Frage zu "Microsoft Baseline Security Analyzer"

Hallo,
warum läuft bei dir überhaupt Serversoftware ?
Deiner Frage nach zu urteilen,dürfte dich schon die Begriffsbestimmung überfordern...
Um mal zu klären was da für ein SQL Server am laufen ist,schlage ich das programm "Hijackthis" vor.
Damit kannst du ein Logfile erstellen mit dessen Hilfe man einen ungefähren Überblick erlangen kann.
Dann wüßte man auch dein Betriebssystem beim Namen zu nennen........
Wenn du jetzt denkst das dies ein Test ist,hast du völlig recht....
Der Test heißt "ist ein User in der Lage sich ein Programmzu suchen,zu laden,korrekt auszuführen und die Ergebnisse hier zu posten"..........
Sir Reklov

Warum bei mir Serversoftware läuft? keine Ahnung

...Ja ich hab keine Ahnung was der SQL Server macht.

Das Betriebsystem kannste hier im Logfile sehen:



Logfile of HijackThis v1.99.1
Scan saved at 12:09:35, on 15.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\niSvcLoc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unitymedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.unitymedia.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unitymedia.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: MSSQLServer - Unknown owner - C:\MSSQL7\binn\sqlservr.exe (file missing)
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe
O23 - Service: Office Server Extensions Notification Service (OWSTimer) - Unknown owner - C:\Programme\Microsoft Office\Office\OWSTIMER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SQLServerAgent - Unknown owner - C:\MSSQL7\binn\sqlagent.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Hallo,
der SBA hat folgendes gemeint :

 

O23 - Service: Office Server Extensions Notification Service (OWSTimer) - Unknown owner - C:\Programme\Microsoft Office\Office\OWSTIMER.EXE

O23 - Service: SQLServerAgent - Unknown owner - C:\MSSQL7\binn\sqlagent.exe (file missing)

Folge den Empfehlungen des Analyzers.
Du brauchst keine dieser Freigaben als "otto-Normal-User".

Mach dir Gedanken über einen besseren,bzw.sichereren Browser > Firefox
und stelle dir unbedingt ein Konto zum surfen ein.
Es nennt sich "eingeschränktes Benutzerkonto".
Google danach und es werden sich jede Menge Anleitungen dazu auftun....
Sir Reklov

Folge den Empfehlungen des Analyzers.


 

Genau darin besteht ja das Problem, das habe ich aber zu erkennen gegeben.

Ich habe bei mir Mozilla Firefox 2.0.0.6 und Internet Explorer 7 installiert. Der IE 7 gefällt mir gut. Seit dem ich den habe, hatte ich noch keine Viren auf meinem PC

Hallo,

 

Genau darin besteht ja das Problem

Nach meiner Meinung gefragt ,würde ich behauptren wollen du hast dir ordentlich ins Knie geschossen....und auch noch gleich mehrmals...

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
 

 

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
 

das beißt sich halt....winsweep erstellt einen Proxy,dessen Wert sowieso fraglich ist,und der Analyzer sagt dir "mach das weg ,das ist gefährlich"...
Zu allem kleistert dann noch antispy das Ganze zu...

Du bist im Internet niemals anonym unterwegs.Es ist lediglich eine Frage des betriebenen Aufwandes, das die Grenze setzt, um herauszufinden wer und wo du bist....

ersuche mal folgendes :

Start >Arbeitsplatz >Reiter extras >Ordneroptionen >Reiter Ansicht :
suche nach :
geschützte Systemdateien ausblenden >Haken raus
Erweiterungen bei bekannten Dateitypen ausblenden>Haken raus
Alle Dateien und Ordner anzeigen >Haken rein

Ein Neustart und nun versuche dem Analyzer Folge zu leisten...
Wenn es nicht klappt ,kannst du über die Entfernung von "winsweep" nachdenken.Deine Kiste wird es dir mit Geschwindigkeit danken,schätze ich mal...
Ansonsten hast du halt ein offenes Port ins Netz...
Da du aber "Zone alarm " verwendest wird dieser Port geschützt.... < Ironie...
Sir Reklov

wie kommste darauf das ich winsweep benutze?

Das habe ich mal ausprobiert aber das lief nicht so gut dann habe ich das wieder gelöscht.

ersuche mal folgendes :

Start >Arbeitsplatz >Reiter extras >Ordneroptionen >Reiter Ansicht :
suche nach :
geschützte Systemdateien ausblenden >Haken raus
Erweiterungen bei bekannten Dateitypen ausblenden>Haken raus
Alle Dateien und Ordner anzeigen >Haken rein

Ein Neustart und nun versuche dem Analyzer Folge zu leisten... 




Ergebnis:

1. CmdExec ist nicht auf "sysadmin"-Mitglieder beschränkt


2. SQL Server- und/oder MSDE-Authentifizierungsmodus   ist auf "SQL Server und/oder MSDE und Windows" (gemischter Modus) festgelegt.


