| "Autor" |
Frage wegen Zonealarm Pro 3 |
|
|
|
geschrieben am: 26.01.2003 um 11:26 Uhr
|
|
Benutzt jemand Zonealarm Pro 3 und kann mir Fragen beantworten?
1. Zonealarm zeigt doch die im Internet aktiven Programme.
Was bedeutet dann, wenn so ein Programm in Zonealarm mit einer Hand drunter (wie bei freigegebenen Ordnern in Windows) angezeigt wird?
Was bedeutet es, wenn das mehrere zeigen?
2. Mein Rechner ist seit gestern sehr seltsam.
Ich hatte gestern plötzlich keine Berechtigung als Administrator(!) meinen Rechner runterzufahren. Ich musste den Stecker ziehen.
Mein aktiver Virenscanner zeigt nix an.
Mein trojancheck funktioniert nicht mehr, weil ihm jemand eine .dll geklaut hat.
3. Frage
"Muss" ich format C machen? Was empfiehlt Ihr?
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.01.2003 um 13:00 Uhr
|
|
[i]zu 1. keine ahnung.
Also ich hab Norton Antivirus 2003, sobald ich auch nur andeutungen mache ne datei mit virus runterzuladen schlägt er an und meldet dies. Wenn dir beim trojanercheck die dll geklaut wurde, würd ich sagen haste n virus drauf. Sicher bin ich mir aber auch NICHT.
3.format c.mhhh...speicher am besten noch paar wichtige Dateien bevor des ganze System abschmiert. Falls du C und D hast. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.01.2003 um 13:05 Uhr
|
|
Tja, den Norton hab ich ja auch laufen ......
Aber ich will nicht alle paar Monate alles wieder neu aufspielen, nur weil ich einen Verdacht habe.
Eigentlich sind meine Daten am Rechner nur für mich interessant, is eh das meiste nur Schrott. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.01.2003 um 15:38 Uhr
|
|
Bei ZoneAlarm sind die Programme mit einer Hand drunter (genau die Hand, wie im Explorer unter freigegebenen Ordnern) "Server-Programme". Also Programme, die keine Verbindung zu einem Rechner herstellen, sondern Programme die nur einen Port aufmachen und auf Verbindung warten.
Unter 2000/XP zählt dazu z.B. der Windows-interne "Generic Host Process for Win32 Services".
Gerade Trojaner sind meist Programme, die nur einen Port aufmachen und auf eine Verbindung warten.
Bei ZoneAlarm (vielleicht ist es jetzt ja mittlerweile besser...) ist es schade, dass man nicht alle Internet-Programme sehen kann, sondern nur die, die in dieses Fenster da passen.
Aber trotzdem solltest du eigentlich [b]jedes[/b] Programm, das Netzverkehr hat kennen.
Kannst ja mal die Programme nennen, die du nicht kennst, hier kennt die bestimmt irgendjemand.
Geändert am 27.01.2003 um 18:47 Uhr von MondesNacht |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 28.01.2003 um 22:56 Uhr
|
|
| schieben, weil ich die letzte antwort nur geändert hab |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 01:01 Uhr
|
|
| ZoneAlarm is wat fürn arsch gegen richtige hobby hacker bringt die auch nix mit einem maus klieck ist die sofort geknackt wnen man das richtige programm dazu hat. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 06:10 Uhr
|
|
Es irritiert mich, wenn sich Programme neu anders verhalten.
z.B. Norton AntiVirus Agent.
Der ist als Sender und Empfänger angezeigt.
Auch das SpoolerSubSystem, weil ich gestern gedruckt hatte.
Am meisten irritiert mich, wenn Programme aktiv bleiben, obwohl ich die Netzwerkkarte deaktiviert hatte (für die ganze Nacht!).
Na ja, ist eh nix interessantes am Rechner.
ZoneAlarm ist nicht sicher?
Ds ist nun die 3. Firewall, wo ich das Geld dafür (!!) rausgeschmissen hätte.
