA-GS6F255J0\Janus
> Computer: USURA-GS6F255J0
> Description:
> DCOM got error "The service cannot be started, either because it is
> disabled or because it has no enabled devices associated with it. "
> attempting to start the service wuauserv with arguments "" in order to
> run the server:
> {E9376CC6-121A-447E-81CF-D8BCC200007C}

Kunne lyde som om du ikke har fået disablet din DCOM ordentligt. Check
den "franske side" ud engang til. Han forklarer udmærket, hvad der skal
gøres ved DCOM API'et.

http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

[snip]

>> Din computer bliver hverken mere ell. mindre sikker af Sygate
>> "Firewall'en". <
>
>
> ok, troede jeg i det mindste var bare _lidt_ mere beskyttet når den var
> sat til at lukke de/den port jeg ikke kan få has på.

Alt er jo relativt. En vis form for beskyttelse, *kan* en pers. FW jo
godt yde. Særligt når du sidder på et ADSL-modem, måske endda på en
"ubeskyttet" global IP. Du har bare reelt ikke brug for den hvis du får
lukket alle services ned.

Evt. kan du prøve en online portscanning af din eksterne WAN IP, for at
se, hvad andre kan se. Ex. her.

http://scan.sygate.com/

[snip]

> Skal jeg også slå min AVG fra ? - den blev der også ballade med
> tilsidst. Jeg kunne selvom jeg ved at jeg havde de oprindelige
> settings/services/dword, ikke komme på nettet. Så jeg måtte bruge en
> system restore jeg heldigvis havde lavet forinden.

Det lyder som om at din Anti-Virus er til større gene end gavn. Alene på
det grundlag ville jeg afinstallere den!

>> BTW. Sidder du bag en (ADSL)-router ell. et (ADSL/ISDN)-modem? <

[snip]

En "netstat -ano" i en cmd-prompt giver hos mig dette:

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

c:\>netstat -ano

Aktive forbindelser

Proto Lokal adresse Fjernadresse Tilstand PID

c:\>


---

Og en "net start" giver flg:

c:\>net start
Følgende Windows-tjenester er startet:

Beskyttet lager
COM+-hændelsessystem
Hardwaregenkendelse på brugergrænsefladen
Hændelseslog
IBM KCU Service
IBM PM Service
Kryptografiske tjenester
Netværksforbindelser
Plug and Play
Remote Procedure Call (RPC)
SAM (Security Accounts Manager)
System Event Notification
Windows Audio
Windows Management Instrumentation

Hvis du ser bort fra mine IBM relaterede tjenester, og tilføjer din
"Remote Access Connection Manager 1+2", skulle du være ved at være
der...klø på!

/mvh
michael

--
"Humans are the best value in computers - where else can you get a
non-linear computer weighing
only about 160lbs, having a billion binary decision elements, that can
be mass-produced by unskilled labour?"
Anonymous.

---

Jeg har fulgt alle råd du og links har givet..

Og nu virker det ! weeeee :D

Jeg måtte igennem en del roderi for at nå frem til en tilstand på min pc
hvor jeg kunne overskue og reproducere fejl mm.

Mange tak for din hjælp

Iøvrigt så du klart da du sagde:

>Kunne lyde som om du ikke har fået disablet din DCOM ordentligt<

Af uforklarlige grunde var der kommet et flueben i : AktiverDCOM på
denne computer.
Lige så uforklarligt som mine file/printer sharing var blevet installeret.
Men forstår ikke hvordan - jeg _ved_ at jeg ikke manuelt har gjort dette.
(heller ikke i fbm med de sys. restores jeg har begået)

Efter boot har jeg dog en enkelt ting i netstat -an :

tcp 0000:1025 LA 0000 FA State > listening

Jeg har disabled opgavestyring og PID = 4
Som jeg ser det, ku det være svchost.exe / process 588 + 604
Men det vil jeg google videre på.

Endnu en gang mange tak herfra - var ved at blive vanvittig

vh Jast

--
Traveller, there are no paths. Paths are made by walking

---

Jast wrote:
> Jeg har fulgt alle råd du og links har givet..
>
> Og nu virker det ! weeeee :D

Cool

> Efter boot har jeg dog en enkelt ting i netstat -an :
>
> tcp 0000:1025 LA 0000 FA State > listening

Det er højst sandsynligt noget RPC af en art, der holder den åben. Hvis
du gider så smid en "net start" herind, så man kan se, hvilke services
du har aktive.

