[shocked]

Hallo zusammen!

Eins vorweg: Ich habe gerade ein neues System aufgesetzt, Windows XP ist ganz frisch. Mit SP 1 und allen seitdem erschienenen Fixes. Ich habe keine Programme installiert, kein Filesharing, den Internet Exploder/Outlook benutze ich auch nicht.

Jetzt ist mir aber aufgefallen, dass ein Dienst namens "wintsf.exe" (den ich auch nicht mit dem Sysmon beenden kann) nach dem Anmelden auf einmal wie verrückt alle möglichen Ports über epmap anschießt. Ich habe mich gleich an MSBlaster erinnert und mal das Removal-Tool von Symantec drüber laufen lassen. Nichts.

Aber komisch ist Folgendes: Als ich F-Prot starten wollte (DOS-Version, hat direkt nach der Installation einwandfrei geklappt), verweigerte es den Start (siehe Anhang).

Nach einer gewissen Zeit ist der ganze Spuk aber vorrüber und man findet über netstat keine Aktivität mehr.

Jetzt die Frage: Ist das eine normale Windows-Aktivität? Wenn ja, warum startet F-Prot auf einmal nicht mehr?

Danke schonmal für die Antworten, mit weiteren Infos rücke ich gerne raus.

Angehängte Miniaturbilder

• 

[shocked]

Ach ja: Eine PFW habe ich nicht, mein D-Link Router lässt aber keinen Inbound-Traffic zu.

Ich werde gleich mal einen Screenshot von diesen merkwürdigen Aktivitäten machen... Please hold the line...

[flo]

Zitat

Eins vorweg: Ich habe gerade ein neues System aufgesetzt, Windows XP ist ganz frisch. wink.gif Mit SP 1 und allen seitdem erschienenen Fixes. Ich habe keine Programme installiert, kein Filesharing, den Internet Exploder/Outlook benutze ich auch nicht.

schon mal dran gedacht den SP2 zu installieren?

Dieser Beitrag wurde von Flo01 bearbeitet: 30. März 2005 - 17:19

[Koopatrooper]

Zitat

Ich habe gerade ein neues System aufgesetzt, Windows XP ist ganz frisch. wink.gif Mit SP 1 und allen seitdem erschienenen Fixes.

Eins vorweg, bevor ich auf den deinen nächsten beitrag warte:

Ich lege dir aus Sicherheits- und Stabilitätsgründen dringend die Installation des SP2 an Herz.

[Graumagier]

Also Google findet zu "wintfs.exe" gar nichts und zu "wintfs" nichts, was mit Windows zu tun hätte. Bist du sicher, dass die Datei so heißt?

[immerreggen]

"wintsf"

http://www.google.de/search?hl=de&client=f...ta=lr%3Dlang_de

[shocked]

Hallo!

Danke für eure Antworten!

Ein Teil hat sich schon erledigt. Es war ein Wurm namens "RBot", der diesen Trubel verursacht hat.

Merkwürdig ist allerdings, dass ich nach wie vor F-Prot nicht mehr starten kann.

Habt ihr da vielleicht eine Idee zu?


P.S.: SP2 werde ich nicht installieren - 260MB Wind um Nichts, oder? Vor allem sollen derb viele Programme dann Probleme machen. Wenn das eine grob unsinnige Meinung ist: bitte schreien. War bis vor Kurzem treuer Windows 98SE-Nutzer. Brauche Windows XP halt zum Arbeiten. -.-

Dieser Beitrag wurde von shocked bearbeitet: 30. März 2005 - 17:00

[flo]

Zitat

SP2 werde ich nicht installieren - 260MB Wind um Nichts, oder? Vor allem sollen derb viele Programme dann Probleme machen. Wenn das eine grob unsinnige Meinung ist, bitte schreien.

*Schrei*

Der SP2 behebt viele Sicherheitslücken!

Und die programme die Probleme machen kann man Updaten!

Außerdem solltest du dir gedanken machen, wie dieser wurm auf den PC gekommen ist, ist das eine Orginal CD?

