Computerwissen

Dies ist ein Begrüßungstext, der immer auf der QuA Landingpage (qa/index) angezeigt wird.

Hallo Herr Beisecker,

vor wenigen Minuten meldete mir die 'Bitdefender Internet Security 2015' auf meinem Windows 8.1-Rechner mehrfach :
Infizierte Web-Ressource gefunden
Die Web-Resource http://www.computerwissen.rs.ro/xml.php wurde als infiziert eingestuft. Die Web-Resource wurde erfolgreich blockiert und Ihr PC ist nun sicher

Gibt es tatsächlich ein Sicherheitsproblem oder ist es ein Fehl-Alarm ?

Freundliche Grüße
dieter53
Geschrieben in: Internetsicherheit 13:10, 10. Juni 2015
Beitrag teilen:
Antworten (17)
  • Akzeptierte Antwort

    09:33, 11. Juni 2015
    Hallo Herr Beisecker (bzw. einen ihn vertretenden Experten),

    in Ergänzung meiner gestern übermittelten Mitteilung zu einer angeblichen (oder tatsächlichen ?) Infektion auf einer Web-Ressource des Computerwissen-Verlages wurde mir auch beim heutigen PC-Start diese Meldung mehrfach angezeigt.
    Ich konnte heute noch Hinweise gewinnen, wodurch es zu der Warn-Meldung kam. Die im Start-Menü (Autostart-Ordner) befindliche Datei CW News ist für die dann folgende Warn-Meldungen verantwortlich. Ich hoffe, dass es mit diesen ergänzenden Hinweisen gelingt, eine Antwort auf meine Frage zu finden.

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    12:35, 11. Juni 2015
    Hallo Dieter,

    Sie haben sich schon die Domian angesehen? Diese hat mit unserem Cpomputerwissenclub nichts zu tun.

    Wir sind hier auf https://club.computerwissen.de
    Ihre Meldung stammt von http://www.computerwissen.rs.ro/

    Wir Top Level Domain Deutschland, die der Meldung ist ro, das für Rumänien steht.

    Dies ist also ein fremder Server, der vermutlich deutsche Nutzer einfangen soll, die nach Computerwissen suchen und nicht auf die tatsächliche Domain achten. Sinn solcher Server ist oft die Verbreitung von Schadsoftware, daher wundert mich die Meldung von Bitdefender nicht.

    Leider können wir da nicht eingreifen.

    Mit freundlichen Grüßen,
    Dirk Kleemann
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    13:00, 11. Juni 2015
    Hallo Herr Kleemann,

    Danke für Ihre Rückmeldung - Aber wieso wird - so meine derzeitige Erkenntnis - das Programm CW News.exe als Auslöser für eine derartige Verbindung erwähnt ?

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    13:03, 11. Juni 2015
    Hallo Dieter,

    da muss ich mal nachforschen. ich werde dies an die Zuständigen weitergeben. Hier ist mir nichts dergleichen aufgefallen.

    Mit freundlichen Grüßen,
    Dirk Kleemann
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    22:18, 11. Juni 2015
    Hallo an die Experten,

    Um die beim Computerstart geschilderten Warn-Meldungen
    zu umgehen, habe ich zwischenzeitich den Link zur
    CW News.exe-Datei aus dem Autostart-Ordner entfernt und einen kompletten System-Scan mit 'Bitdefender Internet Security 2015' durchgeführt. Damit scheint das Problem zunächst einmal gelöst, denn es gab keine Funde und nach einem Computer-Neustart keine Warn-Meldungen mehr.

    Dennoch bleibt die Frage, warum es seit gestern 12:32 Uhr mehrfach zu den Warnmeldungen kam, bei denen die in der Frage genannte Web-Ressource als infiziert eingestuft wurde
    und CW News.exe der Auslöser sein soll ?

    Evtl. hilft hierbei die beigefügte Anlage vom Ordner 'Programme\Ihr PC-Sicherheits-Berater Special-Edition 2014' , aus der die enthaltenen Dateien ersichtlich sind ?

    Vorab "Danke" für Ihre Antwort !

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    noha
    VIP
    noha
    online
    23:10, 11. Juni 2015
    Hallo,

    das liest sich ja ziemlich merkwürdig und damit gibt es Fragen über Fragen...

    Wenn man einen Link (aus dem Autostart-Ordner) entfernt, ändert sich an der damit referenzierten .exe-Datei nichts. Warum gibt es dann keine Warnung mehr?
    Gibt es wieder eine Warnung, wenn man den Link wieder einrichtet?

    Dass ein Scan der Datei CW News.exe nichts verdächtiges bringt, ist schon der Meldung zu entnehmen, dass keine .exe-Datei sondern eine Web-Ressource verdächtig sei. Daher: Was versteht eigentlich Bitdefender unter Web-Ressource?

    Welche Netzwerkverbindungen werden von CW News.exe nach dem Start aufgebaut und wie vermeldet, z.B. durch Vergleich von ProcessExplorer mit Wireshark?

