Windows operating system förfrågan om tillåtelse till ip: 205.251.219.148

Permalänk
Medlem

Windows operating system förfrågan om tillåtelse till ip: 205.251.219.148

Hej!

Jag är helt bortblåst, "Windows operating system" vill göra en utåtgående koppling till 205.251.219.148 med port 443.
Jag fattar ingenting angående detta, någon som kan förklara vad som gör denna förfrågan?
När man gör en whois angående IP:en så står det:
OrgName: Amazon.com, Inc.

Vad ska jag tolka detta som?
Så här ser det ut i loggen;

Det är COMODO brandvägg jag användar mig utav.

Tack på förhand!

Visa signatur

/Ben~

Permalänk
Medlem

Det är ju någon säker anslutning på g (443) och det är amazon cloudfront som ligger på den adressen. Oklart vad exakt det är i operativet som vill dit utan att kolla mer nogrant vilken process det är.

TCP-view visar detta åt dig: https://technet.microsoft.com/en-us/sysinternals/tcpview
(Kan upplevas lite rörigt i början, men du är nog snabbt med på vad du vill se)

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av Gurk:

Det är ju någon säker anslutning på g (443) och det är amazon cloudfront som ligger på den adressen. Oklart vad exakt det är i operativet som vill dit utan att kolla mer nogrant vilken process det är.

TCP-view visar detta åt dig: https://technet.microsoft.com/en-us/sysinternals/tcpview
(Kan upplevas lite rörigt i början, men du är nog snabbt med på vad du vill se)

Det är ju lite det som är skumt, det säger inte vilken process som försöker göra detta, utan hänvisar bara till system mappen.
Det är ju ändå comodo brandvägg och i allt annat sägs det exakt vilken process som försöker göra utåtgående anslutningar... men inte i detta fall, varför?

Dessutom så ser man endast aktiva anslutningar i TCPview. Så kan ej se just denna då den just nu inte är aktiv (ja, jag har kollat)

Visa signatur

/Ben~

Permalänk
Medlem

Kan vara vad som helst egentligen, kan även vara system widgets om du har sådana för att kolla och uppdatera väder, sport statistik osv.

Permalänk
Medlem
Skrivet av VexedRelic:

Kan vara vad som helst egentligen, kan även vara system widgets om du har sådana för att kolla och uppdatera väder, sport statistik osv.

Har stängt av allt som har med automatic updates att göra (iaf från microsoft och dylikt). Men även om det är det, så borde det väl stå vilken process det är?

Visa signatur

/Ben~

Permalänk
Medlem

@Benna: det kan man ju tycka, du har inte så du kan ställa in finkornigare loggning?

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Avstängd

Rensa webläsarcachen och kolla vad som då sker.... massvis med junk som lagras.

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Permalänk
Medlem
Skrivet av Gurk:

@Benna: det kan man ju tycka, du har inte så du kan ställa in finkornigare loggning?

Kollat igenom inställningarna, inget kan läggas till verkar det som. Trots allt det har alltid och är alltid processer som nämns, men enbart inte i detta fall.

Skrivet av plunn:

Rensa webläsarcachen och kolla vad som då sker.... massvis med junk som lagras.

I windows system mapp? Fortfarande samma fråga varför är det "windows operating system" som flaggas som vill göra en utgående koppling och inte enskild process?

Visa signatur

/Ben~

Permalänk
Medlem

En tanke är att MS emellanåt köper kapacitet från Amazons moln (och tvärtom) om Azure är tungt belastat för tillfället så det kan ju vara någon OneDrive-grej eller så.

Permalänk
Medlem
Skrivet av Benna:

Kollat igenom inställningarna, inget kan läggas till verkar det som. Trots allt det har alltid och är alltid processer som nämns, men enbart inte i detta fall.
I windows system mapp? Fortfarande samma fråga varför är det "windows operating system" som flaggas som vill göra en utgående koppling och inte enskild process?

Är det möjligtvis så att i övriga fall är processeserna körda som en användare? (Dom som loggas alltså) och i detta fall är tjänsten som "system". Du har inte sett det innan för att du inte loggar tillåtna saker.

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av snajk:

En tanke är att MS emellanåt köper kapacitet från Amazons moln (och tvärtom) om Azure är tungt belastat för tillfället så det kan ju vara någon OneDrive-grej eller så.

Jag använder inte Onedrive och har inaktiverat allt liknande som kommer med Microsoft skit.
Förutom kalkylatorn och Microsoft edge ibland när firefox inte fungerar.

Skrivet av Gurk:

Är det möjligtvis så att i övriga fall är processeserna körda som en användare? (Dom som loggas alltså) och i detta fall är tjänsten som "system". Du har inte sett det innan för att du inte loggar tillåtna saker.

