| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
UlmerSpatz 
Anmeldungsdatum: 23.04.2003
Beiträge: 61
  |
 Beitrag 0 - Verfasst am: So Feb 01, 2004 13:26 Titel: |
 |
|
Hi alle!
Gestern hatte ich von meiner Kerio FW zum ersten Mal den Hinweis
erhalten, das LSASS.EXE mit XY Kontakt aufnehmen will.
Ich habe das dann gesperrt.
Jetzt frage ich mich, ob ich mir da einen Wurm eingefangen habe,
was nur durch das Installieren irgendeiner Freeware gekommen sein könnte, da ich weder Outlook noch IE verwende (WinXP).
Virenscanner OfficeScan hat auch nichts gemeldet.
FixSOBER und FixLgate von Symantec haben auch nichts gefunden. Muss ich jetzt trotzdem meine Installation
wegwerfen, oder kann es einen anderen Grund geben?
Ich habe zwischendrin jede Menge PD-SW deinstalliert, und
seitdem keine Meldung mehr bekommen, obwohl ich in
KPF von deny auf ask umgestellt habe.
Ein zweites Problem: Meine zweite Festplatte, auf der ich ein zweites OS drauf hatte, hat beim Starten des OS von der ersten Platte gemeldet, das Laufwerk M Datenkonsitenz überprüft
werden müsse. Das macht er dann, findet aber keine Probleme.
Aber beim nächsten Neustart ist trotz ordnungsgemässen Herunterfahren wieder die gleiche Meldung zu sehen.
Beim Booten vom OS der zweiten Platte kam nach kurzer
Zeit ein Bluescreen: bootdokpartition not ready oder so ähnlich.
Ich habe die zweite Platte neu formatiert: Jetzt ist Schluss.
Die Platte ist aber noch kein Jahr alt (Seagate 80GB). Kann das sein, das die so schnell schon schwächelt? Oder war as SW, die
das Ding korrumpiert hat? Aber warum hat dann der Diskcheck von XP nix gefunden?
Fragen über Fragen...
Hat hier auch einer ANtworten oder TIpps?
Grüsse aus dem Süden,
Christian |
|
 |
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 1 - Verfasst am: So Feb 01, 2004 14:03 Titel: |
|
|
Hallo,
also ich würde erst einmal feststellen, in welchem Verzeichnis sich LSASS.EXE befindet. Es muß nicht unbedingt ein Wurm sein, den Du Dir eingefangen hast. manchmal sucht auch eine installierte Software nach möglichen Updates auf dem Heimatserver oder will Registrierdaten nach Hause schicken. Aber grundsätzlich sollte man natürlich die Verbindung erst einmal unterbinden.
Was Dein zweites Problem angeht, so ist das schwierig zu beurteilen. Kann einfach sein, daß XP Mist gebaut hat. Formatieren und physische Oberfläche prüfen lassen (per Tools) und weiter beobachten.
_________________
Grüße |
|
|
ACS
Anmeldungsdatum: 04.06.2003
Beiträge: 261
|
| Beitrag 2 - Verfasst am: So Feb 01, 2004 14:12 Titel: |
|
|
@Romulan Warbird
LSASS.EXE
Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.
Quelle |
|
|
Tsunami
Anmeldungsdatum: 12.02.2002
Beiträge: 1759
|
| Beitrag 3 - Verfasst am: So Feb 01, 2004 15:34 Titel: |
|
|
Du hast einen Wurm und zwar den LovGate :
http://www.bsi.bund.de/av/vb/lovgatec.htm
Von diesem Wurm gibt es mehrere Varianten, so das FixLGate von Symantec nicht umbedingt alle kennen muss.
Hol dir die neuesten Versionen der Viresnscanner und Stinger 2.0 von McAfee. |
|
|
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 4 - Verfasst am: Mo Feb 02, 2004 10:42 Titel: |
|
|
@ACS
danke für die Quelle.
Das sicherste bei diesen Mailwürmern wird wohl sein, die Virenschleuder MS-Outlook nicht mehr zu verwenden. Die meisten Würmer sind ja genau auf dieses e-Mail Programm abgestimmt.
Ich benutze seit Jahren Pegasus Mail und hatte seitdem nie wieder Probleme mit irgendwelchen Mailwürmern.
_________________
Grüße |
|
|
Holgers_inaktiv
Anmeldungsdatum: 10.02.2002
Beiträge: 0
Wohnort: Köln
|
| Beitrag 5 - Verfasst am: Mo Feb 02, 2004 10:51 Titel: |
|
|
Zum Thema Würmer mal ne (wahrscheinlich blöde) Frage:
Wenn man ausschliesslich Webmails über den Browser (Hotmail, yahoo, freenet) benutzt und natürlich keine unbekannten Anhänge öffnet, ist man dann auch gefährdet beim nur öffnen der Mail ?
