KIS + thebat: Meldung >Zugriff verweigert<

  • Hallo, ich bitte um Hilfe bzw. Aufklärung für folgendes Problem:

    seit 20. April bekomme ich unregelmäßig folgende Meldung von KIS:

    =============================================================

    > unter BERICHTE - Basisschutz - WEB-Anti-Virus


    Heute, 26.04.2022 10:02:03 Zugriff verweigert

    Ereignis: Zugriff verweigert

    Benutzer: NT-AUTORITÄT\SYSTEM

    Benutzertyp: Systembenutzer

    Programmname: thebat64.exe

    Programmpfad: C:\Program Files\The Bat!

    Komponente: Web-Anti-Virus

    Ergebnisbeschreibung: Gesperrt

    Typ: Bösartiger Link

    Name: (Linkadresse)

    Genauigkeit: Genau

    Bedrohungsstufe: Hoch

    Objekttyp: Webseite

    Objektname: 35011

    Objektpfad: (Linkadresse)

    Grund: Cloud-Sicherheit

    =============================================================

    Diese Meldung taucht an manchen Tagen 6 x auf, dann wieder nur 2 x, an manchen Tagen überhaupt nicht.

    Der erste Teil des Links bleibt immer gleich (fett markiert), der Rest ändert sich jedesmal.


    Wichtig: Kaspersky blockiert the bat im laufenden Betrieb NICHT, sondern verhindert offensichtlich nur (im Hintergrund) den Zugriff auf diese Links.

    thebat und Kaspersky funktionieren grundsätzlich nach wie vor tadellos - mich irritiert nur diese Meldung und ich würde sie gerne verstehen.


    Habe Kaspersky deshalb kontaktiert und gerade folgende Antwort bekommen: ====================

    Ihr Email-Client (The Bat) ruft ständig diese Web-Adresse auf. Kaspersky verweigert den Zugriff auf diese Web-Adresse und Sie werden darüber informiert.


    Die Prüfung der Internetadresse auf opentip.kaspersky.com hatte das folgende Ergebnis:

    Botnet C&C HackTool.Win32.Cobalt wurde gefunden. Kategorie: Malware


    Prüfen Sie bitte, ob ein in "TheBat" installiertes Plugin diese Web-Adresse im Hintergrund aufruft.

    Sie können gerne alle installierte Plugins temporär deaktivieren oder löschen um zu prüfen ob das Problem damit behoben wird.

    ====================================================================================

    • Das ist zwar ein interessanter Ansatzpunkt, aber:
      ich wüsste nicht, WIE thebat eine Web-Adresse aufrufen könnte ...? Selbst wenn, wie sollte ich das verhindern?
    • Zur Prüfung eines in thebat installierten Plugins: ich habe gar kein PlugIn installiert. Wenigstens nicht bewusst. Thebat kommt in einem kompletten Installationspaket; ich habe nichts nachträglich installiert oder eingefügt. Ich wüsste deshalb auch nicht, wie ich dieser Empfehlung folgen sollte.

    Kann sich einer von Euch einen Reim darauf machen? Ist dieses "Problem" bekannt?

    Bin für jeden Hinweis dankbar...

    _____________________________________________

    thebat pro v. 7.4.16 (64bit), OS win10pro

    Einmal editiert, zuletzt von callista ()

  • Nachtrag: hatte unter

    Name

    und

    Objektpfad

    zuerst die Linkadresse eingefügt, wie sie in KIS zu sehen ist, nachträglich aber gleich wieder entfernt, da es mir nicht gelungen ist, NUR die Verknüpfung zu entfernen

  • zuerst die Linkadresse eingefügt

    Die gesperrte Adresse ist also dir bekannt? Kannst du sie nennen oder zumindest die Domain? Taucht sie in irgendeiner E-Mail auf?


    Es handelt sich um TB! v7? Schaue nach, ob unter Benutzereinstellungen-> Plugins etwas eingetragen ist? Die beiden Unterbereiche für AntiVirus und AntiJunk musst du auch untersuchen.


    Stellst du vielleicht über OAuth als Authentifikation eine Verbindung zu irgendeinem Mailserver her? Da wird ja auch eine URL aufgerufen.

