Online-Check ergibt, dass der Port XXX offen ist.
Was passiert einem Hacker, wenn ich dem Provider bescheid gebe?
Die Datei xxx versucht aufs Internet zuzugreifen.
Sind 80 Portscanns hintereinander normal?
Ich benutze GetRight und die Datei msipcsv.exe will ins Internet.
Meine Festplatte rattert öfters. Ist das ein Trojaner?
PC bzw. Firewall online testen lassen?
Modem sendet Daten, obwohl Seite schon geladen ist.
Frage:
Ein Online-Check hat bei meinem Rechner festgestellt, dass der Port XXX offen ist.
- Ist jetzt wirklich ein Trojaner auf meinem System und wenn ja wie kann ich den entfernen?
- Gibt es eine Möglichkeit den Port zu schließen?
Antwort:
- Kann man schwer sagen. Überprüf den Rechner noch mal mit einigen Virenscannern und gegebenenfalls auch noch mal manuell (FAQ).
- Ja. Installier dir eine Firewall z.B. ZoneAlarm (WWW).
Frage:
Was passiert eigentlich einem Hacker? Mal angenommen ich hätte seine IP und würde ihn anzeigen oder seinem Provider bescheid geben. Wie wird der dann bestraft? Und wie sieht es mit der Beweislage aus?
Antwort:
Im Prinzip ist es Zeitverschwendung, den Provider des Crackers zu informieren. Im besten Fall erhält er eine Abmahnung und im Wiederholungsfall könnte ihm durchaus auch mal gekündigt werden. Aber bei 3.578 Telefonanbietern in Deutschland wird ihm das nicht wirklich weh tun. Als Beweis reicht ein Log-File mit der genauen Zeit, dem Datum und der geloggten IP-Adresse völlig aus. Die meisten Programme erstellen solche Files automatisch (FAQ).
Frage:
Die Datei XXX versucht dauernd aufs Internet zuzugreifen. Kennt die jemand und wofür ist die da?
Antwort:
Tja, wer kennt schon alle Windows-Dateien. Generell kann man sagen, dass bis auf die Programme die du selber ausführst (z.B. den Browser, das E-Mail-Programm etc.) keine Windows-Datei von sich aus auf das Internet zugreifen sollte. Also wenn dadurch keine Störung eintritt, immer blocken. Ansonsten kann es manchmal sehr hilfreich sein, den vollständigen Dateinamen von einer Suchmaschine (WWW) suchen zu lassen. Dabei klären sich 90% aller Fragen dieser Art von selber.
Frage:
Ich benutze GoZilla (Getright etc.) und habe neulich was von Spyware gehört. Was kann ich dagegen unternehmen?
Antwort:
Hier (FAQ) findest du einen Link zu einem super Freeware-Programm, mit dem du alle bekannten Spyware-Dateien und Registry-Einträge sicher von deinem PC entfernen kannst. Nähere Infos zu Spyware findest du in diesem Artikel (FAQ).
Frage:
Ich bekomme manchmal 80 Portscanns hintereinander. Ist das noch normal?
Antwort:
Es gibt einige Tools im Netz, mit dem man eine oder mehrere IP-Adressen auf viele verschiedene Trojaner-Ports hin scannen kann. Bei solch einem Scann kann es also durchaus vorkommen, dass innerhalb kürzester Zeit 80 oder mehr Ports automatisch überprüft werden.
Mein Tipp: Stell deine Firewall so ein, dass die Scanns zwar im Protokoll geloggt, aber nicht mehr am Bildschirm angezeigt werden.
Frage:
Ich habe seit 3 Wochen eine Flatrate und seitdem ist bei mit ziemlich viel los. Ist das normal?
Antwort:
Im Prinzip ja. Generell werden wohl die IP-Bereiche der Flatrate-Anbieter häufiger gescannt, da man hier davon ausgehen kann, dass sich die Leute längere Zeit im Netz aufhalten.
Frage:
Ich benutze schon längere Zeit GetRight und hab mir jetzt doch mal ZoneAlarm installiert. Wenn ich GetRight starte, wird nun von ZoneAlarm zunächst gefragt, ob ich IPC-Server (c:\windows\system\msipcsv.exe) erlaube das Internet zu betreten. Danach wird erst nach GetRight gefragt. Was ist das?
