Hallo,

ich habe hier ein Problem bei dem ich einfach nicht mehr weiterkomme. Auch eine (sehr ausführliche) Suche über Google brachte leider nichts ein.

Die Probleme scheinen aufzutreten, seit ich Net Framework 1.1 von MS installiert habe - bin mir aber nicht sicher, ob es wirklich damit zusammenhängt.

Vorab: Ich nutze WinXP Home Edition, IE 6, ZoneAlarm, AntiVir, Spybot Search & Destroy, AdAware und a-squared Free. Es sind alle Updates aufgespielt! Ins Internet gehe ich über einen externen Router mit eingebauter Firewall.

Hier nun die Probs:
1. In ZoneAlarm wird rechts oben ständig der Windows Explorer angezeigt. D. h. lt. ZA versucht der WE ins Internet zu gehen. Entspr. Warnmeldungen gibt es aber nicht (habe keine Erlaubnis erteilt)! Eine Kontrolle via netstat zeigt keine Verbindung an!

2. Wenn ich nach einem System-Neustart erstmalig mit dem IE ins Internet gehe, bekomme ich eine entspr. Meldung von ZA (Erlauben ja/nein) und alles läuft normal. Schließe ich nun den IE komplett und starte ihn wieder, kommt keine Warnmitteilung von ZA mehr und der IE geht sofort ins Internet und das, obwohl die Einstellung in ZA für den IE immer noch auf "Fragen" (Fragezeichen) lautet. Scheinbar wird hier ZA umgangen.

3. Wenn mehr IE-Fenster offen sind, als in der Taskleiste angezeigt werden können, wird als "Gruppensymbol" nicht IE sondern plötzlich Windows Explorer (mit entspr. Symbol) angezeigt! Sobald ich einige Fenster schließe und diese in der Taskleiste wieder einzeln dargestellt werden, ist wieder alles normal.

4. Spybot (und nur Spybot) gibt plötzlich die Warnmeldung aus, das Port 6667 offen sei (2 Registry-Schlüssel)! Dieser Port ist allerdings in meine Hardware-Firewall (Router) geschlossen, so daß eigentlich nichts passieren dürfte.

Sämtliche von mir verwendete Programme (s.o.) zeigen nichts an! Mit Ausnahme von Spybot, der mir den geöffneten Port 6667 anzeigt. Auch eine Kontrolle mit HijackThis brachte nichts ein (ich kann das Ergebnis gerne hier posten, falls gewünscht/erforderlich).

Ich weiß, daß Port 6667 von IRC (nicht installiert) und div. Trojanern genutzt wird. Eine Überprüfung mit spez. Software z. B. auf W32.Korgo brachte leider auch nichts. Auch eine Überprüfung mit 2 Anti-Rootkit-Programmen brachte nichts. Spybot konte die beiden Registry-Schlüssel löschen, die anderen Probs bestehen allerdings weiterhin!

Kann mir hier jemand weiterhelfen? Für Antworten/Ratschläge wäre ich sehr dankbar.

Hallo yadur,

Zitat:

Die Probleme scheinen aufzutreten, seit ich Net Framework 1.1 von MS installiert habe - bin mir aber nicht sicher, ob es wirklich damit zusammenhängt.

Net Framework gibt es doch schon in der Version 2.irgendwas.....geh mal googeln.

Zitat:

Vorab: Ich nutze WinXP Home Edition, IE 6, ZoneAlarm, AntiVir, Spybot Search & Destroy, AdAware und a-squared Free. Es sind alle Updates aufgespielt! Ins Internet gehe ich über einen externen Router mit eingebauter Firewall.

