XP SP2 Firewall startet nicht mehr automatisch

Dieses Thema XP SP2 Firewall startet nicht mehr automatisch im Forum "Firewalls & Virenscanner" wurde erstellt von fmeyer, 30. Jan. 2005.

Thema: XP SP2 Firewall startet nicht mehr automatisch Hallo - ein befremdliches Problem für mich: der Win SP2 Firewall lief 2 Monate normal. Jetzt kann ich ihn nur noch...

  1. Hallo - ein befremdliches Problem für mich: der Win SP2 Firewall lief 2 Monate normal.
    Jetzt kann ich ihn nur noch manuell starten.
    Beim Neustart ist er trotz Diensteinstellung automatisch immer nicht gestartet.

    Vorausgegangen war ein Absturz während meiner Abwesenheit bei laufender DSL-Internet-Verbindung (automatische Rechnerabschaltung).

    Beim nächsten Neustart und Festplattentest lief alles wieder- nur der Firewall starte nicht automatisch. Manuell kann ich ihn nachstarten, trotz Aktivierung im Sicherheitscenter und eingestellte Startart automatisch des Dienstes Windows-Firewall/Gemeinsame Nutzung der Internetverbindung interessiert mein Windows offenbar nicht mehr.

    Wo sollte ich anfangen zu suchen?
    Helfen Logdateien? (wenn ja, welche?)
    Könnte ein Hackerprogramm den/die Firewall beeinflussen?
    Kann ich in der Registry etwas nachsehen/einstellen?
     
  2. Sagt wer oder was? Was sagt denn ein netsh firewall show state in der Eingabeaufforderung eingegeben?
    Gibt's irgend welche Einträge in der Ereignisanzeige?

    Bye,
    Freudi
     
  3. Danke für die schnelle Antwort :)

    Beim Neustart des Rechners habe ich diese Ausgabe:

    c:\>netsh firewall show state
    Der Dienst wurde nicht gestartet.
    :p
    Das Sicherheitscenter in der Startleiste im Systemmenü rechts meldet sofort Der Computer ist eventuell gefährdet...
    Ich öffne ich es und - Firewall wird INAKTIV angezeigt.
    Also Klicke ich auf Empfehlungen und Aktivieren, was auch erfolgreich durchgeführt wird.
    ???
    Dann sagt

    c:\>netsh firewall show state

    Firewallstatus:
    -------------------------------------------------------------------
    Profil = Standard
    Betriebsmodus = Aktiv
    Ausnahmemodus = Aktiv
    Multicast-/Broadcastantwortmodus = Aktiv
    Benachrichtigungsmodus = Aktiv
    Gruppenrichtlinienversion = Kein(e)
    Remoteverwaltungsmodus = Inaktiv

    Ports, die momentan auf allen Netzwerkschnittstellen offen sind:
    Port Protokoll Version Programm
    -------------------------------------------------------------------
    137 UDP IPv4 (null)
    139 TCP IPv4 (null)
    138 UDP IPv4 (null)
    445 TCP IPv4 (null)

    Alternativ kann ich den Dienst auch über die Dienste (services.msc) manuell starten oder beenden und bekomme dann die gleichen Meldungen.
    Dort ist aber Startart automatisch eingestellt, also sollte der Dienst m. E. auch automatisch starten.
    :eek:
    Wenn ich ins Internet gehe, dauert es nicht lange und plötzlich ist ohne mein Zutun die Firewall INAKTIV. Ich musss sie wieder manuell starten.
    :'(
    Die Ereignisanzeige kann ich leider mangels Wissen nicht gut interpretieren: :(
    Mich machen folgende Meldungen stutzig:

    Ereignisanzeige / Anwendung:
    ----------------------------
    31.01.2005 12:58:09 Dhcp Warnung Keine 1007 Nicht zutreffend TARGA Die Beschreibung der Ereigniskennung ( 1007 ) in ( Dhcp ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: 02E018754BBC; 169.254.31.83.

    Ereignisanzeige / Sicherheit:
    -----------------------------
    31.01.2005 12:57:07 Security Fehlerüberw. Richtlinienänderung 615 NT-AUTORITÄT\NETZWERKDIENST TARGA IPSec-Dienst: Die IPSec-Dienste konnten die vollständige Liste der Netzwerkschnittstellen auf diesem Computer nicht ermitteln. Dies kann die Sicherheit des Computers stark beeinträchtigen, da die Schutzfunktionen des IPSec-Filters auf einigen Netzwerkschnittstellen nicht angewendet werden können. Führen Sie das IP-Sicherheitsmonitor-Snap-In aus, um weitere Fehlerinformationen anzuzeigen.


    31.01.2005 12:57:07 Security Erfolgsüberw. Systemereignis 515 NT-AUTORITÄT\SYSTEM TARGA Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert. Diesem Anmeldevorgang wird vertraut, Anmeldeversuche einzureichen.

    Name des Anmeldevorgangs: Secondary Logon Service
    :-\ 31.01.2005 12:57:06 Security Erfolgsüberw. An-/Abmeldung 540 NT-AUTORITÄT\ANONYMOUS-ANMELDUNG TARGA Erfolgreiche Netzwerkanmeldung:
    Benutzername:
    Domäne:
    Anmeldekennung: (0x0,0x115CA)
    Anmeldetyp: 3
    Anmeldevorgang: NtLmSsp
    Authentifizierungspaket: NTLM
    Arbeitsstationsname:
    Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

    Ereignisanzeige / System:
    -------------------------
    Sieht alles normal aus - habe nur 10 Einträge mit solchem Text:
    2 Mal: 31.01.2005 12:57:10 avgntdd Informationen Keine 17 Nicht zutreffend TARGA \Device\avgntdd: Filename cache cleared by client!.
    1 Mal: 31.01.2005 12:57:06 Tcpip Informationen Keine 4201 Nicht zutreffend TARGA Netzwerkadapter MAC-Brückenminiport - Paketplaner-Miniport wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.
    8 Mal: 31.01.2005 12:56:56 Application Popup Informationen Keine 26 Nicht zutreffend TARGA Anwendungspopup: : Machine Check: Regs
     
  4. Ich, Dr. Unwissend, vermute tatsächlich, dass irgend ein Hack meinen ANONYMOUS Benutzer manipuliert hat und der von hier aus jetzt meine Sicherheit immer wieder automatisch manipuliert. Kann natürlich auch Blödsinn sein ... :-\

    Die in der obigen Fehlermeldung aus Ereignisanzeige/Sicherheit, IP-Sicherheitsmonitor-Snap-In habe ich mal in der Management-Konsole MMC hinzugefügt - kann aber noch nichts damit anfangen.
     
  5. Eine vernünftige Firewall kann man nicht installieren, denn sie ist ein Sicherheitskonzept und keine Anwendung. Personal Firewall Software bzw. deren Nutzen ist umstritten. Die Windows XP-Firewall, welche eigentlich nur ein Paketfilter ist, reicht vollkommen aus. Was bei fmeyer schief läuft, schau ich mir später nochmal an, wenn ich vor (m)einem SP2-Rechner sitze.

    Bye,
    Freudi
     
  6. Hm, ist eventuell unter Dienste in msconfig (unter Ausführen im Startmenü eingeben) der Dienst bzw. dessen Start deaktiviert?

    Grmpf, es besteht nur eine einzige Netzwerkverbindung oder sind da mehere eingrichtet? Sollten in der Verbdindung/den Verbindungen sogenannte Netzwerkbrücken eingerichtet sein, lös' diese bitte testweise, in dem Du die Netzwerkbrücke entfernst (in den Eigenschaften der Verbindung(en).
    Welche Ausnahmen sind in der Windows-Firewall eingerichtet?
    Dass ein olles netsh winsock reset unter Ausführen im Startmenü oder der Eingabeaufforderung eingegeben hilft, bezweifle ich eigentlich.
    Was sagt ein mit aktuellen Signaturen ausgestatteter Virenscanner?
    Welche Programme laufen da noch so im Hintergrund? Ein HijackThis-Log könnte dazu ein bisserl Aufschluss bieten.

    Bye,
    Freudi
     
  7. Start>Ausführen und cmd eingeben, mit Enter bestätigen. Dann gibst du folgenden Befehl ein:

    netsh winsock reset

    Mit Enter bestätigen.
    Starte den Rechner neu.

    Damit sollte dein Problem auch behoben sein. Es hat mit der Installation von SP2 zu tun.
     
  8. Erstmal vielen Dank für Ihre/eure Antworten - auch wenn sie nicht geholfen haben, lerne ich etwas dabei.

    Es ist vermutlich der Trojaner Proxy-Agent.d gewesen, den AntiVir sogar heute noch nicht findet. Aber die McAffee Online-Virensuche fand ihn. Ich habe virus@free-av.de auf deren Scanner-Lücke aufmerksam gemacht. Hier sind die Infos zum Trojaner, der erst seit 19.01.2005 bekannt ist:

    http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=131176

    Zuerst entdeckt hat ihn bei mir aber der Security Task Manager
    http://www.neuber.com (leider nur 30-Tage-Testversion)

    Freudi hat mich mit seinem Tip zum HiJack-Log auf die richtige Spur gebracht. Da war ein zweifelhafter Prozess:

    O4 - HKLM\..\Run: [swhost] C:\WINDOWS\system32\swhost.exe

    Vielleicht habe ich jetzt kein Problem mehr. Werde nochmal abwarten.

