|
Massenweise Sicherheitswarnungen von Kaspersky Hallo, Ich habe ein seriöses Problem: Meine Internet-Verbindung ist instabil, der Rechner selbst wird immer instabiler und die Kaspersky Sicherheitssuite produziert Sicherheitswarnungen en Masse. Die meisten sind informativer Natur oder 'Gelbe Warnungen' doch nun erhalte ich hin und wieder auch 'Rote'. Es gipfelt in Warnungen wie "Ein Treiber will die Kontrolle des gesamten Systems übernehmen". Hab den genauen Text nicht mehr im Kopf, aber es klang bedrohlich. Habe den Routine Namen in Google eingegeben und gesehen, dass es sich evtl. um einen Fehlalarm handelt. Will jetzt jedoch auf Nummer sicher gehen. Kann bitte jemand mein Logfile checken? Die Ergebnisse der automatischen Auswertungen im Internet geben mir keine direkten Hinweis auf bösartigen Sachen. Warscheinlich werdet ihr mir sagen, dass ich was Sicherheits-Zeug rausschmeissen soll, weil das sich evtl. gegenseitig behindert. Werde ich gerne tun, wenn sich der Rechner als definitiv sauber rausstellt. Also, hier ist das Logfile: Code: Das obige Logfile ist vom Benutzerkonto mit reduzierten Rechten (was normalerweise benutzt wird). Daneben gibt's ja noch den Administrator Account. Wenn ich das Logfile auch posten soll, bitte sagen. Vielen Dank schon mal! Mike |
Hi, wäre ja gut gewesen, wenn Du die Details der Kaspesky-Meldungen hier auch reingesetzt hättest. Dass das von einem eingeschränkten Konto aus gemacht wurde, sieht man im Log, diverse laufende Systemprozesse sind nicht aufgeführt. Ist extrem selten (maximal jedes hundertste). Wie Du schon weißt: Vielleicht etwas viel Software gleichzeitig, aber nichts was bedenklich wäre. Es ist theoretisch denkbar, dass ein Rootkit im Spiel ist. Praktisch halte ich das aber für sehr unwahrscheinlich, das kann sich nicht vom eingeschränkten Konto aus installieren (Treiberinstallation braucht Adminrechte). Wir sollten erstmal die Meldungen von Kspersky sichten um dann zu entscheiden ob es Sinn macht, dein System auseinanderzuscannen. Kaspersky schaut auf sehr viel bis alles ohne immer entscheiden zu können ob es normal oder böse ist. Da muss der Benutzer schon ein Spezialist sein um das dann für Kaspersky zu erledigen. Bloß die brauchen solche Security Sweets nicht, da liegt ein Widerspruch. Gruß, Karl |
Hi Karl, Nun poste ich zuerstmal die Kaspersky Logfiles von heute. Alles unter dem eingeschränken User Account (mit einer Ausnahme am Ende). Dann folgt ein weiterer Beitrag mit dem HijackThis Log vom Admin Account (sonst wird der Text zu lang). 1. Kaspersky Log <Datenverwaltung><Berichte> Kategorie <Ereignisse> Code: 29-06-2008 07:26:13 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.Code: gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\Explorer.EXE |
... und nun der versprochene Rest: 3. HijackThis Log vom Admin Account: Code: Gruss, Mike |
Oha, da liegen mir jetzt einige nicht ganz saubere Ausdrückre auf der Zunge ... Ich kann in den Logs nichts gefährliches entdecken, dafür aber eine Mengen Sachen, die klar belegen, dass bei Kaspersky nicht gerade die geballte Kompetenz vorliegt: Zitat:
Zitat:
