Hallo geschätzes Board!

mein System läuft eigentlich seit Langem recht gut, hatte es auch mit Hilfe vom TB so gut es ging aufgesetzt, kaum Dienste zugelassen, alle Ports versucht zu schließen etc. Mittlerweile ist alles auch schon etwas alt und für neue Hardware und win7 wird schon gespart, soviel schonmal vorweg. Dennoch gibts ein paar Dinge, die ich mir nicht erklären kann und man will ja keinen Schädling haben und auch bei der späteren Übertragung der vielen Daten auf das kommende neue System sollen keine Seuchen verschleppt werden, also folgende Merkwürdigkeiten.


-trojancheck bringt unreproduzierbar ein Meldungsfenster 'ungültige Zeigeroperation'

-in meiner Kerio PFW hatte ich ein paar Regeln, die das Verbinden von Programmen nach draußen verbieten, glaube es war adobe, tcpview und java-irgendwas, weiß leider nicht mehr was genau, sind aber weg

-im log von malewarebytes ist unter 'Win32 Services (SafeList)' der Eintrag
SRV - (Fax) -- C:\WINNT\system32\FAXSVC.EXE (Microsoft Corporation)
aber ich habe den Dienst Faxdienst (C:\WINNT\system32\faxsvc.exe) unter Computerverwaltung auf *deaktiviert* gesetzt (schon immer)

-im log von malewarebytes sind unter 'Files - Modified Within 30 Days' zwei Einträge von MBAM von Ende Mai 2011, aber ich kenne malewarebytes erst seit ein paar Tagen, seitdem ich hier im Board lese.



Die scans von MBAM und Superantispywar haben ewig gedauert (fanden wohl aber nichts).
Gmer lief nur im abgesicherten Modus. Beim ersten Scan hatte ich die richtigen Gmer-Einstellungen verpeilt, sodaß er stundenlang lief und seehr viele 'Ergebnisse' zeigte, den button 'save' gabs nicht. Also nochmal, mit den geforderten Einstellungen (wieder kein 'save' butten vorhanden) also logs von Hand abgetippt. Während des scans kamen die Windowsfenster:
KerioFirewallDriver unable to attach TCP
KerioFirewallDriver unable to attach UDP
KerioFirewallDriver unable to attach IP
KerioFirewallDriver unable to attach RawIp
(Falls es von Bedeutung ist, ein DWORD Entry "AlwaysSecure" mit dem Wert 1 in
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fwdrv] ist vorhanden, nach hxxp://board.protecus.de/showtopic.php?threadid=211, scan erfolgte vom Netz getrennt.)



Ich würde mich wirklich sehr freuen, wenn ein Helfer da mal draufschauen könnte, ich bin mir ziemlich unschlüssig.

Allerbesten Dank und Grüße,
Bernd48

Zitat:

PRC - C:\Programme\Kerio\Personal Firewall\PERSFW.exe (Kerio Technologies)

Mit sowas kann man keine Ports schließen, wenn werden damit je nach Regelwerk die Pakete "nur" gefiltert. Ports schließt man, indem man die Dienste beendet, die diese Ports erst geöffnet haben.

Ist der Rechner so alt oder gibt es einen anderen Grund dafür, dass du noch Windows 2000 verwendest?

Zitat:

SRV - (Fax) -- C:\WINNT\system32\FAXSVC.EXE (Microsoft Corporation)
aber ich habe den Dienst Faxdienst (C:\WINNT\system32\faxsvc.exe) unter Computerverwaltung auf *deaktiviert* gesetzt (schon immer)

Der ist tatsächlich deaktiviert und somit auch nicht gestartet?

Zitat:

Während des scans kamen die Windowsfenster:
KerioFirewallDriver unable to attach TCP

Sieht man ja, dass das Registry-Einträge der PFW von Kerio ist (PFWs sind meist sinnfrei bis kontraproduktiv)
Hängt dieser Rechner direkt am Internet oder geht das über einen Router?

Zitat:

Zitat von cosinus

Mit sowas kann man keine Ports schließen, wenn werden damit je nach Regelwerk die Pakete "nur" gefiltert. Ports schließt man, indem man die Dienste beendet, die diese Ports erst geöffnet haben.