    Danke für den Link - erstmal bleibe ich beim XP-SP2 Firewall, habe als Dr. Unwissend Angst vor Wechselwirkungen und zuviel Lern-Zeitbedarf.

    Danke, das hat nicht geholfen, aber ich habe netsh winsock kennengelernt. Die Firewall wurde nach wie vor ab und zu beendet - auch ohne DSL-Verbindung.

    Nein, alles aktiviert. Ich glaube, der Trojaner oder ein Hacker hat meine Firewall irgendwie manipuliert. Da ich auch Gast- und ANONYMOUS-Anmeldungen  im Ereignisprotokoll/Sicherheit fand, obwohl mein Gast-Konto deaktiviert ist. Habe den Trojaner hoffentlich entfernt (Speicher mit Securitiy Task Manager und Dateien manuell gelöscht, sowie

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]
    swhost=C:\\WINDOWS\\system32\\swhost.exe

    gelöscht.)

    Jein, nur ein Rechner mit DSL-Verbindung und Netzwerkbrücke zur Realtek-Netzwerkkarte - habe nur noch Bluetooth und 1394-Firewire Verbindungen, beide aber zurzeit deaktiviert.
    Das lösen der Netzwerkbrücken verhinderte den Internet-Zugang aber XP-SP2 Firewall verabschiedete sich sogar ohne Internetverbindung.

    Windows-Firewall:
    1. Datei- und Druckerfreigabe
    2. Remoteunterstützung
    3. Windows Explorer
    Brauche ich das nicht?

    Netzwerkverbindung zum DSL-Provider (Erweiterte Einstellungen):
    -- keine Ausnahmen --

    Wie gesagt FreeAV fand sogar heute noch nichts. McAfee und Security Task Manager haben's gemerkt.

    Das war hoffentlich der richtige Tip. Zumindest habe ich den Trojaner gefunden. Mal abwarten - seit 2 Stunden keine Verabschiedung des Firewalls mehr. Das ist schon relativ lange.

    Danke für den Tip - HiJack hatte ich ohne eigene Erinnerung im Oktober schonmal kurz benutzt aber wohl auch nicht kapiert. Alte HiJack Logs beweisen mir das.

    Nun habe ich aber noch einige Fragen - vielleicht sollte ich damit ein neues Thema eröffnen bzw. erstmal woanders nachlesen:

    Meine Fragen gehen jetzt in Richtung MS-DOS Befehle (Befehlszeilenreferenz kenne ich):
    Woher weiß ich, welches Programm welche(n) Prozess(e) startet (oder sogar auch: stoppt)?
    (Der Befehl query process hilft etwas. Textausgaben in eine Datei umlenken kann ich auch.)
    (Aber welche Pfade sollte ich aktivieren, damit die Konsol-Befehle nicht nur im akt. Verzeichnis der Befehle funktionieren? Teilweise finde ich die MS-DOS Befehle in verschiedenen Verzeichnissen - welche sind relevant?)

    Und wie kriege ich eine Protokolldatei über gestartetete und gestoppte Prozesse konfiguriert?
    (MMC Leistungsprotokolle und Warnungen/Protokolle der Ablaufverfolgung scheint das irgendwie anzubieten, aber wie muss ich Anbieter/Anbieterstatus verstehen? Warum kann meine Ereignisanzeige diese Protokolle nicht anzeigen - oder wie kriege ich sie angezeigt?)
    Unter Linux ist das einfach, aber unter Windows weiß ich nicht, was ich machen soll.
    Weiß jemand eine gute Webseite, in der ich solche internen Dinge nachlesen und -lernen kann?

    So kann ich vielleicht besser herausfinden, wer die Firewall stoppt, ob es ein Absturz ist oder welcher Prozess das macht.
    (C:\WINDOWS\pfirewall.log gibt leider keine Infos über Start und Stop aus)

    Danke nochmal an Sie/euch alle. Morgen abend werde ich dieses Thema wohl als erledigt abhaken können.
     
Die Seite wird geladen...

XP SP2 Firewall startet nicht mehr automatisch - Ähnliche Themen

Forum Datum
Windows Firewall startet nicht Firewalls & Virenscanner 20. Jan. 2011
Firewall startet nicht; winXPProfSp2 Windows XP Forum 25. Jan. 2006
Firewall startet nach Installation von SP2 nicht mehr Windows XP Forum 10. Mai 2005
win- firewall startet nicht Firewalls & Virenscanner 23. März 2005
Maus Lag und Firewall und AV startet nicht mehr Sonstiges rund ums Internet 28. Dez. 2003