  • Also: unter PLUGINS ist nichts eingetragen - wie erwartet.


    Die LInkadresse, ja ist bekannt - ich versuchs nochmal:
    hatetepe-doppelpunkt-doppelslash 181.214.133.79/op/

    Sorry, musste ich so schreiben - sonst verwandelt sich der Text automatisch in einen echten LInk ...

    Das ist die erste Hälfte, die immer gleich bleibt - nach hinten raus ändert sich's immer wieder

    Diesen Link hatte ich auch an Kaspersky geschickt, worauf die o.g. Antwort kam.


    Habe auch soeben thebat auf diese Linkadresse hin durchsucht - es wurde nichts gefunden.

  • OAuth, eEine moderne Authentifzizierungsmethode, mittlerweile bei Google u. a. eingeführt.

    The Bat! Pro 10.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.3.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • 181.214.133.79

    Kaspersky blockt in der Tat die genannte IP, wenn man sie z.B. manuell im Browser eingibt und aufruft.

    Laut IP-Auskunft gehört sie zu Brasilien und zu der Firma IPXO (https://www.ipxo.com/). Sagt dir das etwas?


    Die Firma betreibt jedenfalls laut Webseite Fully Automated IP Address Lease & Monetization Marketplace, also einen automatisierten Marktplatz für die Vermietung und Monetarisierung von IP-Adressen. Da wird also wahrscheinlich u.a. Geld für das Aufrufen von vermieteten IP-Adressen wie der o.g. bezahlt. Klingt irgendwie nicht ganz koscher und wird vielleicht deshalb von Kaspersky geblockt.


    Vielleicht solltest du deinen gesamten PC auf Viren etc. scannen. Irgendwas muss diese IP aufrufen.

  • Ok, danke erstmal - ist ja interessant ....


    Brasilien? Nein, diese Firma sagt mir überhaupt nichts. Ich bin übrigens auch jemand, der sich NICHT auf dubiosen Websites herumtreibt ... wollte ich nur mal gesagt haben ;)


    ok, werde Kaspersky nochmal den gesamten PC scannen lassen. Aber eigentlich macht die Software das doch automatisch in gewissen zeitlichen Abständen ... hmmm. Seltsam.


    Früher hab ich ergänzend auch mal mit malwarebytes oder CCleaner gescannt, zur Zeit sind aber beide nicht installiert. Ist das aktuell noch empfehlenswert? Oder gibts mittlerweile bessere Alternativen?


    Heute hab ich übrigens nur EINE vergleichbare Meldung bekommen - diesmal meckert Kaspersky über firefox:

    Unterschiede:

    Ereignis: Download verweigert

    Programmname: firefox.exe

    Programmpfad: C:\Program Files\Mozilla Firefox

    Typ: Wahrscheinlichkeit eines nicht autorisierten Downloads (versteht sich, dass ich aktiv KEINEN Download gestartet habe!)

    Name: hatetepe-doppelpunkt-doppelslash rbone.link/pjs/AYbZAY4k_.js

    Bedrohungsstufe: Hoch

    Objekttyp: Webseite

    Objektname: 35011

    Objektpfad: hatetepe-doppelpunkt-doppelslash rbone.link/pjs

    Grund: Cloud-Sicherheit

  • CCleaner bietet ja eigentlich keinen Schutz an, sondern entfernt vor allem Sachen, die man mit Windows-Mitteln nicht entfernen kann. Empfehlenswert ist da eher so etwas wie z.B. Stinger und HiJackThis Fork (das Original wird ja nicht mehr weiterentwickelt). Malwarebytes ist auch OK. Am besten alle laufen lassen und bei Kaspersky einen Deep Scan mit allen eingeschalteten Optionen. Was das Programm ab und zu selbst macht, ist vielleicht nur so eine schelle Untersuchung.


    Und eine gut erstellte Schadprogramm-Nachricht würde ja den Link nicht sichtbar machen, so dass auch die Suche nichts finden würde. Da müsste man schon den Quelltext von jeder HTML-Nachricht durchsuchen.


