also priam
sorry war so fasziniert von der dikussion das i vergesenhab zu antworten gg
also es kommt eigentlich immer die gleiche meldung
befallene datei (netservice.exe)
nach längerer zeit dann werden auch andere befallen aber hauptsächlich diese
und ich habe komplett formatiert und keine eigene dateien aufgespielt alles nur progs von cd

danke zatu für deinen beitrag
aber wie du vielleicht gelesn hast bin i technisch noch nicht so weit ggg
was is ein router??
was ich dazusagen muss ist das ich einen zweiten pc draufhängen hab in einem internen netzwerk der virenfrei ist .. und mom auch nicht dranhängt

</font><blockquote>Zitat:</font><hr />
....was ich dazusagen muss ist das ich einen zweiten pc draufhängen hab in einem internen netzwerk der virenfrei ist ...
</font>[/QUOTE]...tja, mindestens jetzt hast du es gesagt!!!
Mach bitte vorerst dein Kranker onhe Netz- , bzw. Internetverbindung.

- Mit F8 (Safe Mode)+ Admin-Login hochstarten
- TIF+Temp+Papierkorb leern. Bei Win2000 kannst du im Startmenu/Programme/Zubehör/Systemprogramme/Datenträgerbereinigung für alle Laufwereke ausfüren.
- Virensuche - Alle Dateien + Alle Laufwerke.
- Das Protokoll der Virensuche mit:
1. Virennamen
2. Dateinamen mit Pfad in Form C:\Windows\system32\netvieh.exe posten!!!
es ist nicht ausgeschlossen, dass du diese Dateien einfach löschen kannst!!! Dafür braucht man zu wissen, wo die sich befinden!!!
Ohne diesen Angaben kann keiner was für dich tun.

[ 13. Juni 2003, 09:37: Beitrag editiert von: Priam, the King of Trojans. ]

</font><blockquote>Zitat:</font><hr />
...also es kommt eigentlich immer die gleiche meldung befallene datei (netservice.exe)
</font>[/QUOTE]... die kannst du unbedenklich löschen - es ist nur ein Hacker-Tool, leider habe nix mehr genaues gefunden, google gibt nur die Seiten in koreanischer Sprache. Wenn du dich mit dem Koreainisch vertraut füllst, kannst du es auch lesen.

@iron
</font><blockquote>Zitat:</font><hr />
</font><blockquote>Zitat:</font><hr />...Jeder Trojaner oder Backdoor hat "seine" Ports.
</font>[/QUOTE]Ganz falsch...
</font>[/QUOTE]...ist es auch nicht: schau mal hier oder hier. .
Selbstverständlich kann man nicht alle 2**16 Ports beobachten oder blocken, lieber den PC überhaupt nicht einschalten...

PS: Ich möchte nicht gemein sein, aber wenn du die diese Seite ignorierst, würde ich an der Stelle des Moderators das Hausverbot für dich aushängen

[ 13. Juni 2003, 11:26: Beitrag editiert von: Priam, the King of Trojans. ]

</font><blockquote>Zitat:</font><hr />[...] AFAYK [...]</font>[/QUOTE]Richtig, deshalb bat ich auch um Gegenbeispiele - kennst du welche?

</font><blockquote>Zitat:</font><hr /> Übrigens gehts nicht nur um schlichtes Prozesskillen, sondern auch um Tunneln, Modifizieren von Rulesets usw. usf... </font>[/QUOTE]Gleiches Spiel (ernsthaft): nenne mir bitte einen Backdoor, der _aktuelle_ PFWs tunnelt, oder deren Regeln modifiziert.

</font><blockquote>Zitat:</font><hr /> Der entscheidende Punkt ist, bereits eine solche _Installation_ zu verhindern. </font>[/QUOTE]Das habe ich nie bezweifelt. Aber leider ist das für viele offenbar nur schwer zu erreichen (wie man an den täglichen Hilferufen hier sieht; außerdem: siehe Signatur) - und deshalb sind imho Maßnahmen zur Schadensbegrenzung durchaus berechtigt (wie auch immer die aussehen.)

</font><blockquote>Zitat:</font><hr /> Lies einfach mal ein paar Monate aus den Archiven von www.virenticker.de und folge den Links zu den AV-Herstellern, wo die Malware detailliert beschrieben wird.
Vielleicht glaubst du denen ja eher als mir. *kopfschüttel* </font>[/QUOTE]Klar, denen glaube ich - nämlich dass es (offenbar) praktisch keine Schädlinge mit den von dir beschriebenen Eigenschaften gibt (man beachte, dass ich von _aktuellen_ FW sprach.)
Klickt man sich ein wenig durch aktuelle (Backdoor-)Meldungen, liest man fast immer "listens on port xy" (kein FW-Tunneling) und manchmal "terminates the following processes...:" (wie gesagt: zu wenig, um manche FWs abzuschießen.)
Zwischen Theorie und Realität besteht offenbar ein Unterschied...