Outlook benutze ich nur in der Firma und da sitze ich hinter einer (offenbar guten) FW. |
|
|
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 6 - Verfasst am: Mo Feb 02, 2004 11:18 Titel: |
|
|
| Zitat: | Zum Thema Würmer mal ne (wahrscheinlich blöde) Frage:
Wenn man ausschliesslich Webmails über den Browser (Hotmail, yahoo, freenet) benutzt und natürlich keine unbekannten Anhänge öffnet, ist man dann auch gefährdet beim nur öffnen der Mail ?
Outlook benutze ich nur in der Firma und da sitze ich hinter einer (offenbar guten) FW. |
Blöde Fragen gibt es eigentlich bei dem Thema nicht.
Solange der Anhang nicht heruntergeladen und anschließend per Click ausgeführt wird, soll wohl nix passieren. So sicher ist das aber auch nicht. Kommt immer auf die Vire/Wurm selbst an. Selbst im HTML-Text (wenn man diesen als e-Mail Format benutzt/zuläßt) können sich Angriffe auf den PC verstecken.
Sicher ist aber, daß die meisten Mails mit verseuchten Anhang auf die Nutzung von MS-Outlook spekulieren.
Der FW verhindert auf jeden Fall, daß ein Trojaner nach draußen Verbindung aufnehmen kann, und das ausspionierte PC-Material dem Virenverfasser sendet. Verhindern kann er aber nicht, daß sich die Vire erst einmal auf dem jeweiligen PC installiert und dort Schaden anrichtet.
_________________
Grüße |
|
|
Chavez
Anmeldungsdatum: 15.12.2001
Beiträge: 137
Wohnort: Frankfurt am Main
|
| Beitrag 7 - Verfasst am: Mo Feb 02, 2004 13:16 Titel: |
|
|
Verhindern kann aber ein aktiver Virenscanner das einnisten des Wurms. Wenn der LifeScan immer im Hintergrund läuft sollte da nichts passieren können. Von Trendmicro bzw. Symantec (NAV benutze ich) die Scanner überwachen den Mailverkehr.
Komisch, das nur Outlook User betroffen sind (Tja zu dumm, wenn man sich ein Rundum sorglos Packet installiert (oder läst) und die Voreinstellungen behält. Ich benutze Outlook Express, und NortonAV zieht mit 99%iger Sicherheit jeden Virus (aus der aktuellsten PatternDatei) aus den Mails. Natürlich sollten einige Sicherheitsvorkehrungen getroffen werden. (AktivX, Java Applets etc.).
Ein PortScanner überwacht bei mir zusätzlich die Requests auf den Ports die offen sein müssen, bzw auf den Ports die bekannt für Trojanernutzung sind.
Gruß Matthias
PS.: Bisher habe ich KEINE FireWall auf meinem PC laufen und bin eigendlich auch der Meinung, das das nicht Not tut.
_________________
Erst kurz im Forum und schon alles durcheinandergebracht ;) |
|
|
UlmerSpatz
Anmeldungsdatum: 23.04.2003
Beiträge: 61
|
| Beitrag 8 - Verfasst am: Mo Feb 02, 2004 14:01 Titel: |
|
|
Hi!
Erstmal vielen Dank für die Infos!
Was der Tip zu Lovgate angeht: Ich habe die Platte nach
einer Datei WIngate.exe oder winrpc.exe durchsuchen lassen:
Nix gefunden, und nun?
Ausserdem benutze ich nur Hotmail /TOnline für Emails.
Grübel,.... |
|
|
wenzi
Anmeldungsdatum: 03.03.2003
Beiträge: 1243
|
| Beitrag 9 - Verfasst am: Mo Feb 02, 2004 14:16 Titel: |
|
|
| Zitat: | Bisher habe ich KEINE FireWall auf meinem PC laufen und bin eigendlich auch der Meinung, das das nicht Not tut.
|
Da bin ich anderer Meinung - wie sonst soll man Portscans erkennen? In heutigen Zeiten ohne Firewall ist fast so wie Autofahren ohne Sicherheitsgurt. Solange keiner auf meiner Fahrspur entgegenkommt...