Das ist ein typisches Beispiel für den Widerspruch mit diesen Ich-kümmer-mich-um-alles-Security-Sweets: Sie sind konzipiert für Leute, die von Computer- und Netzwerktechnik weniger bis keine Ahnung haben, um sie dann aber zu verstehen muss man Ahnung haben. dann aber wieder braucht man diese Software nicht mehr, weil man genau weiß dass man seinen Computer auch ohne sie sicher nutzen kann. Ich habe höchsten die freie Version von Antivir und die Wndows Firewall. Damit betreibe ich mein Notebook seit längerer Zeit an teilweise krass verseuchten Netzen, musste auch schon Modem nutzen, dennoch wäre Antivir überflüssig, bisher keinen Ernstfall gehabt, dafür müsste ja bereits was auf den Rechner vorgedrungen sein. Allerdings stecke ich eine Menge Mühe rein, andauernd Updates zu installieren, was schon nerven kann. Eben mal 120 MByte wegen eines Sicherheitsproblems in OpenOffice neu runterladen ist hier auch nicht gerade eine Freude. Was die Instabilität deines Systems angeht: Da empfehle ich erstmal unter der Software aufzuräumen. Eventuell wird dabei auch die Internetverbindung wieder besser, bei der wäre aber auch zu prüfen, ob nicht externe Gründe möglich sind. Teilst Du die Internetverbindung mit anderen Nutzern? Wie sind deren Erfahrungen? Was betreiben die an Netzwerksoftware? Hier, wo ich gerade schreibe, wird nachher nichts mehr gehen, wenn sie alle mit Skype loslegen. Woran zeigt sich die Instabilität? Gibt es Bluescreens oder sind es mehr nur einzelne Programme die abstürzen? Weiterhin überblicke ich nicht, was Kaspersky macht wenn er meint ein schlechtes Zertifikat entdeckt zu haben. Ich kann mich erinnern, dass es bei einem Konkurrenzprodukt möglich war, auf einen bestimmten Port einen Ping zu schicken und dann hat die Software den Rechner komplett von Netzwerk/Internet getrennt. Sicher sehr sicher, aber durch Steckerziehen einfacher zu haben. |
Lass mich mal versuchen, auf die Fragen näher einzugehen: 1. Internetstabilität Häufig kleckern die bits hier nur sehr zögerlich rein, auch wenn z.B. die Nachbarn, die an der selben Leitung hängen oder der Laptop, der am selben Router hängt keine Probleme haben. Manchmal versiegt der Datenfluss völlig, was natürchlich auch an der schlechten Bandbreite liegen kann bzw. einer evtl. hohen Fehlerrate bei der Übertragung zum ISP. So genau habe ich das noch nicht rauskriegen können, aber die Erfahrung zeigt, dass dieser Rechner sich besonders schwer tut. 2. Rechnerstabilität (a) Hat sich z.T. wieder gebessert. War extrem schlecht, nachdem ich eine neue WebCam installiert hatte (Logitech Quick Cam 9000). Mehrmals täglich waren Eingaben nicht mehr möglich; der Bildschirm war eingefroren und der Rechner musste neu gestartet werden. Habe Hinweise gefunden, dass ich nicht der einzige bin mit Problemen mit dieser WebCam und habe die Software wieder de-installiert. Nur die Treiber gelassen. Seitdem ist der Rechner nicht mehr eingefroren. (b) Hin und wieder crasht der Rechner aus heiterem Himmel. Das sieht dann so aus , als hätte jemand den Netzstecker gezogen. Lässt sich auch nicht wieder ohne weiteres einschalten. Mann muss dann wirklich den Stecker mal kurz rausziehen. Dann lässt er sich wieder einschalten und er fährt normal hoch. Das könnte evtl. an kurzzeitigen Stromschwankungen liegen, oder? Ist früher allerdings nie passiert und nun schon zum x-ten Male innerhalb einer Woche. Könnte das Hinweise geben auf irgendeinen Software-Schädling? Habe nochmals alle Eventlogs in Windows gecheckt. Kann nichts ungewöhnliches feststellen. Oder gibt das hier Hinweise: Code: Event-ID 1000:Manchmal rappelt die Harddisk wie wild. Meist sofort nach dem Anschalten des Rechners, noch bevor man sich in einen Account eingeloggt hat. Kann aber auch zwischendurch passieren, wie zum Beispiel vor einer Stunde. Konnte nichts besonderes feststellen. Macht mich aber doch irgendwie nervös. Hab einen Screenshot gemacht vom Task Manager