Bereits schnöde Spyware tut es:
http://security.kolla.de/index.php?l...s/news20030324

Es ist sinnlos, sich "vor" Malware "schützen" zu wollen, wenn sie bereits installiert ist. Der entscheidende Punkt ist, bereits eine solche _Installation_ zu verhindern. Alles andere geht am eigentlichen Ziel vorbei.

</font><blockquote>Zitat:</font><hr />Original erstellt von forge77:
Richtig, deshalb bat ich auch um Gegenbeispiele - kennst du welche?
[...]
Gleiches Spiel (ernsthaft): nenne mir bitte einen Backdoor, der _aktuelle_ PFWs tunnelt, oder deren Regeln modifiziert. </font>[/QUOTE]Lies einfach mal ein paar Monate aus den Archiven von www.virenticker.de und folge den Links zu den AV-Herstellern, wo die Malware detailliert beschrieben wird.
Vielleicht glaubst du denen ja eher als mir. *kopfschüttel*

@ Priam:

</font><blockquote>Zitat:</font><hr />Aber ich bestehe darauf, dass eine Firewall ist besser, als keine</font>[/QUOTE]Bestehe, worauf du möchtest. Es ist dennoch falsch.
</font><blockquote>Zitat:</font><hr />Ob NAV gut oder schlecht ist : kannst du ein absolut sicheres mittel gegen Malware nennen
(ausser UHF - User's Head Firewall, selbsverständlich )?</font>[/QUOTE]Nein. Und auch Brain macht Fehler, aber deutlich weniger als JEDE Desktopfirewall. Darum KANN eine DTFW nicht besser sein "als gar nichts", denn du ignorierst die Existenz von Brain.
</font><blockquote>Zitat:</font><hr />Wie ich gelesen habe, selbst aber nicht ausprobiert: wenn man ein weiteres AV-Prog installiert, werden die vorhandenen AV-Dateien als Virenträger erkannt (ob es Wahr ist -?).</font>[/QUOTE]In manchen Fällen ja, in manchen nein.
</font><blockquote>Zitat:</font><hr />... d.h. nur ein Antivirus-Überwachungsdienst aktiv werden darf. Was habe ich falsch gepostet?</font>[/QUOTE]Du formulierst zu ungenau und erklärst HINTERHER, wie du es meintest.
</font><blockquote>Zitat:</font><hr />Siest du hier irgendwo ein Lobeswort für NAV?</font>[/QUOTE]Lenke nicht ab! Ich habe nicht behauptet, dass du NAV gelobt hättest. Verdreh mir nicht das Wort im Munde.
</font><blockquote>Zitat:</font><hr />PS: Ich möchte nicht gemein sein, aber wenn du die diese Seite ignorierst, würde ich an der Stelle des Moderators das Hausverbot für dich aushängen</font>[/QUOTE]Du trollst.
Wenn du den Unterschied zwischen einem "Standard-Trojaner-Port" und einem beliebigen anderen Port nicht kennst:
Es gibt keinen. Kein Script-Kiddy wird so dumm sein, und den Trojaner-Server nicht umkonfigurieren, denn es ist klar, dass die "Standard"-Ports als erste überwacht werden.

@ Forge77:

terminates the following processes...Genau. Und dann schau dir die Liste der Prozesse mal an.
NAVAPW32.exe
NAVLU32.exe
NAVNT.exe
NAVW32.exe
NAVWNT.exe
NISUM.exe
...
OUTPOST.exe
ZONEALARM.exe

Und bedenke, dass kaum ein Homeuser etwas wie Sygate, Checkpoint oder ähnliches verwendet.

@iron

</font><blockquote>Zitat:</font><hr />
...Du formulierst zu ungenau und erklärst HINTERHER, wie du es meintest.
</font>[/QUOTE]
...o nein!!! Ich versuche womöglcih die Sprache benutzen, die für Otto Normaluser verständlich ist. Der Begriff "Programm deinstallieren" versteht jeder, der nur 1 Tag am Rechner verbracht hat. Das Wort "Überwachungsdienst" musst du dem noch extra erklären, was "Überwachung" in dem Sinne bedeutet und was ein "Dienst" ist - sieh auch in diesem Thread, wie viele Fragen tauchen beim haribo dort auf, wo für dich alles klar ist.
</font><blockquote>Zitat:</font><hr />
Verdreh mir nicht das Wort im Munde.
</font>[/QUOTE]
..du hast angefangen
</font><blockquote>Zitat:</font><hr />
...Und bedenke, dass kaum ein Homeuser etwas wie Sygate, Checkpoint oder ähnliches verwendet.
</font>[/QUOTE]
...und auch hier irrst du dich: ich verwende Sygate Personal FW (Freeware) daheim. Bin ganz zufrieden.

[ 13. Juni 2003, 14:52: Beitrag editiert von: Priam, the King of Trojans. ]

</font><blockquote>Zitat:</font><hr /> Wie ich gelesen habe, selbst aber nicht ausprobiert: wenn man ein weiteres AV-Prog installiert, werden die vorhandenen AV-Dateien als Virenträger erkannt (ob es Wahr ist -?). </font>[/QUOTE]Das passiert nur, wenn der Scanner seine Signatur-Datenbanken unverschlüsselt ablegt. Der einzige Scanner, den ich kenne, der sowas macht, ist PandaAV.

