KIS + thebat: Meldung >Zugriff verweigert<

Hallo, ich bitte um Hilfe bzw. Aufklärung für folgendes Problem:

seit 20. April bekomme ich unregelmäßig folgende Meldung von KIS:

=============================================================

> unter BERICHTE - Basisschutz - WEB-Anti-Virus

Heute, 26.04.2022 10:02:03 Zugriff verweigert

Ereignis: Zugriff verweigert

Benutzer: NT-AUTORITÄT\SYSTEM

Benutzertyp: Systembenutzer

Programmname: thebat64.exe

Programmpfad: C:\Program Files\The Bat!

Komponente: Web-Anti-Virus

Ergebnisbeschreibung: Gesperrt

Typ: Bösartiger Link

Name: (Linkadresse)

Genauigkeit: Genau

Bedrohungsstufe: Hoch

Objekttyp: Webseite

Objektname: 35011

Objektpfad: (Linkadresse)

Grund: Cloud-Sicherheit

=============================================================

Diese Meldung taucht an manchen Tagen 6 x auf, dann wieder nur 2 x, an manchen Tagen überhaupt nicht.

Der erste Teil des Links bleibt immer gleich (fett markiert), der Rest ändert sich jedesmal.

Wichtig: Kaspersky blockiert the bat im laufenden Betrieb NICHT, sondern verhindert offensichtlich nur (im Hintergrund) den Zugriff auf diese Links.

thebat und Kaspersky funktionieren grundsätzlich nach wie vor tadellos - mich irritiert nur diese Meldung und ich würde sie gerne verstehen.

Habe Kaspersky deshalb kontaktiert und gerade folgende Antwort bekommen: ====================

Ihr Email-Client (The Bat) ruft ständig diese Web-Adresse auf. Kaspersky verweigert den Zugriff auf diese Web-Adresse und Sie werden darüber informiert.

Die Prüfung der Internetadresse auf opentip.kaspersky.com hatte das folgende Ergebnis:

Botnet C&C HackTool.Win32.Cobalt wurde gefunden. Kategorie: Malware

Prüfen Sie bitte, ob ein in "TheBat" installiertes Plugin diese Web-Adresse im Hintergrund aufruft.

Sie können gerne alle installierte Plugins temporär deaktivieren oder löschen um zu prüfen ob das Problem damit behoben wird.

====================================================================================

• Das ist zwar ein interessanter Ansatzpunkt, aber:
  ich wüsste nicht, WIE thebat eine Web-Adresse aufrufen könnte ...? Selbst wenn, wie sollte ich das verhindern?
• Zur Prüfung eines in thebat installierten Plugins: ich habe gar kein PlugIn installiert. Wenigstens nicht bewusst. Thebat kommt in einem kompletten Installationspaket; ich habe nichts nachträglich installiert oder eingefügt. Ich wüsste deshalb auch nicht, wie ich dieser Empfehlung folgen sollte.

Kann sich einer von Euch einen Reim darauf machen? Ist dieses "Problem" bekannt?

Bin für jeden Hinweis dankbar...

Nachtrag: hatte unter

Name

und

Objektpfad

zuerst die Linkadresse eingefügt, wie sie in KIS zu sehen ist, nachträglich aber gleich wieder entfernt, da es mir nicht gelungen ist, NUR die Verknüpfung zu entfernen

Also: unter PLUGINS ist nichts eingetragen - wie erwartet.

Die LInkadresse, ja ist bekannt - ich versuchs nochmal:
hatetepe-doppelpunkt-doppelslash 181.214.133.79/op/

Sorry, musste ich so schreiben - sonst verwandelt sich der Text automatisch in einen echten LInk ...

Das ist die erste Hälfte, die immer gleich bleibt - nach hinten raus ändert sich's immer wieder

Diesen Link hatte ich auch an Kaspersky geschickt, worauf die o.g. Antwort kam.

Habe auch soeben thebat auf diese Linkadresse hin durchsucht - es wurde nichts gefunden.

Zitat von sanyok

Stellst du vielleicht über OAuth als Authentifikation eine Verbindung zu irgendeinem Mailserver her? Da wird ja auch eine URL aufgerufen.

Sorry, was bedeutet OAuth?

