Hallo,

an meinem Rechner gibt es seit einer Weile ein paar Auffälligkeiten:

Beim Runterfahren hängt die ZoneAlarm Firewall. Ich muss über den Taskmanager
sofort beenden, damit der rechner runterfahren kann. Dass passiert aber nicht jedes mal.

Der Firefox-Browser findet keine Verbindung zum Internet. Über Seite aktualisieren gehts dann meist. Auch das passiert nicht jedes mal.

Ich verwende Avira Antivir Personal, hier wird nie etwas gefunden.
Ich habe sicherheitshalber einen Scan mit Stopzilla durchgeführt. Dieser hat dann einiges gefunden.

[IMG]E:\Software\Viren\Stopzilla Liste.bmp[/IMG]
Ich vermute, dass das allerdings zumindestns größtenteils Fehlalarme sind.
Es wurden hier Druckertreiber von Canon, eine Musiksoftwaredatei und eine Deinstallationsdatei gefunden.

c:\windows\ssystem32\cnmvs49.dll
\canon druckertreiber\b645mux.exe
\canon druckertreiber\cnmvs.dll
c:\programme\emagic\logic 5\unwise.exe
E:\Software\Finale\Finale 2002 - Complete\Finale Extras\DLLFILES\ctl3d32_98.exe


Ich habe darauf hin das Trojaner-Forum aufgesucht und Mbam scannen lassen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6483

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.05.2011 12:33:06
mbam-log-2011-05-01 (12-32-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162397
Laufzeit: 4 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Soweit das Ergebnis. Ich habe von Mbam erstmal nichts entfernen lassen.
Von den von StopZilla (evt. zu Unrecht) beanstandeten Dateien hat Mbam
nichts gefunden.
Was ist Eure Meinung zu dem Ganzen?
Virusbefall oder nicht?

Zitat:

Beim Runterfahren hängt die ZoneAlarm Firewall.

ZoneAlarm ist die sinnloseste Software, die man seinem System antun kann. Runter mit dem Müll, aktiviere die Windows-Firewall!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hi,

ich habe bisher nur den einen Scan laufen lassen und es gibt nur das eine Logfile.
In Sachen Firewall habe ich mal gehört, dass man nicht auf die Windows-Firewall
zurückgreifen soll, wenn man ohne zwischengeschalteten Router am Netz hängt.
Stimmt das? Ich benutze DSL über ein Netzwerkkabel und arbeite mit WIN XP SP3 Home Edition. Sollte ich besser die Windows-Firewall scharfschalten
oder noch was ganz anderes nehmen?

Wie ich schon sagte. Nutze die Windows-Firewall!

Hallo,

warum ist ZoneAlarm schlecht und Windows Firewall besser?
(Kenne mich nicht so aus mit dem Kram)

Kann ich mein System als sauber betrachten, wenn Malewaebytes
nicht anspringt? (Bis auf die im log aufgeführten Sachen)

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Hallo,

sehr aufschlussreich das.

Ist das hier

NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

noch relevant für XP SP3?

Ist es richtig, dass, wenn man einen EInzelrechner mit Internet über
Netzwerkkabel hat, man bei dem Script Option 3 wählt oder geht dann das Internet nicht mehr?

Zitat:

noch relevant für XP SP3?

Nicht unbedingt. Früher - gerade wo Windows2000 nch oft eingesetzt wurde - hat man eher alle Dienste beendet, als die Windows-Firewall einzusetzen. Warum wohl, Windows2000 hat keine Windows-Firewall, die gibt es erst seit XP

Zitat:

Ist es richtig, dass, wenn man einen EInzelrechner mit Internet über
Netzwerkkabel hat, man bei dem Script Option 3 wählt oder geht dann das Internet nicht mehr?

Einzelrechner ist nicht gleich Einzelplatzrechner. Es gibt einen einzelnen Rechner, der hinter einem Router ist und einen Einzelplatzrechner, der direkt mit dem DSL-Modem eine Verbindung ins Internet aufbaut.

Das ntsvcfg-Script brauchst du nicht, aktivier einfach die Windows-Firewall.

Bis dato hatte ich immer gedacht,

dass alle WIndows-Viren zunächst einmal die Windows-Firewall umgehen.

Als Virenprogrammierer dann noch die ganzen Personal Suites
jeweils umgehbar zu machen, ist dann schon deutlicher Mehraufwand.

Deshalb dachte ich, ist die Wahrscheonlichkeit, dass ein xyz-Angriff in der Personal Firewall hängen bleibt, deutlich höher ist als das ein Angriff in der Windows-Firewall hängenbleibt.

Scheinbar ist dem aber nicht so.

Zitat:

dass alle WIndows-Viren zunächst einmal die Windows-Firewall umgehen.

Du hast eine völlig falsche Vorstellung vom Zustandekommen einer Infektion und der Funktionsweise einer Firewall - eigentlich meinst du nicht eine Firewall, sondern nur einen Teil von dem was damit eigentlich gemeint ist - der Paketfilter!
Sowas wie Windows-Firewall, Zone-Alarm oder die Firewallkomponenten von Suites sind "nur" Paketilter, die nach einem mehr oder weniger frei definierbarem Regelwerk Pakete durchlassen oder blockieren. Der Inhalt der Pakete wird nicht bewertet!
So ist es dann kein Wunder, dass du dir über den browser schädliche Dateien herunterladen kannst, ohne dass der Paketfilter da einschreiten würde - wenn überhaupt würde der Virenscanner aufschreien, sofern er den Schadcode darin zu erkennen vermag.