Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Windows Firewall nach Trojanerbefall deaktiviert (https://www.trojaner-board.de/16393-windows-firewall-trojanerbefall-deaktiviert.html)

crash 08.04.2005 09:40

Windows Firewall nach Trojanerbefall deaktiviert
 
Hallo @
Der Rechner eines Bekannten hat sich mit HAXDRV.SYS infiziert. Selten so ein "schlimmes Biest" gehabt - war nicht zu entfernen, nur durch manuelle Eingriffe in die Reg zu beheben. Aber egal...
Dieser Eindringlich soll lt. Infos Sicherheitssoftware angreifen und div. andere Schweinereien verursachen. Ich denke mir, der hat auch die XP Firewall platt gemacht.
Meine Frage nun...
Ich kann die XP Firewall nicht aktivieren! Nicht über Sicherheits-Center, nicht über Firewall. Das Fenster Windows Firewall - Allgemein ist inaktiv - man kann keine Funktion wählen.
Hatte auch im Web nichts gefunden, deshalb hier mein Post.
Ich freue mich auf ein Feedback und Danke im voraus!
Grüße...Crash

Sagamore 08.04.2005 11:25

Ich hab mal etwas gegoogelt und bei Sophos das gefunden:

Zitat:

Der Wurm deaktiviert außerdem die folgenden damit verbundenen Microsoft-Prozesse:

Microsoft Firewall
Microsoft Windows XP Update to Service Pack2
Microsoft Security Center updates
Microsoft AntiVirus
Microsoft Antivirus Notifications
Microsoft Automatic Update

W32/Sdbot-WQ erzeugt zu diesem Zweck folgende Registrierungseinträge:

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
dword:00000001

AntiVirusOverride
dword:00000001

FirewallDisableNotify
dword:00000001

FirewallOverride
dword:00000001

UpdatesDisableNotify
dword:00000001

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
AUOptions
dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
dword:00000001
Quelle: http://www.sophos.de/virusinfo/analyses/w32sdbotwq.html auf der Registerkarte "Erweitert"


Ich weiß nicht, was du alles schon manuell in der egistry entfernt hast, aber da fehlt scheinabr noch etwas...

Außerdem weiß ich nicht, ob du gelsen hast, wie sich der Wurm verbreitet, aber der Rechner des Bekannten ist offensichtlich nicht gepatcht und daher offen wie ein Scheunentor.

Informier dich mal generell hier und überleg dann wie du weiter vorgehst: http://www.trojaner-board.de/showthread.php?t=12154

crash 08.04.2005 16:29

Danke für Dein Posting!

Soo...
Habe mich noch mal d'ran gemacht und der REG-Wert

HKLM\software\Microsoft\Security Center
AntiVirusDisableNotify
dword:0

war verändert - war auf Low gesetzt!

Geändert auf 1 und siehe da - Firewall funktioniert wieder!

Zu dumm ist, dass ich mir nicht meine Eingriffe in die REG protokolliert habe - wäre sicherlich interessant für hier gewesen!

Nächstes Mal... :crazy:

Herzlichen Dank...Crash


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131