mit I/O Aktivität. Sagt mir aber nicht viel. War auch etwas zu spät, um zu sehen, welche Prozesse zum Zeitpunkt der heftigen Disk-Aktivität am meisten gelesen / geschrieben haben. Der Vollständigkeit halber: Code: Rangfolge (Read Top 7)Last but not least: Hab im Logfile des Routers gesehen, dass es beim Incoming Traffic einen Eintrag gibt mit Portnummer 41879. Diese Portnummer tauchte gestern auch schon auf, aber mit ner anderen IP Adresse. Im Modem gibt es unzählige Einträge von Port 135, 137, 139, 445, etc, etc. Die werden aber zum Glück direkt vom Modem rausgefiltert. Habe keine Hinweise, dass diese den Rechner erreichen. So, ist mal wieder ein etwas längerer Beitrag geworden. Irgendwelche Ideen? Gruss, Mike |
Hmm, vage Ideen, nur Möglichkeiten, keine Gewissheiten. 1. Was machen denn die Mitbenutzer derselben Leitung so im Netz? Ich nutze unter anderem ein Netz, dass von ein paar P2P-Nutzern total blockiert wurde. Die haben an ihren Emules und Torrents alles auf maximal hochgedreht, hatte zur Foge dass der Rest der Nutzer (die Mehrheit, einige Dutzend Nutzer in so einer Art Wohnheim mit Netzwerk) nichts mehr vom Internet hatten. Derzeit nutze ich ein anderes Netz mit weniger Computern, dafür auf fast allen Skype, kann mindestens ebenso sehr stressen. Nein noch mehr, dort war ich Admin und durfte was unternehmen, hier nicht. Wenn ich mir ansehe was Kaspersky alles macht, dann denke ich, dass das auch seine Zeit braucht. 2a. Hat sich damit wohl erledigt. 2b. Sieht ja eher nach Hardware/Stromversorgung aus. Strom-, eigentlich Spannungsschwankungen mögen natürlich auch Einfluß haben, die andere Seite ist aber auch ein Netzteil, das dafür empfindlich ist. Ein anderes Netzteil mag das vielleicht besser auszufiltern/auszugleichen. Das ist aber dann meistens auch nicht das billigste, wie es in Fertigrechnern von der Stange meistens ist. Einen Softwareschädling halte ich für weniger wahrscheinlich, normalerweise haben die alle einen Zweck, für den sie programmiert sind und dafür muss der Rechner laufen. Bei Fehlern können sie natürlich das System erledigen, dann erwarte ich aber im krassesten Fall einen Bluescreen. Diese Notwendigkeit des Steckziehenmüssens kann ich da nicht unterbringen. Die Eventlogs würde ich auf jeden Fall sorgfältig weiter beobachten. Z.B. darauf achten, ob dort auch mit anderen Anwendungen als Opera Probleme zu erkennen sind. 3. Hört sich auch nicht gut an. Erstmal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an. "Portnummer 41879" sagt mir so gerade nichts, ich weiß auch nicht auf welcher Seite der Verbindung dieser Port liegt. Falls nicht in den Router Löcher gebohrt wurden, sollte dieser von außen kommende Traffic aber auch die Antwort rausgegangener Anfrage sein. Dabei bedenken, dass nicht nur dein Computer in Frage kommt. "Port 135, 137, 139, 445, etc, etc" von Seiten des Internetes ist ganz normal. Da werden fleißig Freigaben gesucht (manche Leute haben ihr gesamtes System für das gesamte Internet freigegeben), Infektionsversuche gestartet, usw. Das sollte aber alles den Router nicht passieren. ----- Ich tendiere mehr in Richtung Hardware, kann dabei aber ein verborgenes Softwareproblem nicht auschließen. Es gibt eine Methode, mit der man da recht gut unterscheiden kann: platt machen und mit einem Minimum an wirklich wichtiger Software neu installieren. Alternativ kann der Betriebs eines Linux (z.B. Knoppix, das von CD startet, also nicht installiert werden muss) Probleme mit der Hardware aufzeigen. Ok, neu installieren ist vermutlich nicht deine große Freude, ein paar Rootkitscans: Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Blacklight scannen lassen