Antwort:
Der IPC-Server bzw. die Datei "msipcsv.exe" gehört zur Spyware (FAQ). Näheres dazu findest du in diesem Artikel. Du solltest den Zugriff des IPC-Servers aufs Internet ruhig blocken, da GetRight erfahrungsgemäß trotzdem noch funktioniert.
Frage:
Meine Festplatte beginnt öfters mal zu rattern während ich im Internet bin. Lässt das auf einen Trojaner schließen?
Antwort:
Das Rattern der Festplatte kann viele Gründe haben. Solltest du Office inklusive der Index-Erstellung installiert haben, dann könnte das der Grund für die Plattenaktivität sein. Eventuell leert auch nur der Browser seinen Cache. Solltest du bereits Windows ME laufen haben, dann kann es daran liegen, dass Windows gerade Dateien sichert (Restore-Funktion).
Frage:
Wo kann ich meinen PC bzw. meine Firewall online auf seine/ihre Sicherheit hin überprüfen lassen?
Antwort:
Ich habe hier mal einige Links (FAQ) zusammengestellt, die dir in dieser Beziehung weiterhelfen können.
Frage:
Während der Verbindung mit dem Internet ist mir schon einige Male aufgefallen, dass mein Modem Daten sendet, obwohl die Seite schon vollständig geladen ist. Kann das ein Trojaner sein?
Antwort:
Ein Trojaner lässt sich in der Regel nicht auf so einfache Weise enttarnen. Wenn du sicher sein willst, dann wende die hier (FAQ) beschriebenen Schritte auf deinem PC an.
Nach Installation einer Firewall werden Angriffe gemeldet.
Seit Installation von Firewall erhöhtes Scann-Aufkommen.
Zonealarm: Welche Trojaner nutzen welche Ports?
Richtige Konfiguration von Conseal PC-Firewall?
Eine 2. Firewall neben Norton Internet Security 2000?
Norton Internet Security richtig konfigurieren?
Schützt ZoneAlarm vor 0190er Einwahlen?
Warum funktioniert ZoneAlarm/AtGuard/NIS nicht mit T-Online?
ZoneAlarm unter Win2000 SP1. Nichts funktioniert.
Welche Firewall läuft unter Win ME?
Frage:
Ich habe bei mir ZoneAlarm (AtGuard, NIS, LockDown etc.) installiert. Seitdem werden ständig irgendwelche Angriffe von diversen IP-Adressen gemeldet.
- Habe ich jetzt einen Trojaner auf der Platte (diverse Virenscanner melden nichts)?
- Könnte jemand ohne ZoneAlarm auf meine Platte zugreifen?
- Was kann ich gegen die Angreifer unternehmen?
Antwort:
- Nein, du hast wahrscheinlich keinen Trojaner auf der Platte, solange die Scanns nur von außen (Inbound) kommen. Sollte jedoch ein dir unbekanntes Programm von deinem Rechner aus versuchen auf das Internet zuzugreifen (Outbound), dann ist Vorsicht angebracht. Auf jeden Fall immer die Verbindung blocken.
- Nein, ohne ZoneAlarm könnte man nicht so ohne weiteres auf deinen Rechner zugreifen.
- Am besten gar nichts. Wenn du dir aber die Arbeit machen möchtest, dann kannst du eine Mail mit dem entsprechenden Protokoll an den Abuse des Providers schicken. Näheres dazu findest du unter Was tun bei Portscanns (FAQ).
Frage:
Seitdem ich ZoneAlarm installiert habe, habe ich ein erhöhtes Scann-Aufkommen.
- Ist das ein Indiz, dass ein Programm eine Sicherheitslücke hat?
- Kann ich dem entsprechenden User mit irgendeinem Tool eine kurze Message schicken oder signalisieren, dass meine Ports zu sind und er gefälligst woanders weiterscannen soll?
Antwort:
- Nein, das Programm hat in diesem Fall keine Sicherheitslücke. Die Scanns finden unabhängig vom verwendeten Programm statt.