Traurig. Ihc hab gedacht, wenn mein Geld in Ordnung ist, ist die Ware, die ich dafür kaufe, auch okay. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 06:14 Uhr
|
|
[i]Nur rein Interessenhalber...
Um was geht es hier denn nun?
Um eine Firewall oder ein Anti Virus Programm?
Gruß, Schnee-mann |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 10:35 Uhr
|
|
Nichts ist 100 Prozent sicher, Zabia. Aber lass dir nichts von einem Mystery erzählen, der nur den Standardspruch ( "mit dem richtigen Programm ist das sofort geknackt" oder ähnlich) bringt.
Die Bezahlt-Version von Zone-Alarm gehört jedenfalls eindeutig zu den besten Firwalls am Markt. Die erkennt sogar, wenn sich ein Trojaner direkt erst im Speicher an den IE hängt und dort Daten über den IE sendet und empfängt. Der IE ist ja meist freigegeben ... und andere Firewalls erkenn nur, wenn sich der Trojaner direkt an die ausführbare Datei hängt und die Datei auf der Festplatte geändert wird (Checksummen-Check). Wenn das erst im Speicher geschieht, sind 90 Prozent aller Firewalls nicht in der Lage, das zu erkennen. Zone Alarm schafft das.
Das Problem bei fast allen Firewalls ist allerdings, das oft rechte für Programm zu pauschal vergeben werden, ist ja der Standardklick "Erlaubne oder Verbieten". Es macht aber durchaus Sinn, das nachträglich zu ändern ... also zum Beispiel dem IE nur die Ports zu genehmingen, die man üblichwerweise braucht (also 80 und der Port für HTTPS, den ich aber gerade nicht im Kopf habe ...) und dem FTP-Programm nur Port 21, dem Mail-Programm nur die Ports für SMTP und POP3 oder IMAP (die ich natürlich auch nicht im Kopf habe ... ist aber schnell zu finden).
Den Programmen alles zu erlauben, ist jedenfalls etwas riskanter als nur die benötigten Ports reizugeben, da viel Programme sich an andere anhängen.
Aber dennoch, Zabia: Keine Paranoia! Gegen Script-Kiddys ist Zone Alarm mehr als ausreichend, und die Profis von den Geheimdiensten interessiert dein Rechner nun wirklich nicht ...
:c)
W.
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 15:57 Uhr
|
|
Wuslono:
Man darf nie alles ausschliessen.
Es ist schon gemein, wenn mein privater Rechner nicht privat ist. Noch gemeiner fand ich, daß ich es merken musste.
Ich hab doch keine Kohle für einen Profi.
Geändert am 29.01.2003 um 16:58 Uhr von zabia
Geändert am 30.01.2003 um 19:57 Uhr von zabia
Geändert am 30.01.2003 um 19:58 Uhr von zabia |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 17:55 Uhr
|
|
(zitat)
3. Frage
"Muss" ich format C machen? Was empfiehlt Ihr?
(/zitat)
wie meinste das?? einfach formatieren im dos modus (format c:) und es geht los |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 29.01.2003 um 18:00 Uhr
|
|
Tja, nich tmal das gelingt mir, nuklearstrom.
Ich weiss nicht mal, ob ich MS-DOS hab.
Mit "einfachsten" Sachen kenn ich mich weniger aus.
Ich merk mir nur das Komplizierte. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 30.01.2003 um 11:03 Uhr
|
|
Ich glaube, zu verstehen.
Das erfordert aber ein komplettes Konzept und nicht nur eine Firewall. Denn "Profis" können deinen gesamten Traffic anderswo mitloggen (zum Beispiel in der Vermittlungsstelle, wo du angeschlossen bist).
Verschlüsselung, wo immer es nötig erscheint, zumindest Mails, die an bestimmte Leute gehen oder von ihnen kommen. Das erfordert aber sehr viel Disziplin und Genauigkeit auf allen Seiten, Verschlüsselung ist mathematisch gesehen praktisch sicher, wenn es die richtige Methode ist, sowas scheitert in den meisten Fällen an den kleinen menschlichen Bequemlichkeiten ...