"Den franske side" har et langt afsnit om forskellige RPC services
binding til div. net-interfaces, mener jeg. Lidt langhåret, men til at
finde ud af, hvis man holder hovedet lidt koldt, og snupper en kølig til
læsningen.

Blev du foriøvrigt nødt til at bide i det sure NetBIOS-æble og enable
NetBIOS over TCP/IP for at få din DHCP til at køre ordentligt, eller
fandt du en anden løsning?! Hvis det første er tilfældet, skal MS have
smæk med et gammelt RFC-udkast, for ikke at holde sig til standarderne.

> Jeg har disabled opgavestyring og PID = 4
> Som jeg ser det, ku det være svchost.exe / process 588 + 604
> Men det vil jeg google videre på.

Et godt website med mange gode tools til at "reverse engineere" lidt i
MS, er dette:

http://www.sysinternals.com

I særdeleshed er deres TCPview, Regmon, TDImon, og Process Explorer
tools rigtig gode til at grave lidt videre i MS
fil/registry/process/port-sovsen.

Foundstone-drengene (Dem der skrev "Hacking Exposed"), har også nogle
udmærkede free tools til at komme lidt "bag facaden" på Windows med:

http://www.foundstone.com/resources/freetools.htm

> Endnu en gang mange tak herfra - var ved at blive vanvittig

Så lidt.

> vh Jast

/mvh
michael

---

Øj, troede at tråden var død

> Det er højst sandsynligt noget RPC af en art, der holder den åben.
Hvis du gider så smid en "net start" herind, så man kan se, hvilke
services du har aktive. <

Net start :

AVG6 Service
COM+ Event System
Cryptographic Services
DHCP Client
Event Log
Logical Disk Manager
Machine Debug Manager
Network Connections
Network Location Awareness (NLA)
NVIDIA Display Driver Service
Plug and Play
Print Spooler
Protected Storage
Remote Acess Connection Manager
Shell Hardware Detection
System Event Notification
System Restore Service
Telephony
Terminal Service
Themes
Windows Audio
Windows Management Instrumentation
WMDM PMSP Service
Workstation


> "Den franske side" har et langt afsnit om forskellige RPC services
binding til div. net-interfaces, mener jeg. Lidt langhåret, men til at
finde ud af, hvis man holder hovedet lidt koldt, og snupper en kølig til
læsningen. <

Når jeg skriver den kommando "franskmanden" forelår mht. port 1025, for
jeg at vide at den service allerede er disabled
(net stop msdtc)
-eller misforstår jeg stadig ? -er jo et "rodehoved"

>Blev du foriøvrigt nødt til at bide i det sure NetBIOS-æble og enable
NetBIOS over TCP/IP for at få din DHCP til at køre ordentligt, eller
fandt du en anden løsning?!
Hvis det første er tilfældet, skal MS have
smæk med et gammelt RFC-udkast,
for ikke at holde sig til standarderne. <

Nej, det behøvede jeg ikke

> Et godt website med mange gode tools til at "reverse engineere" lidt i
MS, er dette:
http://www.sysinternals.com

I særdeleshed er deres TCPview, Regmon, TDImon, og Process Explorer
tools rigtig gode til at grave lidt videre i MS
fil/registry/process/port-sovsen.

Foundstone-drengene (Dem der skrev "Hacking Exposed"), har også nogle
udmærkede free tools til at komme lidt "bag facaden" på Windows med:

http://www.foundstone.com/resources/freetools.htm <

Tak for det - vil jeg kigge på -her kommer den kølige nok ind i billedet

Pt. er jeg dog iflg. Sygates online scans helt lukket.
-Hvis man kan stole på dem?


Mht. svchost.exe..
Er disse stadig aktive:
AudioSrv, CryptSvc,Dhcp, dmserver,EventSystem, lanmanworkstation,
Netman, Nla, RasMan, seclogon, SENS, ShellHWDetection, srsservice,
TapiSrv, TermService, Themes, TrkWks, winmgmt

Jeg har gennemgået svchost.exe services og sat "safe-settings" iflg. ham
black viper fyren.
Bortset fra enkelte ting ala system restore, eventlog o.lign

vh Jast

---

Hej Jast

> Andre ting/settings jeg kan ha delt ?

hmm så i en tidligere post at du har Network Monitor Driver til at køre
har du prøvet at slå den fra / uninstall den ? For den skal vel have
snablen ude for at kunne lytte til netværket ?? :S


/Rasmus René Thomsen