- Einfach so eine Nachricht schicken geht nicht. Es gibt höchstens die Möglichkeit, sogenannte Fake-Server zu installieren. Das sind Programme, die den Trojaner-Server simulieren. Wenn dich dann jemand scannt, kannst du ihm eine kurze Nachricht senden. Allerdings müsstest du in diesem Fall deine Firewall deaktivieren, da die Programme sonst nicht aktiv werden können. Und das wiederum macht dich anfällig für Attacken.
Frage:
Ich nutze ZoneAlarm und bekomme dabei laufend Meldungen über Scanns auf irgendwelchen Ports. Welche Trojaner nutzen denn nun überhaupt welche Ports?
Antwort:
Informationen über die verwendeten Ports findest du beispielsweise hier (WWW) und hier (WWW). Solltest du einen Port nicht finden, dann gibst du am besten in einer Suchmaschine (WWW) das Wort „Portliste“ ein. Du wirst sehen, dass es mittlerweile im Netz zig Listen dieser Art gibt.
Frage:
Wie konfiguriere ich die Conseal PC Firewall am besten?
Antwort:
Hier findest eine Adresse, unter der du Musterregeln für die Conseal-Firewall runterladen kannst. Jedoch müssen die Musterregeln (ganz gleich für welche Firewall) immer manuell an den jeweiligen Rechner und die Bedürfnisse des Nutzers angepasst werden.
Mein Tipp: Wenn du dich mit Firewalls und den verschiedenen Protokollen nicht so gut auskennst, dann installiere dir lieber eine Firewall wie ZoneAlarm (WWW). Nichts ist gefährlicher, als die trügerische Sicherheit einer schlecht oder falsch eingestellten Firewall.
Frage:
Ich habe Norton Internet Security 2000 und wollte Fragen, ob man dazu ZoneAlarm laufen lassen kann. Ist es generell sinnvoll, eine 2. Firewall zu installieren oder behindern die sich dann gegenseitig?
Antwort:
Theoretisch spricht nichts dagegen, dass man 2 Firewalls laufen lässt. Zumindest sollten sie sich nicht gegenseitig behindern, wie man das von Virenscannern her kennt. Allerdings sehe ich in dieser Zusammensetzung keinen Sinn. Beide Firewalls laufen auf applikationsebene, das heißt sie überprüfen, welches Programm auf das Internet zugreifen oder Daten empfangen will. Sinnvoller wäre meiner Meinung nach die Conseal Firewall (FAQ) in Verbindung mit ZoneAlarm (oder NIS), da so auch die einzelnen Datenpakete gefiltert werden.
Was die gegenseitige Ergänzung angeht: Von Conseal in Verbindung mit AtGuard kann ich sagen, dass sich beide gut ergänzen. Sofern AtGuard etwas nicht blockt (ist z.B. bei ICMP (FAQ) öfters mal der Fall), springt Conseal ein. Ersichtlich ist das ganze dann im Logfile.
Frage:
Wie kann ich Norton Internet Security 2000 optimal konfigurieren?
Antwort:
Jeder PC ist verschieden und wird auch verschieden genutzt, daher kann man hier nicht so einfach eine generelle Aussage treffen. Ich würde aber zunächst mal die Finger von großen Einstellungen lassen, da die Standardeinstellungen bei NIS eigentlich recht gut gewählt sind. Am besten verschiebst du nur die Regler auf Niedrig, Mittel, Hoch. Wenn du doch was ändern willst gehe unter Optionen -> Erweiterte Optionen. Dort kannst du unter Firewall für alle abgehende oder ankommenden Datenpakete Regeln erstellen!
Frage:
Schützt Zone Alarm eigentlich vor solchen im Hintergrund ablaufenden 0190er Einwahl-Rufnummern?
Antwort:
Handelt es sich um so ein "Prachtstück", welches die bestehende DFÜ-Verbindung auf eine 0190er Einwahl-Nummer umkonfiguriert, hat ZoneAlarm nicht den Hauch einer Chance. Die Einwahlnummer wird sicherlich KEINE Firewall "kümmern".
