Hallo Herr Beisecker,
vor wenigen Minuten meldete mir die ´Bitdefender Internet Security 2015´ auf meinem Windows 8.1-Rechner mehrfach :
Infizierte Web-Ressource gefunden
Die Web-Resource https://www.computerwissen.rs.ro/xml.php wurde als infiziert eingestuft. Die Web-Resource wurde erfolgreich blockiert und Ihr PC ist nun sicher
Gibt es tatsächlich ein Sicherheitsproblem oder ist es ein Fehl-Alarm ?
Freundliche Grüße
dieter53
Hallo Herr Beisecker (bzw. einen ihn vertretenden Experten),
in Ergänzung meiner gestern übermittelten Mitteilung zu einer angeblichen (oder tatsächlichen ?) Infektion auf einer Web-Ressource des Computerwissen-Verlages wurde mir auch beim heutigen PC-Start diese Meldung mehrfach angezeigt.
Ich konnte heute noch Hinweise gewinnen, wodurch es zu der Warn-Meldung kam. Die im Start-Menü (Autostart-Ordner) befindliche Datei CW News ist für die dann folgende Warn-Meldungen verantwortlich. Ich hoffe, dass es mit diesen ergänzenden Hinweisen gelingt, eine Antwort auf meine Frage zu finden.
Freundliche Grüße
dieter53
Hallo Dieter,
Sie haben sich schon die Domian angesehen? Diese hat mit unserem Cpomputerwissenclub nichts zu tun.
Wir sind hier auf https://club.computerwissen.de
Ihre Meldung stammt von https://www.computerwissen.rs.ro/
Wir Top Level Domain Deutschland, die der Meldung ist ro, das für Rumänien steht.
Dies ist also ein fremder Server, der vermutlich deutsche Nutzer einfangen soll, die nach Computerwissen suchen und nicht auf die tatsächliche Domain achten. Sinn solcher Server ist oft die Verbreitung von Schadsoftware, daher wundert mich die Meldung von Bitdefender nicht.
Leider können wir da nicht eingreifen.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
Danke für Ihre Rückmeldung – Aber wieso wird – so meine derzeitige Erkenntnis – das Programm CW News.exe als Auslöser für eine derartige Verbindung erwähnt ?
Freundliche Grüße
dieter53
Hallo Dieter,
da muss ich mal nachforschen. ich werde dies an die Zuständigen weitergeben. Hier ist mir nichts dergleichen aufgefallen.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo an die Experten,
Um die beim Computerstart geschilderten Warn-Meldungen
zu umgehen, habe ich zwischenzeitich den Link zur
CW News.exe-Datei aus dem Autostart-Ordner entfernt und einen kompletten System-Scan mit ´Bitdefender Internet Security 2015´ durchgeführt. Damit scheint das Problem zunächst einmal gelöst, denn es gab keine Funde und nach einem Computer-Neustart keine Warn-Meldungen mehr.
Dennoch bleibt die Frage, warum es seit gestern 12:32 Uhr mehrfach zu den Warnmeldungen kam, bei denen die in der Frage genannte Web-Ressource als infiziert eingestuft wurde
und CW News.exe der Auslöser sein soll ?
Evtl. hilft hierbei die beigefügte Anlage vom Ordner ´ProgrammeIhr PC-Sicherheits-Berater Special-Edition 2014´ , aus der die enthaltenen Dateien ersichtlich sind ?
Vorab „Danke“ für Ihre Antwort !
Freundliche Grüße
dieter53
Hallo,
das liest sich ja ziemlich merkwürdig und damit gibt es Fragen über Fragen…
Wenn man einen Link (aus dem Autostart-Ordner) entfernt, ändert sich an der damit referenzierten .exe-Datei nichts. Warum gibt es dann keine Warnung mehr?
Gibt es wieder eine Warnung, wenn man den Link wieder einrichtet?
Dass ein Scan der Datei CW News.exe nichts verdächtiges bringt, ist schon der Meldung zu entnehmen, dass keine .exe-Datei sondern eine Web-Ressource verdächtig sei. Daher: Was versteht eigentlich Bitdefender unter Web-Ressource?
Welche Netzwerkverbindungen werden von CW News.exe nach dem Start aufgebaut und wie vermeldet, z.B. durch Vergleich von ProcessExplorer mit Wireshark?
