Frage Zum Firewall Treiber

  • Hab bei denn Hip Dienst in der Log Folgenden Eintrag:20.11.2011 04:39:00 C:\Windows\System32\svchost.exe Registrierungsdatenbank ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EPFWWFP blockiert Self-Defense: Registrierung mit vollständigem Schutz

    So wie ich Weiss ist das der Treiber von der Firewall der ESS v4, doch habe die ESS v5 am Laufen und habe die v5 auch Sauber Installiert, sprich mit der Eset Deinstallations Routine Deinstalliert PC Neugestartet und dann die v5 Installiert, also wie kann da der Treiber der v4 Rumwerkeln?

  • Hallo,

    auch in Version 5 heißt der Webfiltertreiber (nicht die Firewall als solches!) "epfwwfp", Du siehts das, wenn Du den Gerätemanager öffnest, "Ansicht > Ausgeblendete Geräte anzeigen" wählst und anschließend im Bereich "Nicht-PnP-Treiber" schaust.
    Warum die svchost.exe versucht hat, diesen zu manipulieren ist mir nicht klar, es ist aber normal, dass der Zugriff durch den Selbstschutz, der in V5 im HIPS integriert ist und davor also (< v5) alleine ohne Logging in den Produkten enthalten ist, blockiert wird.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Werde heute Abend nach Arbeit mal im Geräte Manager Nachsehen ob es von der v4 oder der v5 ist, hatte im Netz nämlich einiges drüber gefunden da ich nicht der einzige bin der diese Einträge hat und dort war es der Treiber der v4 der dort Werkelte!

  • Hab Nachgesehen Tommi, der Treiber ist nicht von der v4 sondern die Version 5.0.87.0 und auch im System 32 ist nichts was da nicht auch Hingehört, wie kann ich jetzt Rausfinden warum die svchost.exe versucht hat, diesen zu manipulieren?

  • Das wirst Du ohne Tiefenanalyse z.B. mit der Sysinternals Suite von Microsoft wohl nie erfahren. Ist aber auch nicht schlimm. Die svchost.exe ist sowas wie das "fleißige Helferlein" des Windows Systems und zuständig z.B. für DLL-Zugriffe und so weiter (siehe auch http://de.wikipedia.org/wiki/Windows-Systemdienst ) - das ist auch der Grund, warum die so gern von Malware angegriffen bzw. kopiert wird.

    Ich denke, dass die svchost.exe lediglich die DLL o.ä. gecheckt hat, aber der Selbstschutz eben generell den Zugriff (aus guten Gründen) verbietet - also kein Grund zur Panik.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!