mikrocontroller.net

Forum: PC Hard- und Software Zone Alarm: Der größte Müll?


Autor: jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi,

gleich zu Anfang: Nein, es geht hier nicht um eine Grundsätzliche 
Diskussion über Firewalls.

An sich finde ich ja ZoneAlarm ganz nett. Mittlerweile aber nicht mehr, 
denn mir ist folgendes passiert:
Das Installationsverzeichnis von ZoneAlarm wurde durch einen Fehler beim 
Partitionieren gelöscht. Der 'TrueVectorInternetMonitor'-Dienst liegt 
aber irgendwo im Systembaum. Und läuft demnach noch, blockt fröhlich 
weiterhin alles, wie es ihm aufgetragen wurde. Beenden lässt er sich nur 
über die ZA-Gui, im Taskmanager oder per Cmd hat man keine Chance. Auch 
in der Diensteverwaltung nicht.
Ist natürlich auch gut so, schliesslich soll ja nicht irgendwelche 
Malware einfach die Firewall abschalten können.
Logische Schlussfolgerung: ZA wieder installieren und dann über die Gui 
beenden.
Geht bloss leider nicht so einfach: Das ZA-Setup läd normalerweise noch 
das eigentliche Setup aus dem Netz. Der Netzzugriff wird ihm jedoch von 
dem noch immer laufenden 'TrueVectorInternetMonitor' alias vsmon.exe 
verwehrt, weil das Programm ja nicht in der Liste eingetragen ist.

Fazit:
Da waren wohl etwas kurzsichtige Entwickler am Werk...

Autor: Xenen (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Moin,

lässt sich der TrueVectorInternetMonitor-Dienst nicht unter msconfig 
unter Dienste ausschalten?
Sonst könntest du vielleicht das Verzeichnis von vsmon.exe suchen 
(system32/Zone Labs?) und dann im bgesichterten Modus löschen?

Autor: *.* (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mit der Notfallkonsole (Windows-CD) die exe des Dienstes löschen

Autor: Nailpainter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>...wurde durch einen Fehler beim Partitionieren gelöscht.

ist auch nicht gerade die Alltags Operation.
Ein laufende Platte neu zu partitionieren ist ahem - etwas 
abenteuerlich. Wuerd ich auch nie machen. Leiber eine neue platte 
nehmen, und von der Bestehenden nach dem Setup der Neuen das Brauchbare 
ueberspielen.

Ich verwende immer noch die version 2.6.362. Nachher wurde es in der Tat 
murksig. Man muss freischalten und so.

Autor: jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>> ist auch nicht gerade die Alltags Operation.

Darum gings ja auch gar nicht. Der Ordner kann auch sonstwie 
verschwinden. Ich denke nicht, dass ich da sämtliche Möglichkeiten 
aufzählen muss.

Es geht mir auch überhaupt nicht um eine Lösung dieses Problems. Ich 
habe schon längst den gesamten Ordner /WINDOWS/system32/ZoneLabs von 
einem anderen OS aus gelöscht, womit das Problem gelöst wäre.

Es ging mir nur darum zu zeigen, wie kurzsichtig manche 
Softwareentwickler vorgehen.
Wenn ich doch weiss, dass meine Software unter Umständen sämtliche 
Zugriffe aufs Netz blockt, dann lass ich doch zumindest überprüfen, ob 
es vllt. andere eigene Entwicklungen behindert.
Oder noch besser: Ich stelle einfach ein OfflineSetup bereit. Gut, man 
sollte davon ausgehen können, dass ein PC, auf welchem man eine Firewall 
installieren will, im Normalfall Netzwerkzugang hat. Doch muss das nicht 
unbedingt heissen, dass er auch bei der Installation schon 
Netzwerkzugang hat. Es könnte auch irgendwer das System irgendwo 
aufsetzen und den PC dann irgendwo anders hintransportieren. Oder 
einfach nur vorsorglich eine Firewall rauftun...

Autor: Uwe ... (uwegw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Oder noch besser: Ich stelle einfach ein OfflineSetup bereit.

Bis vor einigen Monaten gabs das ja auch noch. Hast du nicht noch 
irgendwo ne ältere Version rumfliegen?

Autor: jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Irgendwo hab ich bestimmt noch was rumfliegen. Aber das Problem ist wie 
gesagt ja bereits gelöst. Es ging nur ums Prinzip.

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Bis vor einigen Monaten gabs das ja auch noch. Hast du nicht noch
>irgendwo ne ältere Version rumfliegen?

Würde nichts bringen, da das Installationsprogramm den blockierten 
Prozess nicht beenden kann. Hatte auch schon das Problem.

Autor: Wegstabenverbuchsler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> da das Installationsprogramm den blockierten Prozess nicht beenden kann.

der Process Explorer (Sysinternals.com, nunmehr Microsoft) kann doch 
alles mögliche, unter anderm auch offene Handles abschließen. Hab ich 
selbst hier gehabt:

Mein Firefox ließ sich auch nicht updaten, da der SpybotSD da noch einen 
lock auf die firefox.exe drauf hatte (obwohl alle Prozesse terminiert 
waren).