VG
Norbert
Hallo Norbert und den Experten des Verlages,
Danke für Ihre Rückmeldung und die Ideen zur Fehlerbehebung.
Durch den entfernten Autostart-Eintrag ist das Problem selbstverständlich noch nicht generell (ich hatte geschrieben ´zunächst einmal´) gelöst, denn ein Klick auf CW News.exe oder den ´nur verschobenen Link´ bringt erneut jeweils 10 neue Warn-Hinweise seitens Bitdefender.
Ich hatte den Screenshot vom Programm-Ordner von
´Ihr PC-Sicherheits-Berater Special-Edition 2014´ deswegen beigefügt, um anhand von Merkmalen wie Dateierstellungs- -datum, -version und -größe ggf. Rückschlüsse auf evtl. (?) schon bekannt gewordene Probleme ziehen zu können.
Ihre Idee einer Nachverfolgung der Netzwerkverbindungen finde ich zielführend, habe aber keinerlei Erfahrungen im Umgang mit Process Explorer oder Wireshark. Ich habe mir zwischenzeitlich Beantwortete Frage von dieter53 Juni 12, 2015
Hallo,
zwischenzeitlich habe ich per Klick auf den Eintrag von
CW News im Process Explorer einige Screenshots anfertigen können (siehe Zusammenstellung im Datei-Anhang), habe aber keine Kenntnis, was daraus zu schlussfolgern ist.
MfG
dieter53
Hallo Dieter,
Im ProcessExplorer ist genau das zu sehen, was ich mir vorgestellt habe. Die angegebene IP-Adresse 94.53.7.156 wird von
https://www.infosniper.net/index.php?ip_address=94.53.7.156&map_source=1&overview_map=1&lang=1&map_type=1&zoom_level=7
aufgelöst zur Firma Sc Nextgen Communications Srl.
RIPE liefert dazu:
NEXTGEN COMMUNICATIONS SRL
SC NEXTGEN COMMUNICATIONS SRL
Baneasa Business & Technology Park Sos. Bucuresti – Ploiesti nr. 42-44 Cladirea A, Aripa A2, Etaj 2, Sector 1, Bucuresti
Cod 013696 Bucuresti
ROMANIA
phone: +40769080138
fax: +40213167885
e-mail: noc (at) next-gen (dot) ro
Areas serviced: RO
was eigentlich zu erwarten war. Wireshark protokolliert den Netzwerkverkehr und kann ggf. mehr liefern. Eine Übersicht zur Verwendung von Wireshark habe ich als PDF angehängt.
Hilfreich ist es, wenn man einige Details zum Netzwerkverkehr kennt, also weiß, was die Protokolle TCP, TLS, ARP etc. machen. Der eigene Rechner hat die IP 192.168.0.3. Bei dem von mir gezeigten Ausschnitt sieht man, dass sich der Browser mit club.computerwissen.de unterhält (ich hatte im Browser F5 zum Aktualisieren geklickt), außerdem sieht man, dass das Windows-Drucksystem den Zustand der Netzwerkdrucker abfragt, z.B. 192.168.0.101 und dass Windows den inzwischen ausgeschalteten Rechner 192.168.0.9 vermisst.
Wenn man möchte, kann man mit Wireshark auf bestimmte IP-Adressen filtern, mit der Gefahr, unbekannte Adressen versehentlich nicht zu bekommen.
VG
Norbert
Hallo Norbert und den Experten des Verlages,
ich bedanke mich für die erfolgte Adress-Auflösung und die Hinweise zu Wireshark, womit ich mich vor Installation erst noch etwas genauer befassen möchte.
Aber was bedeutet die Erkenntnis, dass die IP-Adresse einem Server aus Rumänien zuzuordnen ist ? Im Prinzip ist es eine Bestätigung der gestrigen Aussage von Herrn Kleemann – nur etwas konkreter.
Warum verbindet ´CW News.exe´ zu einem rumänischen Server ?
– Ist an der exe-Datei etwas ´faul´ ?
– Ist diese irgendwie infiziert ? oder
– Beinhaltet diese in meiner Anlage vom 11.06.2015 aufgelistete Datei vom 3.10.2009, 540 KB, (Version 1.0.0.43) bereits von Anfang an einen ´falschen Leitweg´ ?
Es gibt wie gestern Abend bereits richtig bemerkt
„Fragen über Fragen“.