Nett wäre es, sich in einem Internetcafe einen anonymen Mailaccount zuzulegen (NICHT bereits zuhause anlegen, strikt getrennt halten) und der Empfänger macht das auch. Wenn man dann diese Mailadressen gelegentlich ändert und auch mal das Internetcafe wechselt, dürfte das schon ausreichen. Man braucht dann nur noch einen sicheren Weg, sich die Mailadressen zukommen zu lassen.
W. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 30.01.2003 um 20:27 Uhr
|
|
Danke, wuslona.
Auf die Vermittlungsstelle bin ich noch gar nicht gekommen.
Dort wären es aber zu 99,99% höchstens beamtete Landsleute.
Damit könnte ich leben (mein Verwandter hat wahrscheinlich eh noch P-Schutz). Ich will nur Ruhe haben vor anderen - Profis, Kiddies,...
Momentan maile ich meiner Schwester gar nicht, weil ich eh die Addie verloren hab. (Ich hab von dieser Schwester nicht mal die Realadresse aufgeschrieben.)
Nur mein eigener Rechner soll geschützt sein.
Und wenn ich nichts selber ändere, soll alles gleich bleiben. Ich raste aus, wenn mir wer per Net zugreift, oder meinem User (z.B. administrator) Rechte entzieht.
Ich hab mir vor Monaten den Kopf zerbrochen, warum mein Rechner so interessant ist für Profi-hacker. Ich hab gedacht, wegen Mod- und Op-Rechten. Das andere verdränge ich gerne. Aber das wäre ein Grund. (Nachdem mir damals wer mehrere Mailordner geklaut hat, spricht das eher dafür, daß mindesten ein Kiddie dabeigewesen sein muss. Ein Profi hätte kopiert.)
Ich hab das letzte Monat ein Programm benutzt: DU-Meter. Das hat mich sehr beruhigt, weil ich da den Traffic sehen und verfolgen konnte.
Ich war registriert. Nun kann ich mich zwar registrieren, und das Programm nimmt das auch an, aber nach 2-5 Minuten kommt immer eine Meldung: "Seriennummer ist ungültig", und das Programm macht zu. Der Compiprofi, den ich gefunden hab, sagt, es müsse eigentlich funktionieren. Tut es aber nicht.
Ich hab das auch probiert mit den Ports zulassen. Hat nicht funktioniert. Aber ich versuchs nochmal.
Mich irritiert ja auch, wenn ich einem Programm (services.exe) den Zugriff verbiete, kommt es vor, daß es doch als aktiv angezeigt ist. Dass ich den Norton reinlassen muss, damit ich meine Mails abrufen kann, ist hoffentlich in Ordnung.
Ich benutze auch noch Trojancheck. Bei den aktiven Prozessen sind vier, über die ich keine Infos kriege. Da fängt eine z.B. so an: ??C:WINNTSYSTEM32Winlogon.exe Kann ja sein, das hat mit dem LAN zu tun.
Was sagst Du dazu?
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 30.01.2003 um 22:36 Uhr
|
|
Winlogon ist bei mir auch aktiv. Greift aber nicht aufs Netzwerk/Internet zu.
Ich weiß nicht wirklich was es ist, glaube aber der Bildschrim, bei dem man sich beim Starten anmeldet.
Das würde auch Sinn machen, denn im Taskmanager erscheint er bei mir in der PID an 4. Stelle. (Den Leerlaufprozess mal rausgenommen.)
Also ist es der Prozess, der als 4. gestartet wurde.
Wenn es nur der Prozess ist, den du nicht kennst, sollte da eigentlich nicht viel dran sein.
Wenn er auch aufs INet zugreifen will, wäre ich vielleicht mißtrauisch. Kann aber auch sein, dass das Häkchen "Über DFÜ-Netzwerk" bei deiner Anmeldung aktiviert ist, oder er dadurch mit irgendwelchen Umwegen Zugang sucht.
