Firewall und main.exe

Internet Internet Sicherheit
#1

Hallo miteinander,
habe seit einigen Tagen massive Probleme mit meinem PC. Eines von diesen, das ich zumindest ordentlich erklären bzw. erfragen kann, ist folgendes: meine firewall (McAfee Personal Firewall Plus) meldet, nachdem windows komplett gestartet ist, dass eine Anwendung, und zwar main3.exe (Pfad: winnt\system32\main3.exe), Zugriff auf das Internet anfordert.

Wenn ich „Zugriff gewähre“, erscheint trotzdem pausenlos die gleiche Anfrage. Wenn ich gesamten Zugriff blockiere, wird ebenso wieder angefragt.

Habt Ihr einen Tipp für mich, was das soll, was ich tun kann/soll usw.

Danke und Gruß
Irene

#2

Hallo,

Habt Ihr einen Tipp für mich, was das soll, was ich tun
kann/soll usw.

Also: da ist ein Programm von dem du keine Ahnung hast was es macht (main3.exe) Trotzdem gewaehrst du den Zugriff aufs Internet, weil dich die „Fehlermeldung“ deine PFW nervt, oder?

Damit ist die „Firewall“ noch nutzloser geworden als sie ohnehin schon ist.

Ergo: deinstallieren der „Firewall“

Ciao! Bjoern

#3

Guten Tag

In diesem Brett „IT-Sicherheit“ hat es FAQ („häufig gestellte Fragen“).

Darin findest Du sowohl allgemeine Informationen über Firewalls
FAQ 140
http://www.wer-weiss-was.de/cgi-bin/faqs/faqlist.fpl…
FAQ 144
http://www.wer-weiss-was.de/cgi-bin/faqs/faqlist.fpl…

wie auch Tipps wie Du solche Programme und Prozesse identifizieren kannst.
FAQ 1322
http://www.wer-weiss-was.de/cgi-bin/faqs/faqlist.fpl…

Ganz allgemein: Eine Firewall muss „trainiert“ werden. D.h. nach der Installation der Firewall und auch nach jedem weiteren installierten Programm muss überprüft werden, welche NW-Verbindungen erforderlich sind. Der Firewall wird dann entsprechend konfiguriert, diese zu zulassen oder eben nicht.

Microsoft hat darüber einige leicht verständliche Artikel geschrieben:
FAQ:
http://www.microsoft.com/germany/athome/security/pro…

technische Hintergrund Informationen:
http://support.microsoft.com/kb/321050/de

Generell solltest bei Fragen oder Unklarheiten mit einem Software Produkt, die Website der Firma aufsuchen. Dort werden oft verschiedene
Supportangebote wie Newsgroups oder FAQ für legal erworbene Software angeboten.

Grüsse
JTKirk

* * * * * * * * * * * * * * * * * * * * * * * * * * * *
Was weiss ich eigentlich?
Michel de Montaigne (1533 - 1592)
* * * * * * * * * * * * * * * * * * * * * * * * * * * *

#4

Hallo Irene

meine firewall (McAfee Personal
Firewall Plus) meldet, nachdem windows komplett gestartet ist,
dass eine Anwendung, und zwar main3.exe (Pfad:
winnt\system32\main3.exe), Zugriff auf das Internet anfordert.

Wenn ich „Zugriff gewähre“, erscheint trotzdem pausenlos die
gleiche Anfrage. Wenn ich gesamten Zugriff blockiere, wird
ebenso wieder angefragt.

Ich verstehe nicht, wieso man eine teuere und hochkomplizierte PFW benötigt, um festtzustellen, das da was ständig ins Internet mit seinem Herren telefoniert. TCPView, ProcessExplorer und Autoruns von http://www.sysinternals.com/Utilities.html schaffen das gleiche, sind wesentlich kleiner, präziser und völlig kostenlos.

Wenn du nicht weißt, wie main3.exe in dein …\system32… gekommen ist und welche Funktion es dort erfüllen soll, (Google sagt dazu so gut wie nichts) dann würde ich von einer ernsthaften Infektion ausgehen. Um sicher zu gehen, lasse doch mal diese Datei von http://virusscan.jotti.org/de/ untersuchen. Bestätigt sich der Verdacht, hat nur http://faq.jors.net/virus.html die einzige vernünftige Lösung.

der hinterwäldler

#5

Hallo,

Habt Ihr einen Tipp für mich, was das soll, was ich tun
kann/soll usw.