Nun alle Logs posten. |
Ok, Karl Werde mich an die Arbeit machen und die Scans ausführen. Kann u.U. 'ne Weile dauern, werde dann die Ergebnisse posten. Rechner ist ca. Anfang des Jahres neu aufgesetzt worden; habe keine grosse Lust, das gleiche jetzt nochmals zu machen. Erst mal sehen, was rauskommt. Gruss, Mike |
Also, hier nun die Antworten / Ergebnisse 1. Andere Benutzer im Netz > Das kann sehr stark schwanken im Laufe des Tages. Erfahrungsgemäß ist die Belastung früh morgens oder spät nachts weniger groß, was sich am besseren Durchsatz an meinem PC (XP) zeigt. Allerdings haben die anderen immer noch ein akzeptables Internet, wenn sich bei mir gar nichts mehr tut. Der Laptop (Vista), der am selben Router hängt, tut dann meist auch noch. Das bleibt für mich ein Phänomen, denn wenn der Router sich z.B. schwer tun würde mit Datenübertragungsfehlern und sich in irgendeiner Ecke Müll ansammelt, müsste doch auch der Laptop darunter leiden, oder? Wenn sich alles 'festgefressen' hat und auch auf dem Laptop nichts mehr geht, wirk ein Reset (Aus / Ein) des Modems und des Routers meist Wunder. Das ist nicht immer von langer Dauer, aber für eine paar Minuten geht's dann halt doch wieder. Zur Info: habe Linksys AM300 Modem und Linksys WRT54G Wireless Router. 2. Netzteil. Nicht von der Stange; 350 W stabilisiert. Marke weiß ich nicht mehr. War in der Vergangenheit immer zuverlässig, aber Spannungsschwankungen haben die letzte Zeit zugenommen (subjektives Gefühl). 3a. Festplatten / Dateisystem. Guter Punkt. Habe Tests ausgeführt mit chkdsk, HDTune Pro und Drive Fitness Test. Keinerlei Fehlermeldungen. Habe allerdings gesehen, dass eine meiner Festplatten ('ne alte Maxtor 6Y160M0) recht warm ist: In der Ruhe ca. 55-58 Grad, bei Beanspruchung auch mal 65+ Grad. Das scheint mir sehr an der grenze zu sein, weiß allerdings auch nicht, was sie ab kann. Vielleicht sollte ich sie mal aufs Altenteil schicken und was Moderneres besorgen. Die Temperatur der anderen Festplatten liegt um die 45 Grad. 3b. Software Scans. Ging soweit alles glatt, bis auf die Tatsache, dass RootkitRevealer eine FAT32 Partition nicht lesen konnte. Habe gegoogelt und Hinweise bzgl. Namensgebung bei FAT32 Partitionen befolgt. Hat aber nichts genutzt. Eine andere FAT32 Partition mit ähnlichem Namensaufbau ist anstandslos gelesen worden. Außerdem habe ich meine Mühen gehabt, bei den Scans 'alle Programme' zu schließen. Habe mich letztendlich damit begnügt, die Anwendungen, die auf der Konsole zu sehen waren, zu beenden. Im Hintergrund liefen aber noch kleinere Routinen (z.B. was vom HP Drucker, etc), das ich dann gelassen habe. Hab auch ein paar scans gemacht im abgesicherten Modus; weiß aber nicht, ob das Posten davon weitere Einsicht bringen könnte. Hier nun also die Details, alles im vom User mit Admin-Rechten ausgeführt: Catchme Code: Nichts gefunden; kein LogCode: HKLM\SECURITY\Policy\Secrets\SAC* 24-11-07 23:58 0 bytes Key name contains embedded nulls (*)Code: 'No hidden items found'; kein LogDas Gmer Resultat ist sehr umfangreich (ca. 400.000 Zeichen; kann aber nur 25.000 Zeichen posten). Hier ist ein Ausschnitt; dazwischen sind endlose Zeilen, die alle irgendiwe änlich aussehen, aber hier nun mal keinen Platz haben. Wie soll ich da das evtl. interessante vom nichtsagenden rausfinden? Code: Mike |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board