Windows XP SP2

Bei mir motzt Nero immer, es sei nicht kompatibel mit SP2. Sonst passiert nix. Hat jemand da einen Hinweis, was diese Meldung besagt ?
Zum neuen FireWall : Der blockt zunächst alles. Entgegen den Gerüchten auch ausgehende Dienste. Man muss sie explizit erlauben. Ausnahme : InternetExplorer. Der geht weiterhin ohne Kommentar 'raus.
Da ich mich bereits sei langem von diesem Programm verabschiedet habe, ist mir das sowas von egal ..... .
Im Moment ist mein Dienstrechner wieder offen für Angriffe. Genau wie die einiger meiner Kollegen. Wir wollen sehen, wie verlässlich die neue FW ist. Bisher hat's bei keinem einen Einbruch gegeben. Sogar die Bursts verschiedenster Requests, die eine FireWall ablehnen muss und damit die Systemleistung reduziert, sind in der Wirkung stark eingebrochen. Hatte ich bisher einen Verlust von 50-60% Systemleistung, jetzt nur noch etwa 10%.
'Nen Monat halte ich ihn noch offen, dann kommt entweder ein zusätzlicher FW hinzu, oder ich lösche die restlichen FW's von der Platte.

Ich bin allerdings nicht so blauäugig, zu denken, dass jetzt alles in Butter ist. Spätestens wenn die MS-FW Wirkung zeigt, beginnen die FireWallHersteller selbst, nach Löchern zu suchen, sonst gehen sie schnell pleite. Die Flut von personal FireWalls, die alle frei zu bekommen sind, sind erste Anzeichen, dass MS nicht ganz falsch gelegen hat.

MfG E.Z.

E.Z.

Zitat

Zum neuen FireWall : Der blockt zunächst alles. Entgegen den Gerüchten auch ausgehende Dienste. Man muss sie explizit erlauben. Ausnahme : InternetExplorer. Der geht weiterhin ohne Kommentar 'raus.
Da ich mich bereits sei langem von diesem Programm verabschiedet habe, ist mir das sowas von egal ..... .

Leider ist das nicht so trivial, wie es auf den ersten Blick aussieht. Ich war auch mal dieser Meinung, da ich den FireFox benutze.

Dann hatte ich mir testweise einen Demotrojanr installiert.
Und der hat dann prompt über den IE nach Hause telefoniert.

Besser also im IE falsche Einträge machen oder einen Proxy eintragen, der nicht existiert, wenn der IE ansonsten nicht benutzt wird (zum Windows Updae dann wieder temporär richtig einstellen).

Leider greifen viele Programme auf die IE-Einstellungen zurück, die auch mit zum Systemstandard gehören.

Hi,

@ Martin: >>Das Synchronisationstool (das scheint auch mit dem "Aktenkoffer" in enger Beziehung zu stehen) habe ich schon mehrfach entfernt, aber es kommt immer wieder :-(<<

stimmt, kann man zwar totschlagen, auch durch Löschen, kommt immer wieder. Und an den Dateien im Ordner "DLLCACHE" fummel ich lieber doch nicht rum.

Gruß vom
Tom

Ich hab' z.Zt. alle Ports ausser dem 80'er und dem Banking-Port deaktiviert. Und nach Trojanern schauen meine Virenscanner. Und dann habe ich natürlich noch Registry Medical, der mir alle Registry-Einträge von Trojanern und Würmern entfernt. Macht sich in einem sehr schlanken Task-Manager bemerkbar.
Wenn andere Ports benötigt werden, fragt der FW ja, ob sie permanent, nie oder nur für diese Session geöffnet werden sollen.
Da ich kein Fiesharing mache und Spam-Filter einsetze sowie für die Mail alles ausser Text deaktiviert habe, sollte das auch reichen.
Ich habe auch gehört, dass jetzt alle Tasks erstmal in 'nem Sandkasten laufen und keine Systemzugriffe mehr starten können. Um Näheres zu diesem Thema hab' ich mich allerdings noch nicht gekümmert. Hab zuviel mit dem blöden Linux am Hut.

MfG E.Z.

Hi,

was ist nun wieder los??