Also: da ist ein Programm von dem du keine Ahnung hast was es
macht (main3.exe) Trotzdem gewaehrst du den Zugriff aufs
Internet, weil dich die „Fehlermeldung“ deine PFW nervt, oder?

Damit ist die „Firewall“ noch nutzloser geworden als sie
ohnehin schon ist.

Ergo: deinstallieren der „Firewall“

Das stimmt nicht ganz. Immerhin blockiert die FW noch zugriffe von außen und bietet damit immer noch ein hohes Maß an Schutz.

Sinvoller ist es herauszufinden woher die Datei main3.exe kommt.
Da von mehreren Massiven Problemen die Rede war, würde ich mal auf einen/mehrere Virus/Würmer/Trojaner/… tippen.
Und dann ist eine Säuberungaktion angesagt, am besten mit Hilfe einer erfahrenen Person.

Gruß Ben

#6

Hallo Hinterwäldler,

Ich verstehe nicht, wieso man eine teuere und hochkomplizierte
PFW

hochkompliziert ist sie wahrscheinlich nicht, weil ich ganz gut mit ihr zurecht komme und so teuer eigentlich auch nicht. wenn man sich nicht wirklich gut auskennt, so ist es ganz gut, sich was zu kaufen, wo man updates und support erhält, sie jederzeit wieder installieren kann usw. und das ganze im paket mit mindestens täglich upgedatetem virus scan.

benötigt, um festtzustellen, das da was ständig ins

Internet mit seinem Herren telefoniert. TCPView,
ProcessExplorer und Autoruns von
http://www.sysinternals.com/Utilities.html schaffen das
gleiche, sind wesentlich kleiner, präziser und völlig
kostenlos.

Wenn du nicht weißt, wie main3.exe in dein …\system32…
gekommen ist und welche Funktion es dort erfüllen soll,
(Google sagt dazu so gut wie nichts) dann würde ich von einer
ernsthaften Infektion ausgehen. Um sicher zu gehen, lasse doch
mal diese Datei von http://virusscan.jotti.org/de/
untersuchen. Bestätigt sich der Verdacht, hat nur
http://faq.jors.net/virus.html die einzige vernünftige Lösung.

Virus scan läuft schon beinahe ständig. Registry Repair auch.
Nix hilft.

Trotzdem danke für deine Antwort.
Gruß
Irene

#7

Danke für die links, ein bloßes Drüberlesen reicht nicht, werde mich mehr damit beschäftigen und hoffe, es hilft.
Gruß
Irene

#8

Hallo,
dein Tipp war der beste.Dank auch schön.
Der zweitbeste war, den Computer beim Fenster raus zu werfen, mir ein Lexikon zu kaufen, Briefe zu schreiben oder mir einen Stall Brieftauben anzuschaffen. :smile:

Gruß
Irene

#9

Hallo Ben,

Das stimmt nicht ganz. Immerhin blockiert die FW noch zugriffe
von außen und bietet damit immer noch ein hohes Maß an Schutz.

Sinvoller ist es herauszufinden woher die Datei main3.exe
kommt.
Da von mehreren Massiven Problemen die Rede war, würde ich mal
auf einen/mehrere Virus/Würmer/Trojaner/… tippen.
Und dann ist eine Säuberungaktion angesagt, am besten mit
Hilfe einer erfahrenen Person.

Also - es ist mir wirklich nicht gelungen, herauszufinden, woher die Datei kommt. Man findet sie nicht einmal im Explorer, sprich Suche nach Dateien, nicht einmal beim händischen Durchgehen des system32. Sie existiert de facto gar nicht. Nicht einmal durch Einblenden von versteckten Dateien usw.
Säuberungsaktion: virus scan (up to date) findet regelmäßig sog. „unerwünschte Programme“, die gelöscht werden, aber nach dem nächsten Start wieder da sind. Virus Scan meldet auch schon beim Hochfahren ab und zu (nicht immer), dass ein suspektes Programm gefunden wird und ich doch scannen sollte…Ringelspiel von vorne.
Registry Scan findet auch alle möglichen invalid paths, die repariert werden.
Auch Windows updates mit Sicherheitspatches haben nicht geholfen.