Anders könnte es aussehen, wenn sich so ein Dialer selbständig in das Internet einwählen möchte. Es kommt jedoch auch darauf an, WELCHE Verbindungsart dabei zugrundegelegt wird.
Mein Tipp: Lass doch vorsorglich die 0190er Telefonnummern für deinen Anschluss bei der Telekom sperren.
Frage:
Warum funktioniert ZoneAlarm/AtGuard/NIS nicht mit T-Online?
Antwort:
Da die Standard T-Online Software nicht auf Basis von TCP/IP arbeitet, kann eine Firewall auch nichts damit anfangen. Erst wenn du dich über eine DFÜ-Verbindung in T-Online einwählst, wird die Firewall aktiv.
Frage:
Ich habe ZoneAlarm unter Win2000 SP1 installiert. Nun funktioniert gar nichts mehr. Was tun?
Antwort:
Für ZoneAlarm unter Windows 2000 mit installiertem Service-Pack 1 gibt es ein Patch, den du dir unter www.zonelabs.com (WWW) herunterladen kannst. Danach sollte eigentlich alles wieder funktionieren.
Frage:
Welche Firewall läuft unter Win ME?
Antwort:
Soweit ich das jetzt weiß laufen zumindest die neue Conseal PC Firewall 2.09, ZoneAlarm, Norton Internet Security 2001 und Norton Personal Firewall 2001 unter Win ME.
Trojaner xxx auf dem Rechner. Wie entfernen?
Trojaner xxx gefunden. Was richtet er an?
Trojaner xxx gefunden. Welcher ist das und was macht er?
Trojaner gelöscht, Anwendungen lassen sich nicht mehr starten.
Trojaner oder Virus durch SMS?
Infizierung mit Worm QAZ tritt immer wieder auf.
Frage:
Habe den XXX-Trojaner auf meinem Rechner. Wie kann ich ihn entfernen ?
Antwort:
Hier findest du eine Anleitung (FAQ).
Frage:
Mein Virenscanner hat bei mir einen Trojaner Namens saduzvfweuvue.exe gefunden. Ich hab Ihn zwar entfernt, würde aber trotzdem gerne wissen wer diesen Trojaner kennt und was er anrichtet.
Antwort:
Die neuesten Versionen von Sub Seven haben eine Funktion, mit der die Trojaner-Server automatisch und zufällig generiert werden können. Wahrscheinlich hast du dir also Sub Seven eingefangen. Infos über Sub Seven findest du hier (WWW).
Frage:
AVP hat die Datei XXX auf meinem Rechner als Trojaner erkannt. Welcher Trojaner ist das und was macht er?
Antwort:
Man kann in den wenigsten Fällen nur aufgrund des Dateinamens den Trojaner bestimmen, da diese Dateinamen in der Regel frei wählbar sind. Infos über die einzelnen Trojaner findest du über die Links in diesem (FAQ) Report.
Frage:
Können sich Trojaner in Bildern verstecken?
Antwort:
Natürlich können sich Trojaner in Bildern verstecken. Jedoch kommen sie da zum Glück nicht so leicht wieder heraus. ;-) Da in einer normalen Bild-Datei kein ausführbarer Code vorhanden ist, kann sich der Trojaner nicht selber entpacken und ausführen. Dazu benötigt er immer noch ein Extra-Programm, das dann den Trojaner aus dem Bild extrahiert und ausführt (Stand: 08/2000).
Viel gefährlicher sind da jedoch die verschiedenen Windows-Script-Dateien. So gibt es diverse Formate wie z.B. SHS-Dateien (FAQ) oder SCR-Dateien (Windows-Bildschirmschoner), in denen ausführbarer Code enthalten sein kann. Ein guter Virenscanner (FAQ) sollte jedoch Trojaner oder Viren in solchen Dateien erkennen können.