Natürlich kann die Datei aber auch manipuliert sein. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 30.01.2003 um 23:42 Uhr
|
|
"Winlogon" gehört zu Windows. Das Programm verifiziert meines Wissens Benutzer UND (zumindest bei XP) prüft auch dieses Programm, ob Windows ordnungsgemäss registriert und aktiviert ist. Nicht umsonst kusieren im Internet einige Versionen dieser Datei, mit denen man die Registrierung und Aktivierung von XP vermeiden kann. Ich weiss es nicht genau ... aber zumindest bei XP ist es sehr wahrscheinlich, dass diese Programm auch auf das Internet zugreifen will, um zu checken, ob die Version registriert ist.
"Services.exe" verwaltet und steuert alle Dienstleistungsprogramm von Windows. Die ist für alles möglich zuständig ... also auch teils für Netzwerkdienste.
Sie ist zuständig für den Start, Stop und die Interaktion mit Diensten, die vom Betriebssystem zur Verfügung gestellt bzw. benötigt werden. Entsprechend sollten zwecks reibungsloser Kommunikation entsprechende Freigaben je nach Notwendigkeit für diese Datei erteilt werden. Sie braucht also prinzipiell die Erlaubnis.
Dummerweise gibt es aber einen Trojaner mit demselben Namen ... das Original sollte in windowssystem32 sein (eventull auch noch in anderen Verzeichnissen UNTERHALB sytem32), der Trojaner meist in windows/
W.
W.
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 30.01.2003 um 23:49 Uhr
|
|
Nachtrag:
Op-Passwörter klaut man üblicherweise viel einfacher über ein ICQ. Man sollte sich darüber im klaren sein, dass ICQ "relativ" unsicher ist ... dennoch geben die meisten ICQ in der Firewall komplett frei. Aber ich weiß auch nicht, welche Ports ICQ für was benutzt ... ICQ Lite sollte etwas weniger anfällig sein, weil es einfach weniger Möglichkeiten hat.
Für ICQ gibt es eine Menge an Tools, die man recht einfach verwenden kann.
W. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 31.01.2003 um 06:50 Uhr
|
|
ICQ ist nicht installiert.
Ich hab WIn2000 Pro.
Zonealarm stellt in den Optionen ein Kontextmenü zur Verfügung, in dem man die gängigen Ports, und nur die, erlauben kann.
z.B. Mailserver, DNS, HTTP, WEB, FTP, DHCP ...
Das hab ich benutzt. Mailen kann ich so.
Sprich, der Rechner ist online.
Aber: Der Explorer funkt nur, wenn ich die Firewall deaktiviere.
Bei Winlogon irritiert mich: die Zeichenfolge ??C:, weil das für mcih aussieht, als käme die von ausserhalb. Die anderen Programme stehen mit C: ... in dieser Datei.
UNd es irritiert mich, daß Trojancheck zu so einer Datei keine Infos liefern kann. Bei den anderen gehts ja auch.
(Nachdem ich kein DFÜ benutze, ist auch kein Häkchen angeklickt.)
Danke einstweilen. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 31.01.2003 um 08:27 Uhr
|
|
Scheint soweit OK zu sein, allerdings sollten die Ports auch nur für die Programm freigegeben werden, die sie benötigen. Aber ich nehme an, dass sich das mit ZonAlarm recht gut einstellen lässt. Ich hatte früher nur eine ältere Version von ZonAlarm in Gebrauch und kann daher nur allgemein vermuten, wo der fehler beim Explorer liegt.
Normalerweise hat jede Firewall etwa 3 verschiedene Modi, das ist bei ZoneAlarm ähnlich:
Im ersten Modus ist alles erlaubt, was nicht ausdrücklich verboten ist. Im zweiten Modus (üblicherweise "Lernmodus") fragt die Firewall bei jedem Programm nach, was getan werden soll, dies wird dann normalerweise gespeichert. Im dritten Modus ist alles verboten, was nicht ausdrücklich erlaubt ist.