Ich kann nur noch einen Kübel Wasser reinschütten und hoffen, das ist dann Säuberung genug :wink:
Gruß
Irene

Gruß Ben

#10

Zusatz

Da von mehreren Massiven Problemen die Rede war, würde ich mal

auf einen/mehrere Virus/Würmer/Trojaner/… tippen.

Lt. Virusprogramm war da nix.
Irene

#11

Hallo

Also - es ist mir wirklich nicht gelungen, herauszufinden,
woher die Datei kommt. Man findet sie nicht einmal im
Explorer, sprich Suche nach Dateien, nicht einmal beim
händischen Durchgehen des system32. Sie existiert de facto gar
nicht.

Klingt schon fast nach einem Rootkit, wobei die modernen Viren ja so etwas zum Teil sogar selber mitbringen. In solch einem Falle hilft dann nur noch eine Neuinstallation…

Säuberungsaktion: virus scan (up to date) findet regelmäßig
sog. „unerwünschte Programme“, die gelöscht werden, aber nach
dem nächsten Start wieder da sind. Virus Scan meldet auch
schon beim Hochfahren ab und zu (nicht immer), dass ein
suspektes Programm gefunden wird und ich doch scannen
sollte…Ringelspiel von vorne.

Die Viren und Schadprogramme sind heute ziemlich clever. Es ist teilweise für den Laien nicht mehr möglich die zu beseitigen. Insbesondere wenn man noch nicht mal einen Namen des Schadprogrammes hat, nach dem man dann mal suchen/fragen kann.
Wenn ich versuche bei Bekannten die Viren zu beseitigen umfasst das meistens folgende Schritte:

  • booten im abgesicherten Modues
  • killen allen nicht lebennotwendigen Prozesse
  • Virenscan
  • löschen von allem was mir im Autostart suspekt vorkommt (besser mehr als weniger)
  • Löschen aller suspekten Einträge in der Registry HKLM/HKCU->Software->Microsoft->Windows->Current Version->Run* (Run Services, Run Once, und was sonst noch so aufällt) wieder: besser zu viel als zu wenig (der Pfad ist aus dem Kopf rekonstruiert, kann also durchaus etwas abweichen…)
  • Virenscan
  • Netzstecker ziehen (ist etwas extrem, vermeidet aber das möglicherweise noch laufende Schadprogramme sich beim Runterfahren wieder in die Registry zurückschreiben

Ich kann nur noch einen Kübel Wasser reinschütten und hoffen,
das ist dann Säuberung genug :wink:

Wie gesagt, manchmal hilft halt nur 'ne Neuinstallation (am besten gleich von einem Betriebssystem: Linux :wink:

Viel Glück

Ben

1 Like
#12

Hallo Irene

Dann vergleiche doch selbst mal, was du geschrieben hast

Ich verstehe nicht, wieso man eine teuere und hochkomplizierte
PFW

hochkompliziert ist sie wahrscheinlich nicht, weil ich ganz
gut mit ihr zurecht komme

Ehrlich? Wie kommt dann eine Malware in dein System und das in aktiver Anwesenheit eines Programmes, welches dies eigentlich verhindern sollte. Das ist ein Garantiefall. Lese im Kleingedruckten der Software den Abschnitt über Gewährleistung im Schadensfall!

wenn man sich nicht wirklich gut auskennt, so ist es ganz gut,
sich was zu kaufen, wo man updates und support erhält, sie
jederzeit wieder installieren kann usw. und das ganze im paket
mit mindestens täglich upgedatetem virus scan.

Du erhältst Support? Warum fragst du nicht diesen sondern hier?
Du bezahlst etwas, was funktionsunfähig ist! Warum bist du überzeugt, das eine Software besser sein muß, als die Denkleistung deines Gehirns? Ist das Lesen von http://www.dingens.org/ echt komplizierter als die Installation und Konfiguration einer mehrere dutzend MByte großer Software.

benötigt, um festtzustellen, das da was ständig ins

Internet mit seinem Herren telefoniert. TCPView,
ProcessExplorer und Autoruns von
http://www.sysinternals.com/Utilities.html schaffen das
gleiche, sind wesentlich kleiner, präziser und völlig
kostenlos.