Frage:
Mein Virenscanner hat den Sub Seven Trojaner auf meinem Rechner gefunden. Dieser war mit zwei Dateien verknüpft die hießen mvtnydrlp.exe und yshuqqkrfo.exe (Anmerkung des Autors: Die Dateinamen können willkürlich sein). Ich habe diese zwei Dateien gelöscht, habe den Computer neu gestartet. Dann sind Fehlermeldungen gekommen: mvtnydrlp.exe wurde nicht gefunden. Dieses Programm ist zum Öffnen von Dateien vom Typ "Anwendung" erforderlich. Jedes mal, wenn ich eine Anwendung starten will kommt dieses Fenster.
Antwort:
Aufgrund eines speziellen Eintrags darf man die Dateien des Sub Seven Trojaners nicht in jedem Fall löschen. Unter gewissen Umständen kann dann nämlich das hier geschilderte Problem auftreten. Ich habe einen Report (FAQ) darüber geschrieben, wie man das Betriebssystem trotzdem ohne Formatierung der Festplatte wieder herstellen kann.
Frage:
Kann ich mir durch den Empfang einer SMS einen Virus oder Trojaner einfangen?
Antwort:
Derzeit ist ist es wohl noch ausgeschlossen, dass man sich durch eine SMS einen Trojaner oder einen Virus einfängt. Allerdings gehe ich mal davon aus, dass mit der neuen WAP Technik bzw. mit den neuen UMTS Telefonen solche Trojaner/Viren nicht mehr lange auf sich warten lassen.
Frage:
Laut meinem Virenscanner ist meine Notepad.exe mit dem Wurm QAZ infiziert. Trotz Säuberung tritt die Infektion aber immer wieder auf.
Antwort:
Wie man den Wurm QAZ manuell entfernt findest du hier (WWW). Der Grund warum der Wurm immer wieder auftritt ist in der Regel der, dass du das Laufwerk auf deinem PC freigegeben hast (File- und Printer-Sharing). Du erkennst eine Freigabe daran, dass im Explorer eine "Hand" über deinem Laufwerk erscheint. Der Wurm besitzt die Funktion, dass er sich auf freigegebene Laufwerke selber verbreiten kann.
Mein Tipp: Nimm entweder die Laufwerksfreigaben komplett raus oder versehe sie zumindest mit einem Passwort.
E-Mail-Versand ohne Zutun. Wurde ich gehackt?
Wann sind Mailanhänge gefährlich?
Frage:
Wurde ich gehackt? Bekannte und Kollegen bekommen von mir E-Mail´s, die ich nicht versendet habe. Was kann ich machen?
Antwort:
Unter Umständen hast du wirklich einen Trojaner auf der Platte. Wahrscheinlicher ist aber ein Worm (z.B. ILOVEYOU oder Melissa), der die Sicherheitslücken in Outlook und dem Internet Explorer zur Verbreitung ausnutzt. Installier dir die neusten Sicherheitspatches -> Neue Homepage (WWW) -> Alte Homepage (WWW) von Microsoft. Falls du ihn nicht benötigst, solltest du auch den Windows Scripting Host deinstallieren (FAQ). Zu den Gefahren vom Windows Scripting Host siehe auch hier (FAQ). Was die Verwendung falscher E-Mail-Adressen angeht schau hier (FAQ) nach.
Frage:
Sind nur die Anhänge einer Mail gefährlich oder auch schon die Mail selbst? Meine gesamte Post erledige ich über Outlook Express, und dort wird doch eine eingegangene Mail schon als geöffnet vermerkt, wenn ich sie nur markiere.
Antwort:
Nimm die in diesem Report unter Outlook Express (FAQ) beschriebenen Einstellungen vor, deaktiviere im Internet Explorer ActiveX (FAQ) komplett, deinstalliere den Windows Scripting Host (FAQ) und besuch die Microsoft Homepage (WWW) und installier alle notwendigen Sicherheitspatches. Wenn du das alles gemacht hast, dann bist du mit Outlook Express relativ sicher unterwegs.
Ports 137-139 sind offen. Was tun?
ActiveX im Internet Explorer (de-)aktivieren?
Computer ist oft online. Kann jemand auf die Festplatte zugreifen?
Internetseiten, auf denen man seinen Browser/sein System überprüfen lassen kann.
Frage:
Ich habe online meine Ports überprüfen lassen (bzw. alternativ netstat -a ausgeführt) und die Ports 137-139 sind bei mir offen. Was kann ich dagegen tun?