Nachdem Martin wieder mal an einen Demotrojaner erinnert hat, habe ich meine Kerio-Firewall ebenfalls einem Test unterzogen.
Als Tool benutzte ich PC-Audit

http://www.pcinternetpatrol.com/downloads/audit.php

Obwohl ich die Outgoing-Alerts alle geblockt habe, meldet das Programm dennoch eine Erfolgreiche Übermittlung von Daten meines PC's.

Wie soll ich das nun verstehen??

Ich hatte übrigens extra zu diesem Zweck Kerio in einen jungfräulichen Zustand versetzt.

Gruß vom
Tom

Das ist ein Trojaner !

Meeensch !

Guck' jetzt mal alle deine Einstellungen nach !

Ecki

So, meine Überprüfung ist zuende.

22 HKLM-Einträge, alles tracer. Und das, obwohl ich vorher mit AdAware nachgesehen habe. Noch viel schlimmer : Ad aware musste ich dazu neu installieren. Nach dem Test war es gelöscht worden.
Ich bin aber auch zu dämlich : Lade ich mir ein Programm 'runter, und starte es ohne zu wissen, was es macht.
Was macht es ? Es sieht auf der Platte nach Dateien und sendet den Inhalt an ein URL im Netz. Mehr passiert nicht, ausser, dass es dir auch noch sagt, was es gerade getan hat.
Toll, jetzt hat also ein anderer meinen Platteninhalt. Aber nur die Verzeichnisse. Ich hoffe, dass keine Adressen drin sind, weil FireFox nicht gescannt wurde.

Jedenfalls habe ich schon mal meine Banking-Accounts geändert.
Sollte übrigens jeder von euch machen, es könnte sein, dass die Accounts ausgelesen worden sind.

E.Z.

Hi,

irgendwie verstehe ich etwas nicht:
natürlich ist PC-Audit ein Trojaner, aber eine Demo-Version, um die Wirksamkeit der Feuerwand zu testen.

Und womit hast Du überprüft?

Gruß vom
Tom

Hi,

als ich schrieb, dass ich Kerio in einen jungfräulichen Zustand versetzt hatte, war das so nicht ganz korrekt.
Ich hatte den residenten Virenwächter freigegeben.
Und das genau ist die offene Türe!!

Gruß vom
Tom

Gut, dann muss ich weiter ausholen :

Was das Programm macht :

Es liest die Dateiinformationen deines Computers aus, verschlüsselt sie und sendet sie dann an den PC_Audit-Server.
Dazu nutzt es den Internet Explorer, der- wie wir inzwischen alle wissen - nicht vom MS-Firewall geblockt wird. Es handelt sich dabei um einen "normalen" Datentransfer in der Art, wie z.B. auch die Antwortseite der Videofreunde funktioniert, in der ich gerade schreibe.
Ich habe nachgesehen : Es wurde dabei die komplette Mail-Liste meines Opera-Verzeichnisses gesendet. Gottseidank hatte ich die vorher zurückgesetzt, sodass sie leer ist ( bis auf die Support-Seiten von Opera ). Weiterhin wurden alle Kontakte des IE gesendet. Was allerdings viel schlimmer ist : Auch die HBCI-Daten des T-Online-Decoders sind unter den gesendeten Daten. Ich kann nur hoffen, dass die Empfänger der Daten nichts damit anzufangen wissen, sie sind ja verschlüsselt abgelegt.
Sicherheitshalber habe ich die Zugangsdaten geändert.

Auf amerikanischen Webseiten wird übrigens schon vor diesem Programm gewarnt.

Was dieses Programm für uns an nützlichen Informationen bereithält :
Das wir zu dämlich sind, uns auszumalen, das wir für den Test, ob wir von aussen angreifbar sind unter keinen Umständen ein Programm auf unserem PC starten sollten. Das muss ( um die Wirksamkeit zu testen ) von ausserhalb geschehen.

Hir nochmal seriöse Links :

About You
Shields Up

Nochmal : Ein Trojaner verändert die Sicherheitseinstellungen des PC's so, dass alles möglich ist. Der einzig mögliche Schutz ist, mit beschränkten Rechten zu arbeiten, was zu erheblichen Problemen mit Brenn- und Videobearbeitungsprogrammen führt.