Genau damit kann Otto Normalo sehr gut feststellen, ob sich unerwünschte und von ihm nicht installierte Prozesse in seinem System befinden. Es gibt noch andere Software dafür, aber diese sind nun mal der Standard. Wenn deine Software nun sowas installiert hat: http://www.netzwelt.de/news/70253_1-trojaner-paedoph… ?

[…]
http://faq.jors.net/virus.html die einzige vernünftige Lösung.

Virus scan läuft schon beinahe ständig. Registry Repair auch.
Nix hilft.

Bei letzterer Adresse sollst du nichts downloaden sondern nur etwas lesen und daraus lernen. Ich sag es nicht gerne: Dies wirst du so lange und so oft wiederholen, bis du begriffen hast, das dein Sicherheitskonzept nichts taugt und du dich nach einem neuen umsiehst. Dann kannst du dich an diese Adresse erinnern: http://www.hinterwaeldlers-home.de/NewsGroups/Sicher… Vom Lesen einer Anleitung hat sich noch niemand infiziert, aber schon sehr oft nach falschen Ratschlägen.

der hinterwäldler

#13

Hallo Ben

Ergo: deinstallieren der „Firewall“

Das stimmt nicht ganz. Immerhin blockiert die FW noch zugriffe
von außen und bietet damit immer noch ein hohes Maß an Schutz.

Gibst du mir einen Link in dem ich nachlesen kann, das dies auch wirklich wenigstens einmal und von jedem glaubhaft nachvollziehbar geschehen ist.
Wie, das was du schreibst, in der Praxis aussieht kannst du hier in diesem Thread nachlesen: http://www.exelbonsai.de/Forum/thread.php?threadid=4… Zu welchen Leistungen PFWs in der Lage sind, wurde hier unabhängig getestet: http://www.dingens.org/pf-bericht/bericht.html Falls du etwas Zeit hast, kannst du dir das 1 1/2 h Movie zu diesem Test ansehen: http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Fire… Ist zwar schon uralt, aber du hast es offensichtlich noch nicht gesehen.

der hinterwäldler

#14

Hallo Ben,
obwohl viele andere hier mir wahrlich und wahrhaftig ebenso helfen wollen, verstehe ich deine Sprache am besten.
Vielen Dank, auch wenn es jetzt ein wenig beschränkt von meiner Seite her klingt, aber mit dem, was du geschrieben hast, kann ich leben. Das passt in mein schmales IT Weltbild.
Der Gedanke, dass da was läuft und das mir das einfach passiert und ich eingestehen muss, ich komme damit trotz aller Bemühungen nicht klar, ist Realität und ich habe mich dagegen noch nie gewehrt.
Ich bin sozusagen am Ende mit meinen bescheidenen Bemühungen und das muss ich akzeptieren.
Liebe Grüße
Irene

#15

Hallo Hinterwäldler,
natürlich hast du Recht, keine Frage. Wie ich in der Antwort an Ben schon ausgeführt habe, muss ich nun dennoch passen.
Danke, du hast mir vermittelt wo meine Grenzen sind.
Liebe Grüße
Irene

#16

Du erhältst Support? Warum fragst du nicht diesen sondern
hier?

Weil Ihr mir symathischer seid!

http://www.dingens.org/

Gelesen und verstanden und ausprobiert.

http://www.netzwelt.de/news/70253_1-trojaner-paedoph…

Schrecklicher Gedanke!

Bei letzterer Adresse sollst du nichts downloaden sondern nur
etwas lesen und daraus lernen. Ich sag es nicht gerne: Dies
wirst du so lange und so oft wiederholen, bis du begriffen
hast, das dein Sicherheitskonzept nichts taugt und du dich
nach einem neuen umsiehst. Dann kannst du dich an diese
Adresse erinnern:
http://www.hinterwaeldlers-home.de/NewsGroups/Sicher…
Vom Lesen einer Anleitung hat sich noch niemand infiziert,
aber schon sehr oft nach falschen Ratschlägen.

Schon gespeichert.
Übrigens: ich weiß nicht, woran es liegt, aber jetzt ist seit gut 10 Minuten diese komische Meldung nicht mehr gekommen. :smile:
Irene

#17

Hallo Irene,

ich habe Eure Diskussion erst heute mitbekommen. Mich würde interessieren, welche Maßnahmen Du jetzt eigentlich anstrebst.

Ben hat eigentlich schon recht mit der Neuinstallation, aber interessant wäre schon mal zu wissen, welche Malware auf Deinem Rechner werkelt, um das Einfallstor überhaupt identifizieren und für die Zukunft stopfen zu können. Ansonsten kann Dir das gleiche ruck zuck wieder passieren.
Ich würde entgegen der anderen Meinung nicht im abgesicherten Modus scannen sondern mit einer BartPE oder Knoppicilin Boot-CD arbeiten. Dann läuft garantiert keine Malware und kann sich vor den diversen Scannern verstecken.
Hier findest Du einen Download für das Erstellen einer BartPE-CD: http://www.heise.de/ct/ftp/projekte/pebuilder/

Zum Abschluß noch eine Anmerkung. Ohne Deine PFW hättest Du niemals gemerkt, daß irgendwas auf Deinem PC nicht stimmt. Also kann eine PFW nicht ganz so schlecht sein wie viele gerne predigen. Nach einer Neuinstallation musst Du Deinen Rechner erst ausreichend schützen, bevor Du ins Internet gehst, sonst sind die nächsten Probleme vorprogrammiert. Also ausreichend schützen heisst evtl. einen Router mit Firewall, eine PFW und/oder Dingens.org verwenden und alle wichtigen Sicherheitspatches und Service Packs aufspielen. Du findest hier http://www.heise.de/ct/ftp/projekte/offlineupdate/ ein Tool, um eine Update-CD mit den wichtigsten Patches zu erstellen, die Du Offline vor dem ersten Internet-Kontakt aufspielen kannst.

Gruss
A.J.

#18

Hallo A.J.!

ich habe Eure Diskussion erst heute mitbekommen. Mich würde
interessieren, welche Maßnahmen Du jetzt eigentlich anstrebst.

Es gibt leider keine Aufklärung in diesem Fall, d.h. keine Auflösung des Rätsels aber eine sehr einfache, rasche Problemlösung gab es.
Vorher aber noch meine Maßnahmen: Ich habe die von Hinterwäldler empfohlenen Seiten besucht und dieses Programm genommen, das die Dienste ausschaltet, jedoch - und das ist mein Problem - ohne wirklich zu wissen, was das bedeutet und ob ich den einen oder anderen Dienst nicht doch benötigt hätte.
Weiters habe ich alle Anwendungen, die zuvor (vor dem Problem) nicht auf meinem Rechner waren, deinstalliert.

Eine session lang kam dieses „main3.exe verlangt Zugriff auf das Internet“ nicht mehr und ich frohlockte schon, aber kurz darauf war mein alter Freund wieder da.
Dann machte ich mich an die Neuinstallation und die missglückte. Bei jedem Start kam nur mehr blue-screen mit irgeneiner Meldung, dass irgendwas beschädigt ist (kernel***). Dann kam meine Tochter und meinte, es ginge nicht an, dass ich die einzige in der Familie bin, die einen mit allem alten Klump, das keiner mehr will und braucht, zusammengebastelten Computer habe. Daraufhin marschierten wir heute los und ich kaufte mir einen neuen mit genau der Mindestausstattung, die ich für meine Zwecke brauche und damit ist das Thema gegessen.

Es tut mir nur leid, dass ich nie mehr draufkommen werde, was dieses main3.exe ist.

Für die Zukunft sollte ich jetzt aber vorsorgen, und wie ich das mache, muss ich mir jetzt halt zusammensuchen aus Deinen/Euren Hinweisen und Hilfen.

Grüße von
Irene, die jetzt sehr glücklich vor ihrem neuen PC sitzt, wo endlich einmal alles klaglos und vor allem schnell funktioniert