Mit dem Process explorer konnten dei noch offenen Handles identifiziert 
werden, und nach close ließ sich auch das Update durchführen.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Es ging mir nur darum zu zeigen, wie kurzsichtig manche Softwareentwickler
> vorgehen.

Dem möchte ich widerprechen: Das ist der Preis für Sicherheit. Würden 
sie da lascher vorgehen, könnte auch ein gewitzter Malware-Programmieren 
die FW aushebeln.

Für solche Fälle habe ich (ein von CD bootbares) Windows PE. Damit kann 
man ohne Probleme den verwaisten Service irgendwoanders hinschieben, 
oder löschen.

Im übrigen: Kfz-Entwickler haben auch nichts vorgesehen, mit dem man 
nach einem Motorschaden aus eigener Kraft zu seiner Lieblingswerkstatt 
fahren kann - würde sie deshalb jemand als "kurzsichtig" bezeichnen?

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>der Process Explorer (Sysinternals.com, nunmehr Microsoft) kann doch
>alles mögliche, unter anderm auch offene Handles abschließen. Hab ich
>selbst hier gehabt:

Schon korrekt, nur Process Explorer konnte im Falle von ZA auch nichts 
machen.

Autor: The Devil (devil_86)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das ist nun mal der Sinn von Firewalls, dass sie sich von anderen 
Programmen nix sagen lassen.
Daher, weg von ZoneAlarm, und andere Firewall nehmen.....

Autor: jonny (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich bin mit ZA immer schon zufrieden...

Autor: dold (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
naja, ich denke mal wenn man hinter einen NAT-router sitzt (was die 
meisten hier wahrscheinlich aufgrund von DSL sind) ist eine 
soft-firewall eher unnötig, von interesse ist dann eigentlich nur noch 
was "raus will" - denn rein kommt eh nicht viel.

Ansonsten müsste sich der Dienst doch im AG-Modus löschen lassen, oder!?

Und kurzsichtig würde ich das nicht nennen - wenn Du ein paar 
Systemordner von windows löscht läuft dieses auch nur noch fehlerhaft 
bis garnicht - die entwickler gehen ja nicht davon aus dass Du ein 
System umpartitionierst!

Autor: jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>>Im übrigen: Kfz-Entwickler haben auch nichts vorgesehen, mit dem man
>>nach einem Motorschaden aus eigener Kraft zu seiner Lieblingswerkstatt
>>fahren kann - würde sie deshalb jemand als "kurzsichtig" bezeichnen?

Der Vergleich hinkt extrem. Wie wäre es mit: Sollte man KFZ-Entwickler, 
die eine automatische Türverriegelung einbauen, die ab 15km/h schliesst, 
als kurzsichtig bezeichnen, wenn sie nicht dafür sorgen, dass man im 
Falle eines Falles (Wagen liegt nach Unfall auf dem Dach, Räder drehen 
noch...) die Tür öffnen kann? => Ja, sollte man.

>>die entwickler gehen ja nicht davon aus dass Du ein
>>System umpartitionierst!
Trotzdem kann man davon ausgehen, dass der eigentliche Installordner 
verschwindet, aus welchem Grund auch immer.
Ich habe durchaus schon eine Möglichkeit genannt, nämlich weiterhin ein 
OfflineSetup anzubieten.
Eine weitere wäre im Ordner /system32/ZoneLabs, wo also auch vsmon.exe 
liegt, ein abgespecktes Programm liegen zu lassen, mit welchem man im 
Falle eines Falles vsmon.exe beenden kann. Und dieses kann man dann auch 
nicht mehr als Lücke bezeichnen, denn über das standardmässig laufende 
zlclient.exe kann man die FW ja genausogut abschalten.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
dold wrote:
> ... von interesse ist dann eigentlich nur noch  was "raus will" - denn
> rein kommt eh nicht viel.

Und genau das ist die Stärke einer FW wie ZoneAlarm: Sie nennt einem das 
Programm, das versucht hat, auf krummen Wegen mit der Außenwelt Kontakt 
aufzunehmen.

Ich hatte erst kürzlich folgende Situation:

Von Zeit zu Zeit poppte ZoneAlarm hoch und meldetete den Versuch eines 
NetBios-Zugriffs auf mein Netz durch ein Programm A1764823.exe oder so 
ähnlich. Die Nummer wechselte, weil ich das Drecksding, das den Alarm 
verursachte, jedemal beseitigte.

Ich blockierte auf allen Rechnern NetBios - genau wie von MS empfohlen, 
die jedoch ihre eigene Empfehlung nicht ernst nehmen, denn in der 
Default-Einstellung ist das völlig überholte Sicherheitsrisiko NetBios 
freigegeben...

Auf der Maschine läuft AntiVir - es merkte nichts. Bis vor zwei Wochen 
plötzlich ein W32/swinder.a Trojan Downloader in zwei Dateien gefunden 
wurde - eine war ein angebliches Gimp 2.2 Plugin namens noisify.exe und 
die andere eine Kopie mit kryptischem Namen nach dem oben genannten 
Muster, die im Ordner "System Volume Information" lag - das 
Zugriffsrecht darauf muß man sich erst beschaffen und in der 
Home-Edition von XP ist das von Haus aus garnicht möglich.

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zum Thema Netbios: ich mußte es neulich wieder aktivieren, weil sonst 
DHCP unter Win XP nicht funktioniert; so jedenfalls eine Info von 
Microchip.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich benutze fest vergeben IP-Adressen im Netz. Wenn der Rechner an eine 
Domain angeschlossen ist, geht es auch ohne NetBios. Ich vermute, daß es 
durch einen DHCP-Server im Netz ersetzt wird - den bringen auch so 
einige DSL-Router mit.

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Ich vermute, daß es durch einen DHCP-Server im Netz ersetzt wird - den
>bringen auch so einige DSL-Router mit.

Korrekt nur wenn der Router eben einen DHCP-Server drin hat, mußt du auf 
PC-Seite einstellen, dass der PC die IP-Adresse automatisch beziehen 
soll. Und genau das funktioniert unter XP mit fehlendem NetBIOS nicht.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mit den festverdrahteten IP-Adressen in der hosts geht es auch ganz ohne 
NetBios und DHCP.

Autor: Andreas Schwarz (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn ein Programm wirklich raus will, dann schafft es das trotz Zone 
Alarm, im einfachsten Fall indem es den Internet Explorer nutzt, und 
wenn es mit Administratorrechten läuft hat es sowieso alle 
Möglichkeiten. Verschiedene Trojaner machen das so.

Autor: dold (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Ich blockierte auf allen Rechnern NetBios - genau wie von MS empfohlen,
>die jedoch ihre eigene Empfehlung nicht ernst nehmen, denn in der
>Default-Einstellung ist das völlig überholte Sicherheitsrisiko NetBios
>freigegeben...


Wie blockiere ich das!?

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@dold:
Unter Netzwerkverbindungen wählst du den Netzwerkadapter aus und öffnest 
die Eigenschaften.

Dann wählst du 'Internet Protokoll' und klickst 'Erweitert'.

Dann wählst du den Tab 'Wins'. Unten kannst du NetBios über TCP/IP 
sperren.

@ Andreas:
Natürlich ist ZoneAlarm kein Allheilmittel. Aber wie mein Beispiel 
zeigt, kann es doch nützlich sein.

Wie verhält es sich, wenn man einen alternativen Browser benutzt und IE 
generell nur mit Erlaubnis Zugriff aufs Netz gestattet?

Autor: The Devil (devil_86)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Andreas Schwarz wrote:
> Wenn ein Programm wirklich raus will, dann schafft es das trotz Zone
> Alarm, im einfachsten Fall indem es den Internet Explorer nutzt, [...]

& @Uhu Uhuhu

Meine Firewall blockt IE, ich surfe grundsätzlich nur mit Firefox; 
außer, wenn ein Programmupdate den IE erfordert, erlaube ich es, dass IE 
der Weg ins WWW freigegeben wird.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Meine Frage bezog sich darauf, ob nicht auch Firefox von Malware als 
Gateway to Hell mißbraucht werden kann.

Ich mache es in i.S. IE genau wie du.

Autor: The Devil (devil_86)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich würd mal sagen, dass Firefox in Sachen Sicherheits-Bugs weit 
fortschrittlicher ist als IE, sprich es sind weniger Hintertürln 
vorhanden. Aber natürlich, solange eine Verbindung zum Internet besteht, 
kann man sich immer was einfangen, es gibt keinen 100%igen Schutz.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das ist jetzt Meinung - hat jemand konkrete Informationen?

Das große Sicherheitsloch ActiveX des IE hat FF nicht. Gibt es 
Möglichkeiten FF ähnlich zu mißbrauchen, wie IE und wird sowas von 
irgendwelchen Schurken gemacht?

Autor: Andreas Schwarz (andreas) (Admin) Benutzerseite Flattr this
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das hat eigentlich nichts mit Sicherheitslücken zu tun. Es gibt 
unzählige Möglichkeiten mithilfe von installierter Software Daten an 
einer Personal Firewall vorbeizuschmuggeln. Beim Firefox könnte der 
Trojaner z.B. ein User Stylesheet installieren das auf einen bestimmten 
URL zugreift und so Daten sendet ("ip x.y.z bereit"), und zum Empfang 
holt sich der Trojaner dann das gespeicherte Ergebnis dieses Zugriffs 
(z.B. "Befehl zum DDOS-Angriff auf x.y.z") aus dem Browsercache.

Autor: The Devil (devil_86)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich hab da mal so ne Erfahrung mit meinem AntiVir gemacht, ich hab 
meinen USB-Stick angesteckt, und ein Remote-Überwachungsprogramm 
installieren wollen. Innerhalb weniger Augenblicke hat der AntiVir 
gepiepst wie wild, und mir angezeigt, soeben einen Trojaner gefunden zu 
haben....
Ich hatte bis jetzt zum Glück überhaupt kein Problem mit Virenzeugs 
usw....

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.