Bei Zonealarm ändern sich die Sicherheitseinstellungen der Öffentlichen Zone von alleine
 

Hallo,
Nach der Neuinstallation von Windows XP und der Installation der Zonealarm Extrem Security ändern sich die Einstellungen der Sicherheitszonen nach einem Neustart automatisch. Der Scan mit OTL zeigt u.a. an:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1

Ist ansonsten noch irgendetwas Auffälliges zu sehen?
Danke.

Hi again

Warum bitte musst du ZoneAlarm nehmen? :wtf:
So eine Software ist idR kontraproduktiv, belass es einfach bei der Windows-Firewall :)

Ja, aber der komische Eintrag ist normal? Ich kann bei Windows XP auch auf die normale Firewall vertrauen? Ok.. ;)... Danke^^

Ja einfach Windows-Firewall verwenden.
Wenn du ständig hinter einem Router bist wäre die noch nichtmal notwendig.

Dort wird aber nur ISDN genutzt, das mit dem Router ist mir klar. Ok, man hat ja schon gehört, dass Firewalls nicht unbedingt notwenig in, sie verkaufen sich gut als Pseudoschutz. Ich nutze den Computer zudem auch nicht (mehr), dort macht mein Dad nur Onlinebanking :). Wobei ich sagen muss, als Laie lassen sich Programme wie Zonealarm besser bedienen, so kam es mir zumindest vor... Ich muss noch sagen, das Ändern der Rechte der Sicherheitszone fand bei meinem alten Computer nicht statt, es muss einen Grund geben, aber ich muss dem wirklich nicht nachgehen, dieser Computer wird von mir nicht genutzt.
Aber ja, ich werde mir das zu Herzen nehmen und zukünftig der Windowsfirewall vertrauen und "nur" guten Viren- /Spywareschutz nutzen.. Wenn man einen Eindringling schnell erkennt, kann man ja handeln, sofern man von entsprechenden Tools weiß bzw weiß, wo man kompetente Hilfe bekommen kann, wie z.B. hier.

Ob ISDN oder was anderes, WIndows-Firewall reicht, eine andere PFW benötigt man nicht

Naja :rolleyes: gerade als Laie ist sowas wie eine PFW nicht wirklich einfach zu bedienen
Zwar schon twas älter, trifft aber das was ich meine => Personal Firewalls: Sinnvoll oder sinnfrei ?

@Lydia33

Sind die ganzen AV Tools auf deinem Rechner aktiv??? Falls ja, würde ich mich für eins entscheien, und den Rest runterschmeissen. Falls dein Problem dann immer noch besteht, kannst du versuchen bei Zone Alarm den Passwortschutz zu aktivieren.

Hast du eines der AV Tools mit einen Crack aktiviert?

OK, du hast bestimmt in der Richtung irgendwas studiert, ich nicht, du bist Fachmann, ich nicht. Ich will dir dein Wissen auch nicht absprechen, aber ich habe in der Praxis andere Erfahrungen gemacht.


Ich habe eben auf einem Rechner 3 verschiedene Tests mit Windows 7 und aktivierter Firewall gemacht.

1. Einen harmlosen Leaktest über Port 80 -> fail
2. Einen ungecrypteten RAT, ca. 3 Jahre alt, public -> fail
3. Einen ungecrypteten Stealer, ca. 6 Monate, public -> fail

Ich habe alle Verbindungen mit Netstat geprüft, alle 3 Tools funktionieren einwandfrei. In keinem der 3 Fälle hatte die Windows 7 Firewall etwas dagegen, sie blieb still. Ein vierter Test mit einem harmlosen selbsgecodeten Tool ergab das selbe. Die Firewall kann aber nicht wissen, dass das Tool harmlos ist, es ist ein Accountchecker, und sendet Accounts zur Überprüfung ins Internet an einen Server, ähnlich wie es ein Stealer macht. Mit der Gratis Firewall von Comodo ist es nicht einmal möglich, eines der 3 Tools zu starten. Es wird sofort geblockt. Auch andere Firewalls wie die von Emsisoft, Agnitum Outpost, Zone Alarm oder im Falle dass es sich um gecryptete Server handelt die Kaspersky, Bitdefender oder GData nicht als virus erkennen, verhindert wenigstens deren Firewall das "Nach Hause Telefonieren".

Die Windows Firewall bietet bei diesen rausgehenden Verbindungen also keinerlei Schutz. Wenn der Trojaner jetzt noch gecryptet wurde, so dass kein AV ihn kennt, hat man schlechte Karten.


Das kleine Tool aus Test 1 kannst du dir hier runterladen:

hxxp://www.grc.com/lt/leaktest.htm

Auf Wunsch, falls du mir nicht glaubst, kann ich dir auch noch eine Server.exe schicken, die allerdings Malware ist. Ich kann sie aber so einstellen, dass dein Virtuelles System keinen Schaden nimmt. Du kannst das aber auch selber machen, indem du dir ein RAT besorgst, und den Server selber erstellst. Das ist aber nicht ungefählich, da sowas oft backdoored ist, also Vorsicht. Mach das IMMER NUR in der VM oder Sandbox oder beides.