Förstår inte riktigt hur du menar. Den enda användaren på denna dator är jag / enda konto som finns.
På vilket sätt skulle en av mina "tillåtna" processer kunna använda hela system mappen när jag inte har igång något som kan ha med detta att göra? Förutom mitt AV och min brandvägg, ifall det var något av dem så vad är anledningen till att den skulle upprätthålla en koppling till IP:en i amerika / Amazon, även om det är en cloudflare tillgång som den kopplas till så skulle det fortfarande flagga själva processen som behöver uppkoppling dit. Inte hela min system mapp ?

Förklara vad du menar med "övriga processerna körda som en användare?"

Visa signatur

/Ben~

Permalänk
Medlem
Skrivet av Benna:

Förstår inte riktigt hur du menar. Den enda användaren på denna dator är jag / enda konto som finns.
På vilket sätt skulle en av mina "tillåtna" processer kunna använda hela system mappen när jag inte har igång något som kan ha med detta att göra? Förutom mitt AV och min brandvägg, ifall det var något av dem så vad är anledningen till att den skulle upprätthålla en koppling till IP:en i amerika / Amazon, även om det är en cloudflare tillgång som den kopplas till så skulle det fortfarande flagga själva processen som behöver uppkoppling dit. Inte hela min system mapp ?

Förklara vad du menar med "övriga processerna körda som en användare?"

Hmm, i windows har du ett antal "användare" eller instanser av regelverket för behörigheter och rättigheter. Du har antagligen minst två stycken "användarkonton" när du hanterar och väljer att se detta i windows (du får inte bort dom). Men du har fler. LocalSystem, Network, Interactive, system, localservice är exempel på sådana "konton", eller pseudo-konton. Sedan så utgick jag ifrån att det var en tjänst (det brukar det vara, Windows tjänster kopplar upp sig lite hur som ibland) Lite slarvigt utryckt av mig kanske.

Det var det om konton, sen så får du läsa textraden en gång till väldigt noga. Det står inte system-mapp, det står "Windows Operative System". För att reda ut... det finns flera mappar med exekverbara filer som körs som systemkontot eller som hör till operativsystemet än "windows\system" eller "windows\system32" och av tidigare nämnd orsak med konton så kan iaf jag finna det rimligt att du loggar misslyckade anslutningar (enbart) och då vilken applikation det är, hittar den inte applikationen (går i minnet, generiskt namn, svchost etc) så loggas det som "Windows Operative System" för det körs som "system" (kontot).

Det blir kanske tydligare om du kollar i taskmanagern och väljer att visa alla användare och ser under kolumnen "Användarnamn", där ser du att processer går under olika konton.

Hoppas du var med.

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av Gurk:

Hmm, i windows har du ett antal "användare" eller instanser av regelverket för behörigheter och rättigheter. Du har antagligen minst två stycken "användarkonton" när du hanterar och väljer att se detta i windows (du får inte bort dom). Men du har fler. LocalSystem, Network, Interactive, system, localservice är exempel på sådana "konton", eller pseudo-konton. Sedan så utgick jag ifrån att det var en tjänst (det brukar det vara, Windows tjänster kopplar upp sig lite hur som ibland) Lite slarvigt utryckt av mig kanske.

Det var det om konton, sen så får du läsa textraden en gång till väldigt noga. Det står inte system-mapp, det står "Windows Operative System". För att reda ut... det finns flera mappar med exekverbara filer som körs som systemkontot eller som hör till operativsystemet än "windows\system" eller "windows\system32" och av tidigare nämnd orsak med konton så kan iaf jag finna det rimligt att du loggar misslyckade anslutningar (enbart) och då vilken applikation det är, hittar den inte applikationen (går i minnet, generiskt namn, svchost etc) så loggas det som "Windows Operative System" för det körs som "system" (kontot).

Det blir kanske tydligare om du kollar i taskmanagern och väljer att visa alla användare och ser under kolumnen "Användarnamn", där ser du att processer går under olika konton.

Hoppas du var med.

Om man högerklickar så ser man att detta är vad som har vissa permissions till Windows mappen
http://prntscr.com/9bbynb

Angående mapparna, det som ingår i windows mappen är och mm, system32 foldern tex.
Som jag sa i tidigare inlägg så ser man ju inte vad som gör detta... Brandväggen säger ju enbart "Windows Operative System" och visar inget förtydligande, så jag har valet att blockera eller att inte blockera det, om jag öppnar task manager när detta sker så om det nu är tex svchost.exe som gör en förfrågan, hur skall jag kunna se att det är det som frågar efter det?
Förfrågan är ju ställd och jag upprätthåller ingen uppkoppling till adressen, så hur ska man ens kunna se vad som orsakar det?

Jag lämnar gärna in loggar på vilket som, fråga bara efter vad så lägger jag upp dem. Vill som sagt gärna vilja veta vad som orsakar detta. Räcker inte med att tänka "ah det är kanske något skit från microsoft som kopplar upp sig"... Därav känner man hat för Windows som OS.

