norten firewall und warnung bei explorer

#0
08.10.2002, 18:12
...neu hier

Beiträge: 6
#1 hallo zusammen,

habe seit einigen tagen die neue vers. von norton internetsecurity 2003 laufen.(zuvor hatte ich die 2002 fierewall) und habe seit dem das prob. das ich beim rechnerstart eine warnmeldung bekomme.
Da steht den was von "netspy blockieren" und angreifer ist die IP 127.0.0.1
,das ist doch die lokale rechner ip???

LOG:
Details: Regel "Standard Netspy blockieren" verbarg (localhost,1024)
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (0.0.0.0,1024)
Remote-Adresse, Dienst ist (localhost,1043)
Prozessname ist "D:\WINDOWS\Explorer.EXE"

kann mir vieleicht einer von euch helfen,
habe das prob. auf meinem anderen rechner komischerweise nicht. beide XP + SP1. und hatte es ja auch bei der alten firewall nicht. virenscanner, dialerscanner und adware habe ich schon laufen lassen.

danke schon mal
matze
Seitenanfang Seitenende
08.10.2002, 19:06
Moderator
Avatar joschi

Beiträge: 6466
#2 Überprüfe mal die Einträge in folgenden Pfad :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Steht dort was von SP-client.exe oder netspy ? Ich denke eher, daß Norton hier "überreagiert", sieht überall Trojaner ;).
Zusätzliche Info : http://www.simovits.com/trojans/tr_data/y1175.html
Gefunden über : http://www.tantalo.net/ports/index.php
Für mich sieht es nach einem Loopback des Explorers aus, mehr nicht.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.10.2002, 19:19
...neu hier

Themenstarter

Beiträge: 6
#3 hi joschi,
danke für deine schnelle antwort. in meiner reg. steht auch nichts davon drin.

habe den rechner nochmal neu gestartet so das ich die meldung mal abschreiben konnte.

Meldung: ein computer mit der IP 127.0.0.1 hat versucht, mit hilfe des standart netspy blockieren trojaner-programms eine verbindung zu ihrem computer herzustellen.
Seitenanfang Seitenende
08.10.2002, 19:24
Moderator
Avatar joschi

Beiträge: 6466
#4 Standard mit "t", wenn das Robert sieht ;).
also diese Meldung ist wirklich nicht zu fassen ;) 127.0.0.1 ist dein PC.
Ich würde die Meldung mit samt dem Programm an Symantec schicken und mein Geld zurückverlangen. Gibt es eine regel in der Firewall, die möglicherweise dem Explorer jegliche Aktivität untersagt ? Überprüfe das mal bitte.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
08.10.2002, 19:50
...neu hier

Themenstarter

Beiträge: 6
#5 wie gesagt war abgeschrieben :-)

kann in den regeln auch nicht groß was finden, (habe auch nicht so die ahnung bei firewall regeln) auf dem anderen rechner habe ich das prob. ja auch nicht. in der regel von netspy ist aber bei der 2002 und bei der 03 das gleiche drin.

hatte gestern auch nochmal die alte firewall drauf und da war die meldung wieder nicht.

muß mit einem programm auf dem rechner zu tun haben, was sich vieleicht nicht verträgt.(denke ich mal)

macht es denn was wenn ich die 127.0.0.1 in der firewall als vertrauten computer freigebe. denn da ist ja die fehlermeldung weg?
Seitenanfang Seitenende
08.10.2002, 21:25
Moderator
Avatar joschi

Beiträge: 6466
#6 Lies Dir hierzu mal folgendes durch : http://board.protecus.de/t699.htm
http://board.protecus.de/t25.htm
Wenn´s dann noch Fragen geben sollte, kein Problem.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.10.2002, 11:07
...neu hier

Themenstarter

Beiträge: 6
#7 so habe dem explorer (nicht IE) jetzt mal das loppback erlaubt und siehe da es funzt ohne meldung.

Nur explorer: "TCP/UTP, richtung beide, computer nur 127.0.0.1, alle ports"

(zwar trotzdem komisch, aber am besten nicht drüber nachdenken.)

danke nochmal für deine hilfe.

cu matze
Seitenanfang Seitenende
06.07.2004, 01:12
...neu hier

Beiträge: 3
#8 hallo, das (fast) selbe problem hier.
ist mir auch mehr als komisch vorgekommen dass 127.0.0.1 mit netspy durch die firewall will und ich habe auch schon über die strenge der norton firewall gelacht, nur: bei mir meldet die firewall als prozess die C:\WINDOWS\System32\svxhost.exe (nein nicht die svchost.exe). und das soll ein trojaner sein (ein echter, kein norton missverständnis). also vielleicht von drinnen nach draussen und nicht umgekehrt. den loopback ausschalten verschleiert doch dieses problem nur, falls ich das richtig verstehe.
ich könnte dringend jemand brauchen der das hijack log durchschaut und mir sagt was ich rauslöschen muss (auch das mit reg edit ist nicht ganz klar..wie ich reinkomm schon, aber was ich entfernen soll usw.)
norton(im abgesicherten modus bei deaktivierter systemherstellung), ad-aware, spybot-search&destroy, & antivir free sind schon ohne ergebnis drübergelaufen. Vielen Dank im voraus!!!

Logfile of HijackThis v1.97.7

Scan saved at 23:59:18, on 05.07.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\Programme\Norton Internet Security\NISUM.EXE

C:\Programme\Norton Internet Security\ccPxySvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

C:\Programme\Real\RealPlayer\RealPlay.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\svxhost.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Microsoft Office\Office10\WINWORD.EXE

C:\Dokumente und Einstellungen\Gary\Desktop\HIJACKTH.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.jet2web.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jet2web.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Recherche-Assistent (HKLM)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03634bee97ecf1e0c105/netzip/RdxIE601_de.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.4388541667

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
Seitenanfang Seitenende
06.07.2004, 21:33
Member

Beiträge: 626
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: