[blue-smiley]

jaja, ich weiß, norton ist scheiße, etc...
trotzdem habe ich ein problem auf das ich hier im forum noch keine antwort gefunden habe und es würde mich freuen wenn ihr euch eines norton user erbarmen könntet...

möchte ich das liveupdate starten erhalte ich die fehlermeldung:

Zitat

LU 1860: LiveUpdate hat eine potenzielle Sicherheitsgefährdung auf Ihrem Computer entdeckt: in Ihren Windows-Host-Dateien gibt es mindestens einen Eintrag für Symantec LiveUpdate-Server.

Ein bösartiger Eintrag in Ihren Host-Dateien könnte dafür sorgen, dass LiveUpdate keine Updates für Ihre Symantec-Produkte, einschließlich Antivirus-Updates, abrufen kann. Normalerweise sollten Ihre Windows-Host-Dateien keine Einträge für Symantec LiveUpdate-Server enthalten.

liveupdate hat folgende einträge in den windows-host-dateien gefunden

ip-adresse          host-name
127.0.0.1            liveupdate.symantecliveupdate.com
127.0.0.1            liveupdate.symantec.com
127.0.0.1            liveupdate.symantec.com

norton bietet mir zwar die möglichkeit an die einträge zu entfernen, beim nächsten systemstart sind sie aber wieder hergestellt.

- win xp prof, sp2
- norton internet security 2005
- mozilla firefox (schon ewig)
- bei neuistallation der nis keine veränderung
- hijackthis zeigt alles grün an (mit 2 ausnahmen die mir aber bekannt sind)

wie kann ich die windows-host-dateien dauerhaft löschen?
danke für eure hilfe
blue

[flo]

Lad dir mal Hijackthis runter


www.hijackthis.de

Erstelle ein LOG und poste das hier

[DK2000]

@blue-smiley:

Zitat

wie kann ich die windows-host-dateien dauerhaft löschen?

Löschen nicht, aber normalerweise sollte nur folgendes drin stehen:

127.0.0.1       localhost

Bleibt natürlich jetzt noch die Frage offen, wer oder was Deine Hosts Datei verändert hat und speziel diese Einträge reingeschrieben hat um das Liveupdate auszuschalten (Das Liveupdate hält mit den Einträgen Deinen Rechner für den Updateserver).

Zitat

norton bietet mir zwar die möglichkeit an die einträge zu entfernen, beim nächsten systemstart sind sie aber wieder hergestellt.

Bin gerade am Überlegen, ob man Filmon irgendwie in den Bootprozess einbinden kann um so zu protokollieren, wer auf die Datei zugreift. Müsste ich mal testen.

Dieser Beitrag wurde von DK2000 bearbeitet: 10. Januar 2005 - 22:59

[phillymarx]

Zitat (Flo01: 10.01.2005, 22:48)

Lad dir mal Hijackthis runter
www.hijackthis.de

Erstelle ein LOG und poste das hier
<{POST_SNAPBACK}>

Lesen is eine Zier, doch es geht auch ohne ihr!

[flo]

@phillymarx

Ja ich habe das gelesen, nur gibt ein LOG weiteren Aufschluß über die Installierten sachen, und Die Autoauswertung ist Zwar gut aber nicht fehlerfrei!

Außerdem ist ein trojaner im Umlauf der Genau so Heißt und genau da Gespeichert ist wie Die entsprechende norton datei

[EDragon]

Ich greife deinem Log mal vor und rate dir dein System neu Aufzusetzen. Danach denRechner vernünftig Einrichten und einen Benutzer verwenden. Der darf an der Hosts nämlich net Rumfummeln. Norton musst du selber wissen. Hat ja Offenbar bei dir nicht reagiert, bzw. erst LiveUpdate. Wie machen die das eigentlich? Während des LiveUpdates werden deine Dateien ausgelesen? Weißt du welche alles? Gibts 'ne Logger.exe im System?

[blue-smiley]

danke für die schnellen antworten (das geht ja fix hier)
hier das logfile

Zitat

Logfile of HijackThis v1.99.0
Scan saved at 23:08:37, on 10.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\End2End\End2End Light VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SETI@home\[email protected]
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\MODular SOftware\aBackup\aBackup.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\ACD Systems\ACDSee\ACDSee.exe
C:\DOKUME~1\tom\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\[email protected] -min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: End2End Light VPN Client.lnk = C:\Program Files\End2End\End2End Light VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105016505843
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedCon...n/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg...ntrol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25F47029-7543-4620-9A01-22FB0E20B91D}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{25F47029-7543-4620-9A01-22FB0E20B91D}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS2\Services\Tcpip\..\{25F47029-7543-4620-9A01-22FB0E20B91D}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\End2End\End2End Light VPN Client\cvpnd.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater -  VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

wie geschrieben: die auto-auswertung erkennt alles bis auf (mittlerweile) 4 einträge, die kenne jedoch ich.
trotzdem kann eine "menschliche" überprüfung ja nicht schaden

[EDragon]

Fehler im LiveUpdate? Spricht dann trotzdem gegen Norton.

[blue-smiley]

Zitat (EDragon: 10.01.2005, 23:08)

Ich greife deinem Log mal vor und rate dir dein System neu Aufzusetzen. Danach denRechner vernünftig Einrichten...

das ist das erste mal dass ich ein problem habe das ich nicht selbst lösen kann. ich halte mein system schon für sauber aufgesetzt und hoffe dass "platt machen" nicht die einzige lösung ist

Zitat

...und einen Benutzer verwenden. Der darf an der Hosts nämlich net Rumfummeln.

benutzer habe ich bereits jetzt schon eingerichtet, allerdings mit administrativen rechten (ich weiß nicht in wie weit dann dieser benutzer in den host.dateien schreiben könnte)

Zitat

Norton musst du selber wissen. Hat ja Offenbar bei dir nicht reagiert, bzw. erst LiveUpdate. Wie machen die das eigentlich? Während des LiveUpdates werden deine Dateien ausgelesen? Weißt du welche alles? Gibts 'ne Logger.exe im System?
<{POST_SNAPBACK}>

sorry, keine ahnung was du meinst. wann genau das problem entstanden ist kann ich nicht genau sagen. entweder kurz vor oder während des upgrades auf 2005. hatte vorher ähnliche symptome, norton 2003 hat allerdings nicht diese fehlermeldung angezeigt.

Dieser Beitrag wurde von blue-smiley bearbeitet: 10. Januar 2005 - 23:20

[flo]

Zitat

benutzer habe ich bereits jetzt schon eingerichtet, allerdings mit administrativen rechten (ich weiß nicht in wie weit dann dieser benutzer in den host.dateien schreiben könnte)

Alles was der Admin darf=fast alles(nur das system hat hohere rechte)

Also ich kann auch nix böses erkennen in dem LOG

Kannst dir ja mal E-Scan Runterladen und im Abgesicherten modus dein system scannen , vielleicht findet er ja was!

Must aber Scan all files and scan all local drives aktivieren

E-Scan

[Rika]

Vermutung: Host-Datei ist schreibgeschützt und/oder LiveUpdate ist unfähig
vermutliche Ursache für die Existenz dieses Eintrages in der hosts-Datei: Malware und mangelnde Bereitschaft zum Neuaufsetzen des Systems...

[Strider]

Das hab ich im Netz gefunden

Zitat

Hosts file entries prevent LiveUpdate from connecting
Some worms and Trojans, such as those in the Gaobot family, make changes to the Windows Hosts file. The following are typical entries:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com

All such entries should be removed.

Das könnte vielleicht helfen: http://service1.symantec.com/SUPPORT/share...2409200713?Open
(Letzer teil, fixing host file)

hmm hab den Thread wohl zu schnell überfolgen, dk2000 hat ja an sich das gleiche vorgeschlagen...
Aber es scheint wirklich so, als ob dein System befallen ist bzw wurde und nicht vollständig gereinigt werden kann.

Dieser Beitrag wurde von Strider bearbeitet: 10. Januar 2005 - 23:34

[blue-smiley]

Zitat (Rika: 10.01.2005, 23:26)

... vermutliche Ursache für die Existenz dieses Eintrages in der hosts-Datei: Malware und mangelnde Bereitschaft zum Neuaufsetzen des Systems...
<{POST_SNAPBACK}>

die mangelde bereitschaft rührt vor allem daran dass ich
1. vor 6 monaten das system erst aufgesetzt habe und
2. ich einfach nicht die zeit habe bei jedem problem gleich meine c-partition platt zu machen.
3. ich noch keine maleware, gefunden habe (und ich habe nicht mit norton danach gesucht!)


@strider:
bingo, genau das habe ich gesucht (und leider selbst bei symantec nicht gefunden).
die anleitung ist sehr gut, das problem ist behoben.

Danke für die Hilfe

natürlich würde mich schon interessieren wie die einträge in die host-dateien kommen, allerdings werden die dateien scheinbar nicht erneut beschrieben.

Dieser Beitrag wurde von blue-smiley bearbeitet: 10. Januar 2005 - 23:53

[Rika]

Zitat

2. ich einfach nicht die zeit habe bei jedem problem gleich meine c-partition platt zu machen.

Nicht bei jedem Problem, wohl aber dann wenn du deinem System nicht mehr trauen kannst - ob unmittelbar erkennbar oder nur vernünftigerweise vermutet!

Zitat

3. ich noch keine maleware, gefunden habe (und ich habe nicht mit norton danach gesucht!)

So? Dann erkläre mir mal wie dieser Eintrag in der hosts-Datei zustande kam...

[flo]

Zitat

2. ich einfach nicht die zeit habe bei jedem problem gleich meine c-partition platt zu machen.

Das stimmt schon dann kann man ja auch nix lernen!
bei maleware sieht das allerdings anders aus, aber das sollte jeder für sich entscheiden