Antwort:
Hier (FAQ) findest du eine Anleitung, wie die die Ports 137-139 manuell schließen kannst.
Frage:
Bei mir kommt bei fast jeder Seite unter dooyoo.de die folgende Meldung: "Ein Skript greift auf Software (ein ActiveX-Steuerelement) auf dieser Seite zu (als sicher für Scripting markiert). Soll dies zugelassen werden?" Wie kann ich im Internet Explorer diese Frage unterbinden? Ich möchte das einfach generell zulassen.
Antwort:
Hmm. Ich persönlich würde generell ActiveX verbieten. Ich surfe schon seit Monaten ohne ActiveX und mir ist bisher nicht eine Seite begegnet, die nicht ohne den Krempel funktionieren würde. Ansonsten findest du alle Einstellungen unter Extras -> Internetoptionen -> Sicherheit -> Internet -> Stufe anpassen.
Mein Tipp: Wenn du ActiveX weiterhin nutzen möchtest, dann solltest du wenigstens regelmäßig nachschauen, ob du auch alle Sicherheits-Patches für den Internet Explorer (FAQ) installiert hast.
Frage:
Ich besitze seit kurzem eine Flatrate. Deshalb ist mein Computer nun des öfteren, auch über längere Zeit, online. Ist es möglich, dass jemand auf meine Festplatten zugreifen kann während ich online bin? Und falls ja kann man das auch ohne Virenscanner verhindern, da ich finde, dass diese zuviel Performance verbrauchen.
Antwort:
Auf deine Festplatten kann normalerweise niemand zugreifen, so lange du keinen Trojaner auf deinem System laufen hast und/oder du keine Ordner/Festplatten freigegeben hast. Daneben gibt es noch die Möglichkeit über Bugs in deinem Browser an deine Daten zu kommen. Leider verhindert ein Virenscanner überhaupt nichts von alle dem. Lediglich die Wahrscheinlichkeit, dass du dir einen Virus oder Trojaner einfängst sinkt damit ganz erheblich.
Mein Tipp: Lies dir meinen Report "Schutz im Internet" (FAQ) durch. Außerdem solltest du regelmäßig überprüfen, ob es für deinen Browser (Internet Explorer (FAQ)/ Netscape (FAQ)) neue Patches gibt.
Frage:
Ich suche Seiten, auf denen ich online meinen Browser/meine Firewall/mein System auf die Sicherheit hin überprüfen kann.
Antwort:
Ich habe hier (FAQ) mal einige Seiten für diesen Zweck zusammengestellt.
Welches ist der beste Virenscanner? Schutz im Internet?
Prüfsummenverfahren des Virenscanners zeigt Veränderungen an Dateien an.
Frage:
Welches ist der beste Scanner? Wie sichere ich mich am besten im Internet ab?
Antwort:
Über dieses Thema habe ich bereits 2 sehr ausführliche Reporte verfasst. Lies dir die Reporte und die darin gemachten Empfehlungen genau durch. Schutz im Internet (FAQ) und Schutz im Internet mit Freeware (FAQ) Über die Leistungen der einzelnen Scanner kannst du dich hier (WWW) informieren. Ausführliche Software-Tests findest du hier (WWW).
Frage:
Mein Virenscanner arbeitet nach dem Prüfsummenverfahren. Nach einem Check zeigt der Scanner viele veränderte Dateien an.
Antwort:
Wenn du mit so einem Scanner arbeitest, dann sei bloß vorsichtig. Der Scanner berechnet die Werte der einzelnen Dateien und vergleicht sie dann bei einem erneuten Scann mit den vorher festgestellten Werten. Findet er eine Abweichung, dann kann eine Vireninfektion vorliegen. Aber Vorsicht: Bei einer Programminstallation können durchaus auch Dateien verändert werden. Hier handelt es sich dann nicht um einen Virus. Leider können solche Scanner diesen Unterschied nicht feststellen.
Mein Tipp: Schmeiß den Scanner weg oder verwende ihn nur, wenn du niemals Veränderungen an deinem System vornimmst.