Fazit : Ein gutes Trojaner-Erkennungsprogramm sollte im Hintergrund laufen und den Trojaner erkennen können, nicht das, was er möglicherweise tut. Es kann doch nicht so schwer sein zu erkennen, dass ein eingeschleustes Programm zunächst versucht, sich die nötigen Rechte zu verschaffen und dann erst Kontakt mit der Aussenwelt aufnimmt.

Verärgerte Grüsse

E.Z.

Lass' mal stecken, Edi .

Ich schau' gerade nach, ob das Programm wirklich die Daten komplett übertragen hat, oder ob es nur die Verzeichnisse waren.
Es könnte auch ein sog. Hoax-Server sein, der die Leute nur erschrecken will, damit sie ihr Programm kaufen.
Wenn Du allerdings in der Liste ein Banking-Verzeichnis findest, solltest Du zumindest dein Passwort ändern.

MfG Ecki

P.S.: Zumindest die Mail-Listen sind übertragen worden. Ich habe bis jetzt ( seit dem Test ) 8 Spam's bekommen, die mein Spam-Blocker noch nicht kennt. Die Zahl steigt. Da ich nichts anderes gemacht habe, kann nur dieses Progrämmchen daran schuld sein. Es hat ein älteres Opera-Verzeichnis ausgelesen, das sich als Backup auf einer anderen Platte befand ( also nicht das aktuelle, das ich ja zurückgesetzt habe ). Da werden wohl einige, längst vergessene Freunde nun Mail von mir bekommen, die ich garnicht gesendet habe.

Teilweise Entwarnung :

Ich habe die Return-Mail natürlich auch als foreward an eine andere Mailadresse und auf einen anderen Rechner bekommen. Fazit: Dort lässt sich fast nichts öffnen oder anzeigen. Etwas tiefer in den Eingeweiden steckt dann der Hinweis auf eine Datei "index.html" im Downloadverzeichnis.
Es handelt sich vermutlich also um einen Hoax. Die vom Server 'runtergeladene Datei hat einfach nur einen Dir-Befehl mit Dateifilter und Umleitung in eine Datei ausgeführt. Die Antwortmail refereziert dann auf diese Datei und stellt sie dar. In Wirklichkeit hat also vermutlich nichts euren PC verlassen mit Ausnahme eurer Mailadresse und einem rudimentären Dateiverzeichnis.
Das erklärt zum Einen meine Spam's, zum Anderen, warum ich nur auf meinem Heim_PC eine Anzeige der Return-Mail bekomme.

MfG E.Z.

@ TOM : Ich habe vor dem Aufruf den PC per AdAware überprüft. Nach dem Aufruf war AdAware sowohl aus dem Systemtray entfernt, als auch aus seinem Verzeichnis gelöscht worden. Eine Neuinstallation zusammen mit einem erneuten Scan führte dann zu den 22 Neueinträgen im HKLM-Bereich. Ich habe sie sofort löschen lassen, kann mich aber noch dunkel erinnern, dass es Links auf Verzeichnisse waren.

Nochwas :

Schaut mal hier :

http://www.pcinternetpatrol.co…x.php?showtopic=107&st=15

Dann werdet ihr sehen, dass nahezu jeder Probleme mit dem Proggi hat. Insbesondere vergräbt es sich so tief in XP, dass bei jedem Neustart die Dateiwiederherstellung aktiv wird.

Ich habe inzwischen 'rausbekommen, dass die Verzeichnislisten tatsächlich an PCIP gesendet worden sind. Der Referrer hat allerdings eine Verknüpfung zum Maschinen-ID, der ja bei jeder Maschine anders ist. Daher kann ich hier nichts sehen, was meinen PC betrifft. Das Ganze ist Ultrassuspekt.
Eines ist jedenfalls klar : Der "Scheintrojaner ist keiner" er soll euch nur Angst machen und benutzt ganz normale Funktionen des IE, um sein Werk zu vollenden. Mit ein wenig Geschick kann das jeder. Bei mir hat es überhaupt nur geklappt, weil ich den IE links liegen gelassen habe und daher auch die Sicherheitseinstellungen nicht weiter beachtet habe. Das war ein Fehler ! Ich nehme den Rat ( weiter vorne ) daher gerne an, die Proxy-Einstellungen des IE auf den LocalHost zu setzen. Dann kann er nicht mehr 'raus.