    VG
    Norbert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    09:16, 12. Juni 2015
    Hallo Norbert und den Experten des Verlages,

    Danke für Ihre Rückmeldung und die Ideen zur Fehlerbehebung.

    Durch den entfernten Autostart-Eintrag ist das Problem selbstverständlich noch nicht generell (ich hatte geschrieben 'zunächst einmal') gelöst, denn ein Klick auf CW News.exe oder den 'nur verschobenen Link' bringt erneut jeweils 10 neue Warn-Hinweise seitens Bitdefender.

    Ich hatte den Screenshot vom Programm-Ordner von
    'Ihr PC-Sicherheits-Berater Special-Edition 2014' deswegen beigefügt, um anhand von Merkmalen wie Dateierstellungs- -datum, -version und -größe ggf. Rückschlüsse auf evtl. (?) schon bekannt gewordene Probleme ziehen zu können.

    Ihre Idee einer Nachverfolgung der Netzwerkverbindungen finde ich zielführend, habe aber keinerlei Erfahrungen im Umgang mit Process Explorer oder Wireshark. Ich habe mir zwischenzeitlich Process Explorer gedownloadet und gestartet sowie Wireshark gedownloadet, benötige aber weitere Hinweise
    bei der Problemlösung mit den genannten Programmen.

    Über eine weiterführende Hilfe durch Sie oder Experten des Verlages würde ich mich sehr freuen.

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    10:18, 12. Juni 2015
    Hallo,

    zwischenzeitlich habe ich per Klick auf den Eintrag von
    CW News im Process Explorer einige Screenshots anfertigen können (siehe Zusammenstellung im Datei-Anhang), habe aber keine Kenntnis, was daraus zu schlussfolgern ist.

    MfG
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    noha
    VIP
    noha
    online
    14:55, 12. Juni 2015
    Hallo Dieter,

    Im ProcessExplorer ist genau das zu sehen, was ich mir vorgestellt habe. Die angegebene IP-Adresse 94.53.7.156 wird von
    http://www.infosniper.net/index.php?ip_address=94.53.7.156&map_source=1&overview_map=1&lang=1&map_type=1&zoom_level=7
    aufgelöst zur Firma Sc Nextgen Communications Srl.
    RIPE liefert dazu:
    NEXTGEN COMMUNICATIONS SRL
    SC NEXTGEN COMMUNICATIONS SRL
    Baneasa Business & Technology Park Sos. Bucuresti - Ploiesti nr. 42-44 Cladirea A, Aripa A2, Etaj 2, Sector 1, Bucuresti
    Cod 013696 Bucuresti
    ROMANIA
    phone: +40769080138
    fax: +40213167885
    e-mail: noc (at) next-gen (dot) ro
    Areas serviced: RO

    was eigentlich zu erwarten war. Wireshark protokolliert den Netzwerkverkehr und kann ggf. mehr liefern. Eine Übersicht zur Verwendung von Wireshark habe ich als PDF angehängt.
    Hilfreich ist es, wenn man einige Details zum Netzwerkverkehr kennt, also weiß, was die Protokolle TCP, TLS, ARP etc. machen. Der eigene Rechner hat die IP 192.168.0.3. Bei dem von mir gezeigten Ausschnitt sieht man, dass sich der Browser mit club.computerwissen.de unterhält (ich hatte im Browser F5 zum Aktualisieren geklickt), außerdem sieht man, dass das Windows-Drucksystem den Zustand der Netzwerkdrucker abfragt, z.B. 192.168.0.101 und dass Windows den inzwischen ausgeschalteten Rechner 192.168.0.9 vermisst.
    Wenn man möchte, kann man mit Wireshark auf bestimmte IP-Adressen filtern, mit der Gefahr, unbekannte Adressen versehentlich nicht zu bekommen.

    VG
    Norbert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    16:09, 12. Juni 2015
    Hallo Norbert und den Experten des Verlages,

    ich bedanke mich für die erfolgte Adress-Auflösung und die Hinweise zu Wireshark, womit ich mich vor Installation erst noch etwas genauer befassen möchte.

    Aber was bedeutet die Erkenntnis, dass die IP-Adresse einem Server aus Rumänien zuzuordnen ist ? Im Prinzip ist es eine Bestätigung der gestrigen Aussage von Herrn Kleemann - nur etwas konkreter.
    Warum verbindet 'CW News.exe' zu einem rumänischen Server ?
    - Ist an der exe-Datei etwas 'faul' ?
    - Ist diese irgendwie infiziert ? oder
    - Beinhaltet diese in meiner Anlage vom 11.06.2015 aufgelistete Datei vom 3.10.2009, 540 KB, (Version 1.0.0.43) bereits von Anfang an einen 'falschen Leitweg' ?
    Es gibt wie gestern Abend bereits richtig bemerkt
    "Fragen über Fragen".