_________________
Viele Grüße, Wenzi |
|
|
Chavez
Anmeldungsdatum: 15.12.2001
Beiträge: 137
Wohnort: Frankfurt am Main
|
| Beitrag 10 - Verfasst am: Mo Feb 02, 2004 14:44 Titel: |
|
|
| Zitat: | | Zitat: | Bisher habe ich KEINE FireWall auf meinem PC laufen und bin eigendlich auch der Meinung, das das nicht Not tut.
|
Da bin ich anderer Meinung - wie sonst soll man Portscans erkennen? In heutigen Zeiten ohne Firewall ist fast so wie Autofahren ohne Sicherheitsgurt. Solange keiner auf meiner Fahrspur entgegenkommt... |
Jepp dashalb habe ich ja auch einen Portscanner, der ja keine FireWall ist 
_________________
Erst kurz im Forum und schon alles durcheinandergebracht ;) |
|
|
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 11 - Verfasst am: Mo Feb 02, 2004 14:54 Titel: |
|
|
| Zitat: | Ich habe die Platte nach
einer Datei WIngate.exe oder winrpc.exe durchsuchen lassen:
Nix gefunden, und nun? |
Also ohne profesionellen Virenscanner wird es schwierig. Der sucht gezielt nach Viren und eliminiert auch diese problemlos. Wenn man im Internet unterwegs ist, dann lohnt auf jeden Fall die Anschaffung. Ich benutze selbs Trend PC-cillin. Der updated fast täglich seine Virenliste und hat mir schon allerhand Ärger erspart.
Der FW sollte auf jeden Fall auf allen PCs sein, die persönliche Daten, wie Kontonummern, Pin-Codes, Passwörter usw. enthalten. Denn hier setzen die Trojaner ja gern an.
_________________
Grüße |
|
|
bergH
Moderator
Anmeldungsdatum: 14.06.2001
Beiträge: 13678
Wohnort: Am Kamener Kreuz
|
| Beitrag 12 - Verfasst am: Mo Feb 02, 2004 18:21 Titel: |
|
|
tach auch !
Also die Experten , die ich kenne sagen :
Schwachsinn eine Firewall auf dem PC laufen zu lassen, der geschützt werden soll.
O.K. besser , als gar nichts, aber ....
Ein Linux-, oder wie in meinem Falle ein Hardware-Router mit FW ist allemal besser.
_________________
Gruß BergH |
|
|
Chavez
Anmeldungsdatum: 15.12.2001
Beiträge: 137
Wohnort: Frankfurt am Main
|
| Beitrag 13 - Verfasst am: Mo Feb 02, 2004 20:31 Titel: |
|
|
| Zitat: | Hi!
Erstmal vielen Dank für die Infos!
Was der Tip zu Lovgate angeht: Ich habe die Platte nach
einer Datei WIngate.exe oder winrpc.exe durchsuchen lassen:
Nix gefunden, und nun?
Ausserdem benutze ich nur Hotmail /TOnline für Emails.
Grübel,.... |
Probier mal das Tool hier !
Still lagen Sie am Boden. Sie hatten sich einfach totgelacht. So ging es mir gerade habe mal spaßenshalber die Kerio FW installiert und der Rechner war lahmgelegt 99% CPU Last naja mal sehen vieleicht muß ich mir mal nen DSLRouter zulegen. Der D-Link DI-304 sieht recht vielversprechend aus.
Gruß Matthias
Zuletzt bearbeitet von Chavez
_________________
Erst kurz im Forum und schon alles durcheinandergebracht ;) |
|
|
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 14 - Verfasst am: Mo Feb 02, 2004 22:31 Titel: |
|
|
| Zitat: | Also die Experten , die ich kenne sagen :
Schwachsinn eine Firewall auf dem PC laufen zu lassen, der geschützt werden soll. |
@bergH warum?
Wenn der FW ordentlich funktioniert, kann er eine Menge an unerwünschter Kommunikation verhindern.
_________________
Grüße |
|
|
Chavez
Anmeldungsdatum: 15.12.2001
Beiträge: 137
Wohnort: Frankfurt am Main
|
| Beitrag 15 - Verfasst am: Mo Feb 02, 2004 22:58 Titel: |
|
|
| Zitat: |
Firewall – Was ist das?
Organisatorisches und technisches Konzept zur Trennung von Netzbereichen.Ein für die Sicherheit verantwortliches System, dass vor unerwünschten Zugriffen von außen und innen schützt.
Firewall – Warum?
Überwachung und gegebenenfalls Verhinderung von Traffic z.B. zwischen zwei Netzen oder einem Computer und dem Internet, um vor Angriffen von außen zu schützen.
Firewall – Firewall Konzept
Ein Firewall Konzept ist ein extra für die Sicherheit konfigurierter Rechner oder Router, der den eigentlichen Client mit dem Internet verbindet.Ein Firewall Konzept funktioniert nach dem Prinzip: „Was nicht ausdrücklich erlaubt ist, ist verboten“.