(Edit: ein Grund ist das Nichtinstallieren von SP2)

Dieser Beitrag wurde von Flo01 bearbeitet: 30. März 2005 - 17:02

[Koopatrooper]

Zitat

SP2 werde ich nicht installieren - 260MB Wind um Nichts, oder? Vor allem sollen derb viele Programme dann Probleme machen. Wenn das eine grob unsinnige Meinung ist, bitte schreien.

Das ist falsch! SP2 enthält sämtliche kummulative Patches, neue Sicherheitsmechanismen und erhöhte Stabilität.

Das so viele Programme Ärger machen, sind nur Gerüchte. Und die überflüssigen Sachen, wie Sicherheitscenter usw lassen sich einfach deaktivieren.

Du kannst auch eine kostenlose MS Cd anfordern, falls dir der Downoad zu groß ist.

[Graumagier]

Zitat

"wintsf"

Danke, ich habs in meinem Beitrag falsch geschrieben, aber richtig gesucht

[immerreggen]

( magier)

Zitat (Koopatrooper: 30.03.2005, 18:00)

.......Das so viele Programme Ärger machen, sind nur Gerüchte....
<{POST_SNAPBACK}>

Naja, das stimmt nicht so ganz. Microsoft hat selber eine Liste erstellt, wo drin steht, welche Programme "ärger" machen
http://support.microsoft.com/default.aspx?...ct=windowsxpsp2

Zitat (Koopatrooper: 30.03.2005, 18:00)

Das ist falsch! SP2 enthält sämtliche kummulative Patches, neue Sicherheitsmechanismen und erhöhte Stabilität.

!

lg

immerreggen

Dieser Beitrag wurde von immerreggen bearbeitet: 30. März 2005 - 17:12

[Graumagier]

Zitat

Naja, das stimmt nicht so ganz. Microsoft hat selber eine Liste erstellt, wo drin steht, welche Programme "ärger" machen

Nein, diese Programme können unter Umständen Probleme verursachen. Ich habe noch nie gehört, dass Virtual PC Probleme in Verbindung mit dem Service Pack 2 verursacht, und es scheint in der Liste auf.

Dieser Beitrag wurde von Graumagier bearbeitet: 30. März 2005 - 17:16

[Koopatrooper]

Zitat

Naja, das stimmt nicht so ganz. Microsoft hat selber eine Liste erstellt, wo drin steht, welche Programme "ärger" machen

Na komm, den Ball schön flach halten.

Der Großteil der Liste besteht aus Produkten von Norman, Norten und ZoneAlarm.

Viele übertreiben es einfach, angeblich sollen die meisten Programme nicht funktionieren, schau dir die Liste und die Beschreibungen genau an, und Hand aufs herz, diese Liste dürfte keinem versierten Anwender vor der Installation abschrecken.

Dieser Beitrag wurde von Koopatrooper bearbeitet: 30. März 2005 - 17:16

[MZottel]

und ausserdem gibt es zu ca. 95% der angeblich ärgermachenden programmen updates für xp mit sp2 von den herstellern, die diesen ärger abändern

[flo]

Zitat

W32/Rbot-YN ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-YN kann sich auf remote Netzwerkfreigaben verbreiten, die durch einfache Kennwörter geschützt sind, sowie auf Computer, die für häufige Schwachstellen anfällig sind. Der Wurm öffnet außerdem eine Backdoor, die unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist. Der Wurm nutzt folgende Schwachstellen aus: RPC-DCOM (MS04-012) und LSASS (MS04-011).

W32/Rbot-YN kann von einem remoten Eindringling angewiesen werden, Netzwerkfreigaben zu löschen, Tastenfolgen zu speichern, an DDoS-Attacken teilzunehmen, andere Computer nach Schwachstellen zu durchsuchen, Kennwörter zu stehlen, Registrierungsschlüssel für Computerspiele zu stehlen, Administratorkonten zu erstellen, Firewall- und Antivirenprozesse zu beenden, Videoaufnahmen von Webcams zu erstellen, die an den Computer angeschlossen sind.

Das ist die Erläuterung zu dem Wurm


Und wenn ich mich nicht täusche, behebt der SP2 diese beiden Lücken

RPC-DCOM (MS04-012) und LSASS (MS04-011).