Router und Desktopfirewall ?
Das muß sich ja "beißen" ! Komm mir jetzt nicht mit "ich will sehen wer ins Netz will".Das stellst du im Router ein,wer darf und wer nicht.
Irrlicht

Hallo irrlicht,

ich weiß, daß es bereits Net Framework 2.0 gibt. Es ist auch beides bei mir installiert! Ich hatte bis vor ein paar Tagen nur die Version 2.0 drauf, mußte aber wegen eines älteren Programms die Version 1.1 aufspielen! Die Versionen scheinen sich auch nicht zu beißen, sondern quasi nebenher zu laufen. Ist zwar meiner Meinung nach sehr ungewöhnlich, aber auch beim Update (WinXP) wurde mir trotz der installierten Version 2.0 ständig die Version 1.1 als wichtiges Update angezeigt! Insofern scheint mir die Parallelinstallation durchaus ok zu sein (lasse mich aber gern eines besseren belehren )

Die Soft- und Hardwarefirewall beißen sich m. M. nach nicht! Mir ist durchaus bewußt, daß die Hardwarefirewall eigentlich alles blocken sollte (habe prinzipiell alle Ports geschlossen), dem ist aber definitiv nicht so! Im Router kann ich lediglich bestimmen welcher Computer ins Internet darf und welcher nicht, nicht aber welches Programm ins Internet darf und welches nicht! Das läßt sich nur über ZA realisieren! Oder bin ich da total auf Irrwegen?

Dazu kommt (sorry), daß ich durchaus sehen möchte, welches Programm auf PC A gerade ins Internet will! Selbst wenn die Hardwarefirewall dieses blocken würde (was sie nicht tut, da der PC freigegeben ist), möchte ich in der Lage sein, frühzeitig auf evt. Viren, Trojaner usw. aufmerksam zu werden. Ich hatte mit dieser Konfiguration bisher auch keinerlei Probs! Die HW-FW blockt mir definitiv nur eingehende Verbindungen die versuchen, über gesperrte Ports bzw. Protokolle (z. B. UPnP, Telnet, FTP usw.) reinzukommen.

Mein Router ist übrigens von Zyxel.

So wie ich das sehe, ergänzen sich die beiden Firewalls sehr gut. Ich denke also nicht, daß meine aktuellen Probs damit zusammenhängen. Oder habe ich da irgendwas total falsch verstanden?

Hallo,

ich poste mal die HijackThis-Auswertung, vielleicht bringt das ja was. Allerdings kann ich hier keinen "Eindringling" erkennen..


Logfile of HijackThis v1.99.1
Scan saved at 17:25:04, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\Anwendungen\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.pcalzenau.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\EMail\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O15 - Trusted Zone: h**p://www.adac.de
O15 - Trusted Zone: h**p://www.amazon.de
O15 - Trusted Zone: h**p://www.ars-vivendi.de
O15 - Trusted Zone: h**p://www.daysofwonder.com
O15 - Trusted Zone: h**p://www.deutschepost.de
O15 - Trusted Zone: h**p://cgi5.ebay.de
O15 - Trusted Zone: h**p://my.ebay.de
O15 - Trusted Zone: h**p://sell.ebay.de
O15 - Trusted Zone: h**p://signin.ebay.de
O15 - Trusted Zone: h**p://www.ebay.de
O15 - Trusted Zone: h**p://www.expedia.de
O15 - Trusted Zone: h**p://www.falk.de
O15 - Trusted Zone: h**p://www.flyer24.de
O15 - Trusted Zone: h**p://www.neu.heine.de
O15 - Trusted Zone: h**p://www.quelle.de
O15 - Trusted Zone: h**p://www.reichelt.de
O15 - Trusted Zone: h**p://www.sparda-hessen.de
O15 - Trusted Zone: h**p://www.tchibo.de
O15 - Trusted Zone: h**p://www.zugumzug.com
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - h**p://zone.msn.com/binFrameWork/v10/StagingUI.cab46479.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - h**p://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - h**p://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119508789937
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (ZPA_HRTZ Object) - h**p://zone.msn.com/bingame/zpagames/zpa_hrtz.cab40641.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - h**p://zone.msn.com/bingame/shpo/default/shapo.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - h**p://zone.msn.com/binframework/v10/StProxy.cab41227.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA874002-3089-4F65-943D-8B4981A19EF1}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wenn ich aktuell den IE öffne, fragt mich ZoneAlarm, ob der Windows Explorer!!!! ins Internet darf! Kann es sein, daß WinXP den IE und den Windows Explorer durcheinander geschmissen hat?! Hab sowas noch nie gesehen/gehört!

Kann mir jemand weiterhelfen? Bin für jede Antwort dankbar!!!