</font><blockquote>Zitat:</font><hr /> terminates the following processes...Genau. Und dann schau dir die Liste der Prozesse mal an.
NAVAPW32.exe [...] </font>[/QUOTE]Du hast mglw. noch nicht verstanden, worauf ich hinaus will: _mehrere_ (nicht alle!) FWs zeigen sich 'im Kern' durch das bei Malware übliche Prozess-Killen völlig unbeeindruckt, weil die Filter-Funktionen treiberbasiert laufen und die FW-Prozesse nicht viel mehr als die GUI darstellen.

Außerdem: wieso sollte der Sinn von FWs an der Qualität der meistverbreitetsten Produkte gemessen werden? Machen wir bei Virenscannern doch auch nicht... (-&gt; NAV)

</font><blockquote>Zitat:</font><hr />Original erstellt von Priam:
...o nein!!! Ich versuche womöglcih die Sprache benutzen, die für Otto Normaluser verständlich ist.</font>[/QUOTE]Ja...man merkts. Du bedenkst leider nicht, dass ONU sich allzuleicht mit pauschalisierenden Vereinfachungen zufrieden gibt und nicht versteht, was wirklich dahintersteckt. Er GLAUBT dank deinesgleichen, es verstanden zu haben und "schützt" sich mit Schlangenöl.
</font><blockquote>Zitat:</font><hr />..du hast angefangen</font>[/QUOTE]Wo verdrehe ich etwas?
</font><blockquote>Zitat:</font><hr />...und auch hier irrst du dich: ich verwende Sygate Personal FW (Freeware) daheim. Bin ganz zufrieden.</font>[/QUOTE]Eben. Ich schrieb KAUM ein Homeuser. K-A-U-M
Nur weil du sie benutzt und meinst, zufrieden sein zu dürfen, kannst du das nicht zum Standard erklären. Ich beispielsweise bin mit meiner Firewall auch sehr zufrieden. Ich benutze allerdings eine echte, nämlich ein Konzept und nicht eine Pseudolösung in Form von Software.

Stell dich doch nicht so an. Ist es soooo schwer für dich einzusehen, dass deine Methode erhebliche Mängel hat?
Mehrfach wurde es dir UND auch haribo erklärt...ich machs nochmal:

Wenn Malware, z.B. ein Trojanerserver, erst einmal auf dem System gestartet werden konnte, ist es bereits kompromittiert, EGAL, ob dem Trojaner-Server schon eine Verbindung nach außen gelang oder nicht. Die Teile richten bereits LOKAL Schäden an, die KEINE DTFW verhindern kann.
Selbst wenn nun die DTFW den Verbindungsversuch nach außen bemerkt, muss meist der User entscheiden und dank der oft irreführenden Meldungen entscheidet er sich oft falsch, d.h. er erlaubt bedenkliche und verbietet harmlose Verbindungen.
Nur wenn der User lernt, was all die Meldungen, Ports und Protokolle bedeuten und er ihre Aufgaben versteht, kann er sich BEWUSST richtig entscheiden. Dann aber kann er das auch ohne DTFW.

Ziel muss es sein, Malware gar nicht erst zu installieren und das kann KEINE DTFW verhindern.

@iron
</font><blockquote>Zitat:</font><hr />
...Ziel muss es sein, Malware gar nicht erst zu installieren und das kann KEINE DTFW verhindern.
</font>[/QUOTE]...es ist richtig so, kann nur zustimmen. Was Sygate betrifft - nimm es nicht ernst: habe einfach zum Ausprobieren installert, surfe schon seit 5 Jahren nur mit UHF - nie ein Prob mit Malware gehabt.
Was die Methoden betrifft...Du hast auch, irgendwann, die PC-Kenntnisse mit den "menschlichen" Wörter erklärt bekommen, oder ...?

tnx @forge77
</font><blockquote>Zitat:</font><hr />
..Der einzige Scanner, den ich kenne, der sowas macht, ist PandaAV.
</font>[/QUOTE]..genau!!!Von Panda habe ich das Artikel gelesen (frag mich nicht "wo").

</font><blockquote>Zitat:</font><hr />Original erstellt von Priam:
Was die Methoden betrifft...Du hast auch, irgendwann, die PC-Kenntnisse mit den "menschlichen" Wörter erklärt bekommen, oder ...?</font>[/QUOTE]Nein. Ich habe mich darum bemüht, das, was andere mit ihrem Fachjargon diskutierten, zu verstehen, indem ich lernte, was die Fachbegriffe bedeuten. Erklärt bekommen im Sinne einer Antwort auf eine von mir gestellte Frage, habe ich gar nichts. Ich hab das lieber selbst in die Hand genommen (ganz im Sinne meiner aktuellen Signatur).