Du siehst, meine Philosophie ist ganz anders als deine. Ich benötige im Grunde gar kein AV Tool, nur eine bissige Firewall. Denn ich habe gelernt, dass es kein AV Tool gibt, das einen relativ frischen Schädling erkennt. Somit ist ein AV Tool für mich quasi sinnlos. Ich verwende sie nur zum Aufräumen, um die VM für meinen nächten Test sauber zu haben.


Danke fürs Lesen. :abklatsch:

Sry das ist Blödsinn, die Windows-Firewall (wenn richtig eingestellt und das ) schottet zuverlässig die Dienste ab. Eine andere PFW kann in diesem Punkt nichts besser.

Hast du eine Idee was ein Paketfilter bzw. eine Firewall für eine Aufgabe hat?
Sie soll nicht RAT und Stealer erkennen sondern je nach Regelwerk bestimmte Kommunikation erlauben bzw. unterbinden!
Da fragt man sich doch auch warum denn dein Virenscanner diese alte Malware nicht erkannt hat!

Dieser Unsinn mit den ausgehenden Verbindungen mal wieder.
Wie bitte kann ein Paketfilter bzw. eine Firewall denn zuverlässig ausgehenden Verkehr überwachen v.a. wenn das System schon kompromittiert ist? Garnicht.

Soso, du delegierst also die Schädlingserkennung an eine Firewall. Welche Aufgabe hat gleich nochmal eine Firewall? :rolleyes:

Es reicht also nicht aus sie einzuschalten, man muß sie "richtig" einstellen, damit sie Schutz bietet? Dann klär mich bitte auf, wie man die Windows 7 Firewall richtig einstellt.

Die Firewall sollte erkennen, dass ein Programm eine Internetverbindung aufbauen möchte, und mich fragen, ob ich das zulassen möchte.
Auf der VM läuft kein AV Tool aktiv mit. Wie sonst sollte ich denn dort solche Tests machen?

Die Comodo Firewall hat bei den 3 Tests die Prozesse sofort gestopp. Es gab keine Auswirkungen auf das System.


Edit:
Warum reagiert die Windows 7 Firewall bei dem Leaktest nicht? Wäre das nicht genau ihre Aufgabe?

Ich meinte damit eher "verstellt", sry, war etwas unglücklich ausgedrückt von mir :kaffee:
In den Standardsettings schirmt die WinFirewall alle Dienst nach außen hin ab.

Also nach meinem vllt altmodischen Verständnis ist das nicht die Aufgabe einer Firewall, Prozesse zu stoppen bzw. Programme am Starten zu hindern. :kaffee:

Prozesse nach dem Starten gestoppt oder schon den Start verhindert? :confused:
Das ist ein ziemlicher Unterschied. Wenn das eine richtige fiese Zecke gewesen wär, wär vllt schon einiges im System umgebaut und Comodo gar deaktiviert/abgeschossen worden. Naja, kommt auch ein wenig auf die Rechte an, mit den die Malware ausgeführt wurde, aber das ist dir wohl klar :)

Beschreib mal genauer was für einen Leaktest du da meinst, wie du ihn genau gemacht hast das hier:

Ist mir etwas zu wenig und so noch nicht nachvollziehbar.
Wieso denn Port 80, wer hat denn standardmäßig einen Webserver unter Windows laufen? :confused:
Und eigentlich sollte die Windows-Firewall Port 80 eingehend standardmäßig filtern.

Ich kann dir versichern, dass ich keine Veränderungen an der Windows Firewall vorgenommen habe. Lediglich wurde sie aktiviert bzw deaktiviert.


Der Start wurde verhindert. Ich sagte ja, es gab keine Auswirkungen auf das System.

Ich habe oben den Link zum Leaktest hinterlegt.

hxxp://www.grc.com/lt/leaktest.htm

Dort findest du eine Beschreibung zum Test. Für mich sieht es so aus, dass wenn man als Admin angemeldet ist, die Windows Firewall durch den Test penetriert wird. Probier es bitte mal aus, mit Win 7 oder Vista.

Danke für den Link. Aber iwie ist da nur die Rede von der Windows-Firewall von WinXP? :wtf:

Ja, das ist richtig. Das ändert aber nichts daran, dass er auch die Win 7 Firewall passiert.

Ich teste es nachher mal in einer VM oder so.

Prima, da bin ich schon mal auf deine Antwort gespannt, denn entweder mußt du ja zugeben, dass deine Behauptung, die Win 7 Firewall würde reichen, nicht richtig ist, oder eine Begründung finden, warum der Test keine Relevanz hat.

Falls Interesse besteht sind hier noch weitere Firewall Tests:

Firehole 1.01
hxxp://keir.net/firehole.html

PCFlank Leaktest
hxxp://www.pcflank.com/

Atelier Web Firewalltester 5
hxxp://www.atelierweb.com/products/firewall-tester/


Ich befürchte, die Windows Firewall wird keinen bestehen. :pfeiff: