Seite 1 von 1
Verfasst: 24.09.2008, 21:43
von mirko
Hi,
Anscheinend Gewehr bei Fuß stand dahinter \"w0svc.exe\".
Natürlich nur mit dem Dienst kann man in andere System-Dienste sich einklinken also eine Injection machen. Gerade wenn der angemeldete Windows-Nutzer kein Admin ist, dann gibt es keine andere Möglichkeit.
Das kann ich auch locker alles ignorieren und w0svc.exe einen Freifahrtschein ausstellen?
Frage aus Interesse: Wonach sucht sich das Programm denn seine Zielanwendungen aus? Es sind zwar viele, aber nicht alle auf meinem System installierten.
Das sind alles Prozesse, die Funktionen für den Verbindungsaufbau nutzen, d.h. Verweise darauf enthalten. Der Prozess selbst muss das nicht mal tun, es reicht wenn der Prozess eine Windows-DLL verwendet, die solche Funktionen aufruft.
Verfasst: 24.09.2008, 21:27
von Morris
Hallo Mirko,
vielen Dank für Deine Entwarnung, ich habe warn900.exe jetzt eine Ausnahmegenehmigung erteilt.
Anscheinend Gewehr bei Fuß stand dahinter \"w0svc.exe\".
Dieses Programm versucht \"Injektionen\" in zahlreiche Anwendungen (s.u.)...
Das kann ich auch locker alles ignorieren und w0svc.exe einen Freifahrtschein ausstellen?
Frage aus Interesse: Wonach sucht sich das Programm denn seine Zielanwendungen aus? Es sind zwar viele, aber nicht alle auf meinem System installierten.
Für erhellende weitere Hinweise dankbar
Morris
---
Aus den Details:
Technische Details für den Eindringversuch:
Injektoranwendung: C:Programme900_Warnerw0svc.exe
Beschreibung: 0190/0900 Warner Service
Dateiversion: 4.10.0.25
Produktname: 0190/0900 Warner
Produktversion: 4.10
Zielanwendung: ...SunbeltSbPFCl.exe
Beschreibung: Sunbelt Firewall GUI
Dateiversion: 4.6.1845.0
Produktname: Sunbelt Personal Firewall
Produktversion: 4.6.1845.0
Zielanwendung: C:WINDOWSsystem32Ati2evxx.exe
Beschreibung: ATI External Event Utility EXE Module
Dateiversion: 6.14.10.4203
Produktname: ATI External Event Utility for Windows
Produktversion: 6.14.10.4203
Zielanwendung: C:WINDOWSsystem32userinit.exe
Beschreibung: Userinit-Anmeldeanwendung
Dateiversion: 5.1.2600.5512 (xpsp.080413-2113)
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 5.1.2600.5512
Zielanwendung: C:WINDOWSExplorer.EXE
Beschreibung: Windows Explorer
Dateiversion: 6.00.2900.5512 (xpsp.080413-2105)
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.00.2900.5512
Zielanwendung: C:ProgrammeATI TechnologiesATI.ACECore-StaticCLIStart.exe
Beschreibung: Catalyst® Control Center Launcher
Dateiversion: 1, 0, 0, 1
Produktname: Catalyst® Control Center
Produktversion: 1, 0, 0, 1
Zielanwendung: ...AviraAntiVir PersonalEdition Classicavgnt.exe
Beschreibung: Antivirus System Tray Tool
Dateiversion: 8.00.70.02
Produktname: AntiVir Workstation
Produktversion: 8.00.70.02
Zielanwendung: C:PROGRA~1900_W~1WARN0900.EXE
Beschreibung: 0190 Warner / 0900 Warner
Dateiversion: 4.20.0.244
Produktname: 0190 Warner / 0900 Warner
Produktversion: 4.20
Zielanwendung: C:WINDOWSRTHDCPL.EXE