Ok, jetzt hab ich's auch entdeckt: NEIN, keines meiner Mailkonten läuft über OAuth.

Ok, danke erstmal - ist ja interessant ....

Brasilien? Nein, diese Firma sagt mir überhaupt nichts. Ich bin übrigens auch jemand, der sich NICHT auf dubiosen Websites herumtreibt ... wollte ich nur mal gesagt haben

ok, werde Kaspersky nochmal den gesamten PC scannen lassen. Aber eigentlich macht die Software das doch automatisch in gewissen zeitlichen Abständen ... hmmm. Seltsam.

Früher hab ich ergänzend auch mal mit malwarebytes oder CCleaner gescannt, zur Zeit sind aber beide nicht installiert. Ist das aktuell noch empfehlenswert? Oder gibts mittlerweile bessere Alternativen?

Heute hab ich übrigens nur EINE vergleichbare Meldung bekommen - diesmal meckert Kaspersky über firefox:

Unterschiede:

Ereignis: Download verweigert

Programmname: firefox.exe

Programmpfad: C:\Program Files\Mozilla Firefox

Typ: Wahrscheinlichkeit eines nicht autorisierten Downloads (versteht sich, dass ich aktiv KEINEN Download gestartet habe!)

Name: hatetepe-doppelpunkt-doppelslash http://rbone.link/pjs/AYbZAY4k_.js

Bedrohungsstufe: Hoch

Objekttyp: Webseite

Objektname: 35011

Objektpfad: hatetepe-doppelpunkt-doppelslash http://rbone.link/pjs

Grund: Cloud-Sicherheit

Zitat von sanyok

CCleaner bietet ja eigentlich keinen Schutz an, sondern entfernt vor allem Sachen, die man mit Windows-Mitteln nicht entfernen kann. Empfehlenswert ist da eher so etwas wie z.B. Stinger und HiJackThis Fork (das Original wird ja nicht mehr weiterentwickelt). Malwarebytes ist auch OK. Am besten alle laufen lassen und bei Kaspersky einen Deep Scan mit allen eingeschalteten Optionen. Was das Programm ab und zu selbst macht, ist vielleicht nur so eine schelle Untersuchung.

Und eine gut erstellte Schadprogramm-Nachricht würde ja den Link nicht sichtbar machen, so dass auch die Suche nichts finden würde. Da müsste man schon den Quelltext von jeder HTML-Nachricht durchsuchen.

Außerdem ruft TB! niemals irgendwelche URLs automatisch auf, sondern erst, nachdem man mit dem Mauszeiger darauf geklickt hat. Daher ist das Ganze irgendwie nicht nachvollziehbar. Klickst du denn grundsätzlich irgendwelche Links in irgendwelchen Nachrichten in TB! an?

Ccleaner/Malwarebytes: ok, danke für die Tipps, werde ich mir mal anschauen bzw. malwarebytes dann nochmal installieren. Übrigens: vor 2 Tagen hatte ich den kompletten Tiefenscan von Kaspersky schonmal durchlaufen lassen - es wurde nichts entdeckt.

thebat durchsuchen: ok, auch verstanden - das macht dann wohl wenig Sinn bzw. wäre in diesem Fall viel zu aufwendig.

URL-Aufruf durch TB: genau - ich war bisher auch der Meinung, dass TB selbst keine URLs aufruft. Und nein - natürlich klicke ich GRUNDSÄTZLICH keine Links in Nachrichten an, die mir in irgendeiner Weise dubios vorkommen oder deren Absender mir nicht bekannt ist.

Hatte übrigens gerade eben WIEDER DREI Meldungen >Zugriff verweigert< ... als ich meine Mails heute erstmalig abgerufen habe.

Was mir dabei auffiel: die Meldungen tauchten genau in dem Moment auf, als ich die Mails eines bestimmten Kontos abrief: dieses Konto nutze ich schon seit einer halben Ewigkeit nur für den Kontakt mit bestehenden offiziellen Vertragspartnern (Versicherung, Bank, Krankenkasse etc.) - also ausdrücklich NICHT für Gewinnspiele etc.

Trotzdem wird genau dieses Konto seit Monaten mit Spam überschüttet, dass es schon nicht mehr feierlich ist. Täglich ca 100 Spams, die allesamt im Eingang landen und natürlich von Hand durchgesehen werden müssen, damit mir keine wirklich wichtige Nachricht entgeht.