Ja stimmt genau, das hatte ich auch schon beim Systemaufsetzen beherzigt, halt all die Maßnahmen von ntsvcfg.de hatte ich gemacht. Es gibt keinen Dienst, der einen Port offenhält. Außer der 44334 von Kerio ist offen (standardmäßig, wohl zur Remoteadministration vorgesehen, die ist aber disabled gesetzt). Der Rechner ist über zehn Jahre alt, vor ungefähr acht habe ich ihn bekommen, die Platten fomatiert und w2k aufgespielt, seitdem läuft er eigentlich gut (Surfen und Schreibkram). Die Kerio wurde dermaleinst allgemein als gut befunden, sozusagen als Wächter, falls irgendwas *rausflüstern* will. Deine kritischen Anmerkungen verstehe ich schon, man könnte halt die Brechstange an 44334 ansetzen..

Zitat:

Zitat von cosinus

Der ist tatsächlich deaktiviert und somit auch nicht gestartet?

Der Faxdienst war immer -und ist derweil auch- unter Computerverwaltung/ Dienste deaktiviert. Ich habe mal mit HijackThis eine Liste der laufenden Processe geloggt, da ist auch keine faxsvc.exe zu sehen. Ich gehe demnach davon aus, dass faxsvc.exe nicht läuft. Ich weiß leider nicht, was die OTL Sektion
========== Win32 Services (SafeList) ========== ist, in der eben faxsvc.exe auftaucht.

Zitat:

Zitat von cosinus

Hängt dieser Rechner direkt am Internet oder geht das über einen Router?

Ja, er war immer direkt am Internet, wenn man den Router des ISP (kabeldeutschland) nicht berücksichtigt. Seit Kurzem habe ich selbst auch einen Router vor dem Rechner, die sporadischen 'ungültige Zeigeroperation' von Trojancheck kamen aber auch schon vorher.

Danke und Grüße,
bernd48

Zitat:

Ja, er war immer direkt am Internet, wenn man den Router des ISP (kabeldeutschland) nicht berücksichtigt.

Entweder direkt oder über Router. Aber wenn er am Router hängt und dann sich diesen einfach nur wegdenkt, dann ist der Rechner immer noch nicht direkt im Netz.

Was ich meinte:

Direktbetrieb im Internet => der PC hat eine öffentliche WAN-IP, eben die vom ISP dynamisch zugeteilt. Damit bist du weltweit erreichbar

Über Router => Der Router hat die WAN-IP vom Provider, der Router stellt das Gateway und die Firewall dar, die Rechner hinter/am Router bekommen IP-Adressen zB aus dem Bereich 192.168.1.0/24 - solche private IP-Adressen werden im Internet NICHT geroutet und somit ist kein Rechner hinter dem Router direkt erreichbar.

Ok, sorry.
Nochmal präzise, er war immer direkt am Netz, seit Kurzem habe ich einen Router davor.
Mfg bernd48

Mit Router ist sowas wie Kerio noch überflüssiger als eine PFW ohnehin schon ist

Gut :-)


Ich will mal nochma' zu den logs fragen. Weil keiner was dazu gesagt hatte, nehme ich an, es ist alles wie es muß?
Demnach werde ich vor dem Anstecken der alten Platten an den neuen Rechner nochmal MBAM und SUPERAntiSpyware laufen lassen und bei grünen Lampen ist's dann gut? (OSAM noch?)

Grüße,
bernd48

Zitat:

FF - prefs.js..network.proxy.ftp: "127.0.0.1"
FF - prefs.js..network.proxy.ftp_port: 4001
FF - prefs.js..network.proxy.gopher: "127.0.0.1"
FF - prefs.js..network.proxy.gopher_port: 4001
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 4001
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.ssl: "127.0.0.1"
FF - prefs.js..network.proxy.ssl_port: 4001

Hast DU diese Proxyeinträge gemacht?

Ja, hab ich. Manchmal wenns anonym sein soll, nehme ich den JavaAnonProxy (JAP) und das müsste die Einstellung des Firefox dazu sein, bzw. die Proxy Einstellung in Java ist auch so gesetzt, dass die des Browsers genommen wird.

Bislang ist alles unauffällig.

Zitat:

SRV - (Fax) -- C:\WINNT\system32\FAXSVC.EXE (Microsoft Corporation)
aber ich habe den Dienst Faxdienst (C:\WINNT\system32\faxsvc.exe) unter Computerverwaltung auf *deaktiviert* gesetzt (schon immer)

Kann ich mir nur so erklären, dass bestimmte "Standarddienste" angezeigt werden egal ob aktiv oder inaktiv. Welchen Sinn das jetzt macht, will und kann ich nicht diskutieren, nur sieht man in OTL-Logs eine Menge an Diensten, die NICHT schädlich bzw. die legitim und wichtig für das System sind.

Zitat:

Während des scans kamen die Windowsfenster:
KerioFirewallDriver unable to attach TCP

Sind wie schon gesagt Einträge von Kerio. Sonst nichts. Kerio nun deinstalliert?