Beschreibung: Realtek HD Audio Control Panel
Dateiversion: 2.2.2.5
Produktname: Realtek HD Audio Sound Effect Manager
Produktversion: 2.2.2.5
Zielanwendung: ...AviraAntiVir PersonalEdition Classicavwsc.exe
Beschreibung: WSC Helper Tool
Dateiversion: 8.00.00.14
Produktname: AntiVir Workstation
Produktversion: 8.00.00.14
Zielanwendung: C:ProgrammeATI TechnologiesATI.ACECore-StaticMOM.exe
Beschreibung: Catalyst Control Center: Monitoring program
Dateiversion: 2.0.0.0
Produktname: Catalyst Control Centre
Produktversion: 2.0.0.0
Zielanwendung: C:ProgrammeMSIDualCoreCenterDelReg.exe
Beschreibung: StartDualCore MFC Application
Dateiversion: 1, 0, 0, 1
Produktname: StartDualCore Application
Produktversion: 1, 0, 0, 1
Zielanwendung: C:ProgrammeWindows SteadyStateBubble.exe
Beschreibung: Windows SteadyState Bubble Messages
Dateiversion: 5.1.2600.4364 (vista_rtm(wmbla).080530-1437)
Produktname: Windows SteadyState - Bubble Messages
Produktversion: 5.1.2600.4364
Zielanwendung: C:ProgrammeJavajre1.6.0_07binjusched.exe
Beschreibung: Java(TM) Platform SE binary
Dateiversion: 6.0.70.6
Produktname: Java(TM) Platform SE 6 U7
Produktversion: 6.0.70.6
Zielanwendung: C:WINDOWSsystem32CTFMON.EXE
Beschreibung: CTF Loader
Dateiversion: 5.1.2600.5512 (xpsp.080413-2105)
Produktname: Microsoft® Windows® Operating System
Produktversion: 5.1.2600.5512
Zielanwendung: C:WINDOWSsystem32wbemunsecapp.exe
Beschreibung: WMI
Dateiversion: 5.1.2600.0 (xpclient.010817-114
Produktname: Microsoft® Windows® Operating System
Produktversion: 5.1.2600.0
jeweils: Eindringversucher vom Typ Codeeinschleusung
Verfasst: 24.09.2008, 11:52
von mirko
Hi Morris,
0190 Warner oder 0900 Warner \"dringt\" natürlich auch in Systemprozesse ein, um mögliche Aufrufe von Funktionen zu verhindern, die einen Verbindungsaufbau möglich machen. Betroffen sind davon auch Systemdienste wie die services.exe vom Windows-System. Die Meldung kannst du also locker ignorieren.
Verfasst: 24.09.2008, 01:38
von Morris
Hallo Leute,
auf meinem frisch installierten Windows-XP-Home Edition-System beschwert sich die Sunbelt Personal Firewall nach der Benutzeranmeldung regelmäßig (aber nicht immer) über einen
verhinderten \"Eindringversuch\" durch...0900warn.exe
Details:
Zielanwendung: C:WINDOWSsystem32services.exe
Dateiversion 4.20.0.244
Wenn ich diese Meldung ca. 10-20 mal bestätige, ist Ruhe. Und ich bin verunsichert, ob ich einen \"gefälschten\" 0900-Warner auf meinem System habe... :d_gutefrage:
Ist ein Einwirken auf services.exe durch den 0900-Warner \"normal\", und ich muß der Sunbelt Firewall irgendwie beibringen, diesen \"Eindringversuch\" nicht zu vereiteln? Oder ist womöglich tatsächlich was faul in meinem System?
Zusatzfrage:
Wie kann ich feststellen, ob durch irgendwelche Blockadeaktivitäten der 0900-Warner nicht oder nur unvollständig läuft?
Vielen Dank für Eure Hilfe.
Gruß
Morris
---
Windows XP HomeEdition SP 3
0190 Warner 4.20
Sunbelt Personal Firewall 4.6.1845