Ecki

Hi,

ich habe mir eine Mail mit dem Ergebnis schicken lassen.
Darin sind nur die Dateinamen aus dem Ordner "My Documents" enthalten.

AdAware habe ich auch auf dem PC, wurde aber von PC-Audit weder angetastet noch gelöscht. Auch ein aktueller Scan mit AdAware hat keine neuen Einträge gezeigt.

Komisches Programm.

Es wäre aber trotzdem interessant zu wissen, wie ich nun Kerio 2.1.5 konfigurieren muss, damit PC-Audit keine Daten senden kann und ich trotzdem mit w2k ins Intra- und Internet komme.
Videomartin hatte mal einen Link auf eine Seite gepostet, auf der empfohlene Einstellungen beschrieben sind. Wenn ich die aber vornehme, komme ich überhaupt nicht mehr ins I-Net oder kann Antivir XP nicht laufen lassen

Irgendwie komme ich mit Kerio 2.1.5 nicht klar.

Kann mir da jemand einen Link nennen, damit ich mich sachkundig machen kann?

Gruß vom
Tom

Hi, TOM !

Du kannst PCAudit nicht daran hindern, in's Netz zu gehen. Es sei denn, Du verbietest dem IE, dass er 'rausgeht. Zumindest das Testprogramm zu PCAudit verwendet eine ganz normale Website, um die Daten zu übertragen. Einzige Möglichkeit ist, einen Firewall so zu konfigurieren, dass PCAudit garnichts mehr darf, was mit dem Netz zusammenhängt.
Aber Du kannst das Programm auch ganz weglassen, weil es nichts tut, das ein anderes Programm nicht auch täte.
Ausserdem : Woher willst DU wissen, dass wirklich nur die Dateinamen verschickt wurden ? Hast Du den Traffic gecaptured ? Und wie kommt es, dass das Programm sich mein HBCI-Verzeichnis auf der Backup-Platte (G:) aussucht, obwohl ich T-Online schon lange deinstalliert und alle Reste aus der Registry entfernt habe ? Es ist also ein kompletter Plattenscan gemacht worden. Der Datentransfer muss jedenfalls sehr hoch gewesen sein, da auch ein Screenshot mitgeliefert wurde.
Weisst Du wie mir das Programm vorkommt ?
Wie die Schutzgeld-Erpressungen bei der Mafia !
Man zeigt dir erst mal, was man dir antun kann, und bietet dir dann Schutz dagegen an.
Nein und nochmals nein. Ohne mich.

E.Z.

Hi,

>>Hast Du den Traffic gecaptured ?<<

womit kann man das machen?

Was ist denn, wenn ich Kerio explizit mitteile, den IE zu blockieren (Any port, any adress) ?

Auf meiner Win98 Partition konnte ich Kerio so konfigurieren, dass PC-Audit zuverlässig geblockt wurde!!
Wenn ich aber diese Einstellungen auf w2k übertrage, komme ich nicht mehr ins Intra-Net, bzw. läufen einige Dienste von w2k nicht.

Gruß vom tüftelnden
Tom

Den Traffic captured man mit :

RedHand (pro) Tracer. Zu finden auf allen Shareware-Servern
oder einfach mit
NGS-Sniff

Wenn Du den IE blockierst, dann blockierst DU auch seine dll's. Will meinen, Du kannst z.B. keine SSL-Verbindungen mehr aufmachen oder Ohnline-Banking treiben. Auch drucken über's Netz wird nicht mehr gehen.

Ich würde die Finger von dem Programm lassen. Wie schon erwähnt, ist das Vorgehen der Firma mehr als suspekt.

E.Z.

Hi Ecki,

NGS-Sniff schließt sich immer, wenn ich auf "Capture -- Start" klicke.

Irgend ein Trick??

Gruß vom
Tom