Firewall – Was ist mit Viren?Die Firewall selbst schützt nicht direkt vor Viren, sie kontrolliert nur den TrafficViren, die bereits auf dem lokalen Rechner oder „hinter“ der Firewall sind, können nicht bekämpft werden. Einige Trojaner (z.B. Firehole) setzen, sobald auf dem lokalen PC, die Firewall außer Kraft.
|
Wichtig ist mM nur das Fette. Dafür reicht ein Portscanner. Es kommt keine Kommunikation zustande. Die FireWall verbraucht CPU und Speicherresourcen auf deinem DesktopPC.
Die Administratoren, die ich kenne haben in den Rechenzentren auch mindestens 1e Einheit stehen auf der NUR die FireWall ggf. auch ein Virenscanner (unter LINUX) läuft.
Anrufer: Ich habe Windows installiert.
Hotline: Ja und?
Anrufer: Ich habe da ein Problem.
Hotline: Das sagten sie bereits.
Was benutzt du für eine FW Romulan Warbird?
Immo hab ich noch keine gefunden, die auf meinem PC so laufen würde, wie ich mir das vorstelle. Fast 0 Resourcenverbrauch und vorallem keine Performanceeinbrüche.
Deshalb allein schon würd ich auf einen HardwareRouter (mit integrierter FW und WebDisplay) zurückgreifen
Matthias
//Edit
FireWall
| Zitat: |
Ob sie nun schnell sind oder nicht, ist irrelevant. Sie alle sind nichts anderes als hostbasierte Paketfilter, die auf demselben System laufen, das geschützt werden soll und dabei nicht nur von diesem abhängig sind, um überhaupt laufen zu können sondern auch alle seine Schwächen ausbaden müssen.
Win98SE hat keine wirksame Rechte-und Benutzerverwaltung. Jede eingeschleppte Malware kann die Personal Firewall daher mit Leichtigkeit ausschalten, täuschen oder tunneln. Selbst primitive Mailwürmer tun dies schon lange und TRojaner-Server sowieso.
Darüber hinaus blockieren diese Desktopfirewalls völlig unnötigerweise allerlei wichtige und nützliche Internetkommunikation wie z.B. das ICMP-Protokoll und rechtfertigen dies gegenüber dem User, indem sie behaupten, den PC damit unsichtbar machen zu können, was aber glatt gelogen, weil technisch unmöglich, ist.
Sie sind zwar in der Lage, das eine oder andere Programm zu melden, das nach Updates sucht oder Daten ins Netz bläst, allerdings ist auch das nicht zuverlässig, da viele dieser Programme mittlerweile den IE dafür missbrauchen, der ja generell erlaubt ist.
Wenn man Angst vor Phonehome-Software hat, soll man keine installieren (JA, es GIBT Alternativen) oder man deaktiviert entspr. Features wie z.B. im Realplayer oder im Windows Media Player.
Lesenswerte Links:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm
http://mpdshfaq.de.vu/
Will man einen PC absichern, so deaktiviert man zuerst mal unnötige Dienste. Glücklicherweise laufen standardmäßig bei Win98SE viel weniger davon als bei XP. Man braucht eigentlich nur die Dateifreigabe vom TCP/IP-Protokoll des DFÜ-Adapters entbinden. |
Hier nochmal die Sachen auf den Punkt gebracht. Das betrifft imo nicht nur W98 sondern jedes Windows System. Worüber man sich aber einig ist, ist die PFW ein erster Schritt in Richtung Sicherheit (besser als gar nichts) allerdings kann man über Sinn und Unsinn streiten. Hm ich würd so eine PFW als "Gewissensberuhiger" bezeichnen.
In diesem Sinne einen schönen Tag
Matthias
Zuletzt bearbeitet von Chavez
_________________
Erst kurz im Forum und schon alles durcheinandergebracht ;) |
|
|
Romulan Warbird
Anmeldungsdatum: 30.01.2003
Beiträge: 1329
|
| Beitrag 16 - Verfasst am: Di Feb 03, 2004 12:41 Titel: |
|
|
| Zitat: | | Was benutzt du für eine FW Romulan Warbird? |
Mc Affee
der läuft als Dienst im Win2000 Hintergrund.
Natürlich verbraucht er Resourcen. Was die Performanceeinbrüche angeht, so ist er mir hier noch nicht besonders negative aufgefallen. Aber wie bei allen Diensten, die im Hintergrund laufen, wird natürlich die CPU auch für diesen Dienst entsprechende Rechenzeit zur Verfügung stellen müssen.
Der externe HardwareRouter ist natürlich eine bessere Wahl, da er den PC überhaupt nicht belastet.
_________________
Grüße |
|
|
|
FAQ
Suchen
Mitgliederliste
Einloggen, um private Nachrichten zu lesen
Profil
Login
Registrieren