Visa signatur

/Ben~

Permalänk
Medlem

@Benna: underliggande processer i värdprocessen "svchost" (service host) - syns tydligt i process Explorer (sitter dumt till, men är även det från sysinternals, se tidigare länk).

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av Gurk:

@Benna: underliggande processer i värdprocessen "svchost" (service host) - syns tydligt i process Explorer (sitter dumt till, men är även det från sysinternals, se tidigare länk).

Så när exakt ska jag titta på den?

Visa signatur

/Ben~

Permalänk
Medlem

@Benna: Ja, det är ju svårt när du blockerar att se vad det som inte ansluter. Förslagsvis, då det verkar vara en relativt odramatisk sak som sker (men förvisso irriterande), så tillåt detta... för att reda ut vad det är.

Här är lite mer info, både process explorer och via cmd tas upp: http://www.bleepingcomputer.com/tutorials/list-services-runni...

//edit - jag kollade lite i dokumentationen för comodos firewall, det verkar vara en hel drös med folk som stör sig på precis det här fenomenet... att det blir operativsystemet som applikation istället för sökväg etc som är brukligt. Hittade ingen lösning heller. Förslag #2, bara för att reda ut så kanske ett annat tydligare brandväggsprogram vore bra under en period?

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av Gurk:

@Benna: Ja, det är ju svårt när du blockerar att se vad det som inte ansluter. Förslagsvis, då det verkar vara en relativt odramatisk sak som sker (men förvisso irriterande), så tillåt detta... för att reda ut vad det är.

Här är lite mer info, både process explorer och via cmd tas upp: http://www.bleepingcomputer.com/tutorials/list-services-runni...

//edit - jag kollade lite i dokumentationen för comodos firewall, det verkar vara en hel drös med folk som stör sig på precis det här fenomenet... att det blir operativsystemet som applikation istället för sökväg etc som är brukligt. Hittade ingen lösning heller. Förslag #2, bara för att reda ut så kanske ett annat tydligare brandväggsprogram vore bra under en period?

Nej, vill inte tillåta något jag inte har någon susning om, gillar inte när jag inte vet vad som körs eller skickar info till.

Ja, vet du någon bra brandvägg ?

Visa signatur

/Ben~

Permalänk
Medlem

@Benna: @Gurk: Finns även fall där hackare hyrt in sig i Amazones moln för att sedan skicka ut en trojan till klienter som snor data och skickar det till amazons moln.

Lösenordsfiler, tangetbordslyssnare, osv...

Permalänk
Medlem
Skrivet av Benna:

Nej, vill inte tillåta något jag inte har någon susning om, gillar inte när jag inte vet vad som körs eller skickar info till.

Ja, vet du någon bra brandvägg ?

Helt rätt, man ska vara paranoid... ryck routerns externa interf, sätt IP:t lokalt någonstans öppna en tjänst på port 443, stäng av brandväggen lokalt och se vilken process det är som försöker ansluta. Utan att veta ett skvatt så gissar jag på microsoft media center services (det var väl det vi pratade om här i tråden, eller var det något annat).

Jag har bara kört med microsofts egna på lokala datorer... sedan så i jobbet (bör tilläggas) så är det olika varianter av watchguard och clavister där det ser lite annorlunda ut. För många år sedan (typ 10?) tyckte jag ZoneAlarm var bra på datorn.

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av OrlMrt:

@Benna: @Gurk: Finns även fall där hackare hyrt in sig i Amazones moln för att sedan skicka ut en trojan till klienter som snor data och skickar det till amazons moln.

Lösenordsfiler, tangetbordslyssnare, osv...

.... källa, alltid bra att visa exempel på sånt här.

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Skrivet av Gurk:

Helt rätt, man ska vara paranoid... ryck routerns externa interf, sätt IP:t lokalt någonstans öppna en tjänst på port 443, stäng av brandväggen lokalt och se vilken process det är som försöker ansluta. Utan att veta ett skvatt så gissar jag på microsoft media center services (det var väl det vi pratade om här i tråden, eller var det något annat).

Jag har bara kört med microsofts egna på lokala datorer... sedan så i jobbet (bör tilläggas) så är det olika varianter av watchguard och clavister där det ser lite annorlunda ut. För många år sedan (typ 10?) tyckte jag ZoneAlarm var bra på datorn.

Zonealarm är inte lika bra längre, använde mig också utav ZoneAlarm när det var som på topp. Numera är det Comodo som toppar alla listor som brandvägg. Jag nöjjer mig med Comodo så länge jag vet vad allt gäller och i detta fall vet jag inte. Vad sa du att dom sa på deras forum?

Visa signatur

/Ben~

Permalänk
Medlem
Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Permalänk
Medlem
Permalänk
Medlem

@OrlMrt: Din töntlänk svarar inte på frågan, men hoppas att du fattar att det är bra med exempel på sina påståenden...

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T