Empfohlene Standardvorgehensweise ist eigentlich der Lernmodus, in dem man dann für jeden Vorgang einmal entscheidet, ob das Programm darf oder nicht. Wenn man dann alle Programme durch hat, schaltet man die Firewall (die hat ja jetzt die Regeln gelernt) in den dritten Modus, wo dann alles, was nicht durch die Regeln festgelegt ist, verworfen wird. Wenn sich nur eine Winzigkeit ändert (Update, Patches usw., die den IE betreffen), wird dieser gesperrt, das es nicht GENAU das Programm ist, für das die Regel erstellt wurde.
Man kann natürlich auch von vornherein den Lernmodus weglassen und die Anwendungen einzeln konfigurieren, so wie es bei dir wohl geschehen ist. Du müsstest jetzt entweder den Explorer neu in der Firewall freigeben, mit kompletten Pfad und allem Drum und Dran, oder du schaltest die Firewall kurz in den Lernmodus und startest dann erst den Explorer. Dann sollte wieder nachgefragt werden. Die Regel für den Explorer gilt allerdings auch im Lernmodus, so dass du in diesem Fall die entsprechende existierende Regel zuerst löschen müsstest.
Dann sollte es gehen.
Sollte aber der Explorer selbst von irgendeiner hinterhältigen Software befallen sein, gibst du diese damit natürlich auch frei. Da muss dann der Viren- und Trojanerscanner immer aktuell sein, am besten mehrere nutzen ... wenigstens ab und zu.
Wenn du mal wirklich wissen willst, was ALLES von deinem Rechner gesendet und empfangen wird, lade dir mal Etheral in der Windowas-Version und Ethercap herunter. Das eine ist ein Programm, dass JEGLICHEN Verkehr mitloggen kann, das andere ist der notwendige Treiber dafür. Allerdings ergibt das eine riesige Datei ... inklusive Header, Protokoll-Daten und allem. Damit kann man wenig anfangen ... aber wenn man einen Verdacht hat, könnte man die Daten nach IPs durchsuchen und diese mal nachprüfen ... aber selbst das ist bei der riesigen Zahl an Werbeservern, die niemand aus dem Kopf zuordnen kann, ein fast hoffnungslosen Unterfangen, zumindest für einen Laien.
W.
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 31.01.2003 um 22:37 Uhr
|
|
Also lsch ich mal den Explorer aus Zonealarm und mach Lernmodus und lies dann nach, was der dritte bedeutet.
Ich find das recht praktisch, daß Chatfun das Forum nie löscht. Da kann man immer wieder nachgucken.
Auch das Kleztool von Zivi war mir schon mehrmals nützlich.
Ich lass eh mehrere Virenscanner ab und an laufen.
Vor einem halben Jahr war das ja so verblüffend für mich, daß ich zwar online gehen konnte, aber nicht auf die Seite von Zonealarm(!), Symantec (!), trendmicro ... (Lauter virenscans oder firewalls) Die letzte hab ich vergessen, da wollt ich per Kreditkarte bezahlen, damit ich einen Zugangscode krieg.
Kannst Dir eh denken, was ich mir da gedacht hab, als da nix ging.
Okay, ich mach wieder mal.
Danke, wuslona!
Das geht nicht.
Hab jedesmal, bei Exploreraufruf eine andere Meldung.
Zuerst eine: Achtung, das Programm wurde geändert.
2. Der Explorer will auf 127.00.... Port 3... (Habs net erlaubt)
3. Der will auf 212. (Chatfun) über Port HTTP (Das funkt nicht, keine Möglichkeit ins forum zu gehen, keine Felder, um in den Chat reinzugehen.
Bei den letzten meldet er nix von einem geänderten Programm.
4. Möglichkeit: Ich deaktiviere die Firewall, lol.
Ich bin vielleicht wirklich zu blöde. Ode res ist schon zu spät. Ich soll den abdrehen, und ins Bett.
Geändert am 31.01.2003 um 23:01 Uhr von zabia |
|
|
|
|
|
|
Top
|