    Ich weiß nicht, ob mir das empfohlene Tool 'Wireshark'
    da neue Erkenntnisse zu vorgenannten Fragen bietet ?
    (daher warte ich zunächst noch ab)

    Zudem hoffe ich, dass ausser der lobenswerten Antwort-Beteiligung seitens Norbert sich auch ein Experte des Verlages zum aktuellen Erkenntnisstand und den noch offenen Fragen äußern wird.

    Dafür vorab meinen Dank an die 'Antwort-Willigen' ;)

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    noha
    VIP
    noha
    online
    16:37, 12. Juni 2015
    Hallo Dieter,

    der Einsatz von Wireshark kann erstens aufzeigen, ob noch weitere Netzwerkverbindungen aufgebaut werden und es damit der komplette Netzwerkverkehr protokolliert werden. Damit sieht man, welche Information heraus geht und herein kommt.
    Schließlich sollte ja auch die Frage beantwortet werden, warum Bitdefender in diesem Programm ein Problem sieht.

    VG
    Norbert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    17:14, 12. Juni 2015
    Hallo Norbert,

    habe zwischenzeitlich 'wireshark' installiert und ausgeführt, sowie einen Mitschnitt bei gestartetem CW News.exe abgepeichert. Die abgespeicherte Datei würde ich Ihnen gern zwecks Erkennung evtl. Auffälligkeiten übermitteln und hoffe, dass dieser Datei-Anhang-Typ zulässig ist. Vorab Vielen Dank .

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    podsven
    podsven
    offline
    18:01, 12. Juni 2015
    Hallo zusammen,

    ich möchte hier mal ein großes STOP rufen. Bevor weiter wild diskutiert und spekuliert wird. Die CW News sind an sich vollkommen harmlos. Dieses kleine Programm wird auf Wunsch mit den Geschenk-DVDs installiert und bringt Neuigkeiten von Computerwissen direkt auf den Desktop. Die Installation ist optional.

    Was Herr Kleemann nicht wissen konnte: Dieses Tool wurde von unserem rumänischen Partnerverlag entwickelt und läuft daher auch über einen rumänischen Server. Sollte unser rumänischer Partnerverlag nicht Opfer von Hackerangriffen geworden sein, wovon ich erstmal nicht ausgehe, da wir dann sicherlich Meldung darüber erhalten hätte, ist diese ganze Geschichte vollkommen harmlos.

    Ich hoffe ich konnte für Aufklärung sorgen.

    Viele Grüße

    Sven Udert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    18:23, 12. Juni 2015
    Hallo Herr Udert,

    Danke für Ihre Informationen. Auch wenn Ihre Aussage so stimmen sollte, frage ich mich, warum Bitdefender die in meiner Frage angegebene Warnmeldung ausgibt ?
    .... wurde als infiziert eingestuft.
    Ist das ein Fehlalarm, evtl. wegen irgendwelcher einer Infektion ähnelnden Symptome oder doch etwas Ernst zu nehmendes ?

    Können Sie den Partner-Verlag auf diese von Ihnen beschrie- bene Situation hinweisen, auch zu dessen Sicherheit ... ?
    Möglicherweise weiß er das nicht und ist für einen derartigen Hinweis dankbar ...!
    Dennoch vielen Dank für diese aufklärenden Hinweise.

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    podsven
    podsven
    offline
    18:25, 12. Juni 2015
    Hallo dieter53,

    genau das habe ich mich auch gefragt und bereits den zuständigen IT-Experten bei uns im Hause mit einer Klärung beauftragt.

    Viele Grüße

    Sven Udert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    13:13, 16. Juni 2015
    Hallo Herr Udert,

    Gibt es schon Neuigkeiten, die die IT-Experten in Erfahrung bringen konnten ?
    Ein vor wenigen Minuten durchgeführter manueller Klick auf das CW News-Icon brachte zwar eine etwas anders formulierte Fehlermeldung - das Problem scheint jedoch noch nicht gelöst? Wurden die rumänischen IT-Fachleute schon unterrichtet und gibt es Hoffnung auf eine Lösung ?

    Danke für einen Zwischenbescheid !

    Freundliche Grüße
    dieter53
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    podsven
    podsven
    offline
    13:37, 16. Juni 2015
    Hallo dieter53,

    laut unserer IT-Abteilung droht von diesem Server, auf welchen die URL im Link verweist, definitiv keine Gefahr. Hier wird lediglich der Kanalname dieses Tools (man kann nur bestimmte Informationen aktivieren) ausgegeben.

    Empfehlung von meiner Seite:
    Entweder die Software vom Rechner löschen oder eine Ausnahmeregelung bei Ihrem Virenscanner einrichten. Das ist zwar beides nicht die eleganteste Art, aber für eine schnelle Lösung praktikabel.

    Viele Grüße

    Sven Udert
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
Login Bild

Bitte melden Sie sich an um eine Antwort zu verfassen

Sie müssen angemeldet sein um eine Antwort zu verfassen. Sie können hierfür das Anmeldeformular rechts nutzen oder sich registrieren.

Hier registrieren »