Ich weiß nicht, ob mir das empfohlene Tool ´Wireshark´
da neue Erkenntnisse zu vorgenannten Fragen bietet ?
(daher warte ich zunächst noch ab)
Zudem hoffe ich, dass ausser der lobenswerten Antwort-Beteiligung seitens Norbert sich auch ein Experte des Verlages zum aktuellen Erkenntnisstand und den noch offenen Fragen äußern wird.
Dafür vorab meinen Dank an die ´Antwort-Willigen´ 😉
Freundliche Grüße
dieter53
Hallo Dieter,
der Einsatz von Wireshark kann erstens aufzeigen, ob noch weitere Netzwerkverbindungen aufgebaut werden und es damit der komplette Netzwerkverkehr protokolliert werden. Damit sieht man, welche Information heraus geht und herein kommt.
Schließlich sollte ja auch die Frage beantwortet werden, warum Bitdefender in diesem Programm ein Problem sieht.
VG
Norbert
Hallo Norbert,
habe zwischenzeitlich ´wireshark´ installiert und ausgeführt, sowie einen Mitschnitt bei gestartetem CW News.exe abgepeichert. Die abgespeicherte Datei würde ich Ihnen gern zwecks Erkennung evtl. Auffälligkeiten übermitteln und hoffe, dass dieser Datei-Anhang-Typ zulässig ist. Vorab Vielen Dank .
Freundliche Grüße
dieter53
Hallo zusammen,
ich möchte hier mal ein großes STOP rufen. Bevor weiter wild diskutiert und spekuliert wird. Die CW News sind an sich vollkommen harmlos. Dieses kleine Programm wird auf Wunsch mit den Geschenk-DVDs installiert und bringt Neuigkeiten von Computerwissen direkt auf den Desktop. Die Installation ist optional.
Was Herr Kleemann nicht wissen konnte: Dieses Tool wurde von unserem rumänischen Partnerverlag entwickelt und läuft daher auch über einen rumänischen Server. Sollte unser rumänischer Partnerverlag nicht Opfer von Hackerangriffen geworden sein, wovon ich erstmal nicht ausgehe, da wir dann sicherlich Meldung darüber erhalten hätte, ist diese ganze Geschichte vollkommen harmlos.
Ich hoffe ich konnte für Aufklärung sorgen.
Viele Grüße
Sven Udert
Hallo Herr Udert,
Danke für Ihre Informationen. Auch wenn Ihre Aussage so stimmen sollte, frage ich mich, warum Bitdefender die in meiner Frage angegebene Warnmeldung ausgibt ?
…. wurde als infiziert eingestuft.
Ist das ein Fehlalarm, evtl. wegen irgendwelcher einer Infektion ähnelnden Symptome oder doch etwas Ernst zu nehmendes ?
Können Sie den Partner-Verlag auf diese von Ihnen beschrie- bene Situation hinweisen, auch zu dessen Sicherheit … ?
Möglicherweise weiß er das nicht und ist für einen derartigen Hinweis dankbar …!
Dennoch vielen Dank für diese aufklärenden Hinweise.
Freundliche Grüße
dieter53
Hallo dieter53,
genau das habe ich mich auch gefragt und bereits den zuständigen IT-Experten bei uns im Hause mit einer Klärung beauftragt.
Viele Grüße
Sven Udert
Hallo Herr Udert,
Gibt es schon Neuigkeiten, die die IT-Experten in Erfahrung bringen konnten ?
Ein vor wenigen Minuten durchgeführter manueller Klick auf das CW News-Icon brachte zwar eine etwas anders formulierte Fehlermeldung – das Problem scheint jedoch noch nicht gelöst? Wurden die rumänischen IT-Fachleute schon unterrichtet und gibt es Hoffnung auf eine Lösung ?
Danke für einen Zwischenbescheid !
Freundliche Grüße
dieter53
Hallo dieter53,
laut unserer IT-Abteilung droht von diesem Server, auf welchen die URL im Link verweist, definitiv keine Gefahr. Hier wird lediglich der Kanalname dieses Tools (man kann nur bestimmte Informationen aktivieren) ausgegeben.
Empfehlung von meiner Seite:
Entweder die Software vom Rechner löschen oder eine Ausnahmeregelung bei Ihrem Virenscanner einrichten. Das ist zwar beides nicht die eleganteste Art, aber für eine schnelle Lösung praktikabel.
Viele Grüße
Sven Udert