3. SQL Server- , SQL Server-Agent-, MSDE- und/oder MSDE-Agent-Dienstkonten sollten nicht Mitglieder der lokalen Administratorengruppe sein oder als "LocalSystem" ausgeführt werden



Vorgehensweise zur Behebung:

zu 1:

So beschränken Sie die "CmdExec"-Rechte auf "Sysadmin"

Zeigen Sie im Startmenü auf Programme, zeigen Sie auf Microsoft SQL Server, und klicken Sie dann auf Enterprise Manager.
Doppelklicken Sie auf Microsoft SQL Server und auf SQL Server-Gruppe, und doppelklicken Sie dann auf den zu schützenden Computer mit SQL Server.
Klicken Sie auf den Ordner Verwaltung, klicken Sie mit der rechten Maustaste auf SQL Server Agent, und klicken Sie dann auf Eigenschaften.
Klicken Sie im Dialogfeld SQL Server-Eigenschaften auf die Registerkarte Auftragssystem.
Aktivieren Sie das Kontrollkästchen Nur Benutzer mit Systemadministratorprivilegien können CmdExec- und ActiveScripting-Auftragsschritte ausführen.
Für MSDE können Sie folgende Schritte ausführen:

Öffnen Sie ein Eingabeaufforderungsfenster.
Verwenden Sie das Dienstprogramm osql, um mithilfe einer gültigen Anmeldung als Systemadministrator eine Verbindung mit der SQL-Instanz herzustellen.
Geben Sie den folgenden Befehl aus, um Benutzer ohne Systemadministratorprivilegien an der Ausführung von cmdExec-Aufträgen und xp_cmdshell zu hindern:
a. exec msdb.dbo.sp_set_sqlagent_properties @sysadmin_only = 1
b. go
 

Geben Sie den folgenden Befehl aus, um das festgelegte Proxykonto zu entfernen:
a. exec master.dbo.xp_sqlagent_proxy_account N'DEL'
b. go



zu 2.

So ändern Sie SQL Server vom gemischten Modus in den Windows-Authentifizierungsmodus

Zeigen Sie im Startmenü auf Programme, zeigen Sie auf Microsoft SQL Server, und klicken Sie dann auf Enterprise Manager.
Doppelklicken Sie auf Microsoft SQL Servers und SQL Server-Gruppe , klicken Sie mit der rechten Maustaste auf den zu schützenden Server, und klicken Sie dann auf Eigenschaften.
Klicken Sie im Dialogfeld SQL Server-Eigenschaften auf die Registerkarte Sicherheit.
Klicken Sie unter Authentifizierung auf Nur Windows.


zu 3.

So stellen Sie in Windows sicher, dass Dienste nicht als Konto "LocalSystem" ausgeführt werden

Zeigen Sie im Startmenü auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
Doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Computerverwaltung.
Klicken Sie unter dem Knoten Dienste und Anwendungen auf Dienste.
Doppelklicken Sie auf den im Sicherheitsbericht gekennzeichneten Dienst.
Klicken Sie im angezeigten Dialogfeld auf die Registerkarte Anmelden.
Aktivieren Sie unter Anmelden als die Option Dieses Konto, und geben Sie ein lokales Konto an, unter dem der Dienst ausgeführt werden soll.
Wichtig:

Das Ändern des Dienstkontos für SQL Server-Dienste außerhalb von SQL Server Enterprise Manager könnte dazu führen, dass SQL Server nicht mehr funktionsfähig ist.


So erstellen Sie ein neues Domänenbenutzerkonto, unter dem die SQL Server-Dienste ausgeführt werden

Zeigen Sie im Startmenü auf Programme, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
Klicken Sie auf den Benutzercontainer, und erstellen Sie ein neues Domänenbenutzerkonto.
Legen Sie fest, dass das Kennwort niemals abläuft.
Lassen Sie ein Postfach erstellen, wenn Sie SQL Server-Mail verwenden möchten.


So ändern Sie das Dienstkonto für den Dienst "MSSQLServer" für SQL Server

Zeigen Sie im Startmenü auf Programme, zeigen Sie auf Microsoft SQL Server, und klicken Sie dann auf Enterprise Manager.
Doppelklicken Sie in SQL Server Enterprise Manager auf SQL Server-Gruppe, klicken Sie mit der rechten Maustaste auf den zu schützenden Computer mit SQL Server, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit, und wählen Sie dann im Abschnitt Dienststartkonto die Option dieses Konto aus, und geben Sie die Anmeldeinformationen für den im vorherigen Schritt erstellten Domänenbenutzer ein.


So ändern Sie das Dienstkonto für den Dienst "SQL Server Agent" für SQL Server

Zeigen Sie im Startmenü auf Programme, zeigen Sie auf Microsoft SQL Server, und klicken Sie dann auf Enterprise Manager.
Doppelklicken Sie in SQL Server Enterprise Manager auf SQL Server-Gruppe, und doppelklicken Sie dann auf den zu konfigurierenden Computer mit SQL Server.
Klicken Sie auf den Ordner Verwaltung, klicken Sie mit der rechten Maustaste auf SQL Server Agent, und klicken Sie dann auf Eigenschaften.
Wählen Sie im Abschnitt Dienststartkonto die Option dieses Konto aus, und geben Sie die Anmeldeinformationen für den im vorherigen Schritt erstellten Domänenbenutzer ein.



Soll ich jetzt diesen Anweisungen folgen oder nicht?

Wenn ja...sag mir doch bitte wo ich diesen Enterprise Manager finde 

Wenn du wissentlich keinen SQL Server betreibst,dann suche ihn unter Software und lösche alles was damit im Zusammenhang steht.
Benutze auch deine Suchfunktion !
Schalte vorher den Tea Timer von Spybot Search $Destroy aus !!

Du hast beispielsweise "winsweep" nicht komplett geklöscht.....
sonst würde ich ja nicht wissen ,das daß überhaupt mal auf deiner Kiste war,logisch oder ?
 
Sir Reklov