Beim Durchsehen dieser Nachrichten (wobei ich nur die Kopfzeilen durchgehe und natürlich NICHTS vom Inhalt anklicke!) erschienen die drei Meldungen von heute.

Ich habe wegen der Spamflut auch schon den Anbieter kontaktiert, der aber nicht wirklich weiterhelfen kann; dessen Spam-Filter hilft zwar auch ein bisschen die Flut zu minimieren, aber es landet eben immer noch viel zu viel in thebat. Ich bin deshalb gerade dabei, dieses Adresse zu löschen und wichtige Ansprechpartner über eine neue Adresse bei einem anderen Anbieter zu informieren. Das geht aber nicht von heute auf morgen, trotzdem: diesbezüglich sehe ich schon Licht am Ende des Tunnels. Vielleicht hat sich danach auch die Kaspersky-Meldung erledigt. Hoffe ich jedenfalls.

HTML-Nachrichten:

Ja, das sind vorwiegend irgendwelche Werbemails, d.h. mit Bild

ok, in TB habe ich den Betrachter schon so eingestellt, dass er mir vorwiegend HTML-Nachrichten anzeigt. Das würde tatsächlich dazu führen, dass Bilder automatisch nachgeladen werden wollen.

Andernfalls würde ich allerdings zu oft nur ein wirres Durcheinander sehen ... das möchte ich auch ungern ändern.

IE nutze ich überhaupt nicht, nur Firefox. Und da wüsste ich nicht, wo ich überhaupt so etwas einstellen könnte. Wie komme ich denn dort an den Download-Manager?

Mir ist grade was anderes aufgefallen: ich könnte mir in TB ja auch testweise NUR die Kopfzeilen runterladen lassen ... und dann prüfen, ob die Meldung noch erscheint. Hätte auch den Vorteil, dass man das kontobezogen machen kann - die HTML-Anzeige-Einstellung geht ja nur kontenübergreifend.

Hab das jetzt gerade mal so eingestellt - schaumermal ...

ok, die ersten beiden Kopfzeilen sind schon angekommen *gg*

Ist zwar jetzt NOCH MEHR Text pro Nachricht, aber ich kann erkennen, ob das wieder so ein Spam-Müll ist oder was wirklich wichtiges - ohne die ganze Nachricht runterzuladen.

Das werde ich jetzt mal im Auge behalten ...

Betrachter einstellen:

ok, hab gerade nachgesehen: habe bisher den System-HTML-Betrachter angehakt - hab ich jetzt geändert und den von thebat gewählt.

"Entsprechend den Regeln von thebat" war aber schon angehakt.

Bild-Download-Manager in TB:

geprüft - dort waren keine Regeln eingetragen - alles leer.

ImgDlRules.txt

auch geprüft - die ist nur 1 kb groß und enthält nur das Wort AllEnable.

Ich lasse täglich die Ordnerwartung drüberlaufen - ich nehme an, dass deshalb dort nichts zu finden ist.

Habe übrigens seit der Umstellung auf Abruf von "nur Kopfzeilen" im entsprechenden Konto nur noch einmal die KIS-Meldung bekommen; da hatte ich die Mailgroße auf 10 kb festgelegt. Danach hab ich das reduziert auf 1 kb. Seither ist erstmal Ruhe - keine Meldung mehr ...

Werde das jetzt erstmal so lassen und weiter im Auge behalten. Vielen Dank für Deine Hilfe!

Bevor ich Entwarnung gebe, wollte ich wenigstens mal einen Tag abwarten ... bisher gabs nur 1 Meldung, aber nicht in Verbindung mit TB, sondern mit Firefox. Was aber mit deinen Erklärungen übereinstimmt, denn ich habe zwischenzeitlich wieder auf den systeminternen Betrachter umgestellt. Ohne Regeln zu erstellen (da ich nicht wusste, wie).

Aber ich bin dabei gebliebenn, mir im fraglichen Konto nur die Kopfzeilen herunterladen zu lassen. Seither ist Ruhe - zumindest wird nicht mehr auf TB verwiesen. Und es gab - wie gesagt - bisher nur 1 Meldung (die ich allerdings auch zuordnen konnte).