    Außerdem ruft TB! niemals irgendwelche URLs automatisch auf, sondern erst, nachdem man mit dem Mauszeiger darauf geklickt hat. Daher ist das Ganze irgendwie nicht nachvollziehbar. Klickst du denn grundsätzlich irgendwelche Links in irgendwelchen Nachrichten in TB! an?

  • CCleaner bietet ja eigentlich keinen Schutz an, sondern entfernt vor allem Sachen, die man mit Windows-Mitteln nicht entfernen kann. Empfehlenswert ist da eher so etwas wie z.B. Stinger und HiJackThis Fork (das Original wird ja nicht mehr weiterentwickelt). Malwarebytes ist auch OK. Am besten alle laufen lassen und bei Kaspersky einen Deep Scan mit allen eingeschalteten Optionen. Was das Programm ab und zu selbst macht, ist vielleicht nur so eine schelle Untersuchung.


    Und eine gut erstellte Schadprogramm-Nachricht würde ja den Link nicht sichtbar machen, so dass auch die Suche nichts finden würde. Da müsste man schon den Quelltext von jeder HTML-Nachricht durchsuchen.


    Außerdem ruft TB! niemals irgendwelche URLs automatisch auf, sondern erst, nachdem man mit dem Mauszeiger darauf geklickt hat. Daher ist das Ganze irgendwie nicht nachvollziehbar. Klickst du denn grundsätzlich irgendwelche Links in irgendwelchen Nachrichten in TB! an?

    Ccleaner/Malwarebytes: ok, danke für die Tipps, werde ich mir mal anschauen bzw. malwarebytes dann nochmal installieren. Übrigens: vor 2 Tagen hatte ich den kompletten Tiefenscan von Kaspersky schonmal durchlaufen lassen - es wurde nichts entdeckt.


    thebat durchsuchen: ok, auch verstanden - das macht dann wohl wenig Sinn bzw. wäre in diesem Fall viel zu aufwendig.


    URL-Aufruf durch TB: genau - ich war bisher auch der Meinung, dass TB selbst keine URLs aufruft. Und nein - natürlich klicke ich GRUNDSÄTZLICH keine Links in Nachrichten an, die mir in irgendeiner Weise dubios vorkommen oder deren Absender mir nicht bekannt ist.


    Hatte übrigens gerade eben WIEDER DREI Meldungen >Zugriff verweigert< ... als ich meine Mails heute erstmalig abgerufen habe.


    Was mir dabei auffiel: die Meldungen tauchten genau in dem Moment auf, als ich die Mails eines bestimmten Kontos abrief: dieses Konto nutze ich schon seit einer halben Ewigkeit nur für den Kontakt mit bestehenden offiziellen Vertragspartnern (Versicherung, Bank, Krankenkasse etc.) - also ausdrücklich NICHT für Gewinnspiele etc.

    Trotzdem wird genau dieses Konto seit Monaten mit Spam überschüttet, dass es schon nicht mehr feierlich ist. Täglich ca 100 Spams, die allesamt im Eingang landen und natürlich von Hand durchgesehen werden müssen, damit mir keine wirklich wichtige Nachricht entgeht.

    Beim Durchsehen dieser Nachrichten (wobei ich nur die Kopfzeilen durchgehe und natürlich NICHTS vom Inhalt anklicke!) erschienen die drei Meldungen von heute.


    Ich habe wegen der Spamflut auch schon den Anbieter kontaktiert, der aber nicht wirklich weiterhelfen kann; dessen Spam-Filter hilft zwar auch ein bisschen die Flut zu minimieren, aber es landet eben immer noch viel zu viel in thebat. Ich bin deshalb gerade dabei, dieses Adresse zu löschen und wichtige Ansprechpartner über eine neue Adresse bei einem anderen Anbieter zu informieren. Das geht aber nicht von heute auf morgen, trotzdem: diesbezüglich sehe ich schon Licht am Ende des Tunnels. Vielleicht hat sich danach auch die Kaspersky-Meldung erledigt. Hoffe ich jedenfalls.

  • Was mir dabei auffiel: die Meldungen tauchten genau in dem Moment auf, als ich die Mails eines bestimmten Kontos abrief:

    Sind es überwiegend HTML-Nachrichten, die von dort abgerufen werden? Dann könnte es entweder am HTML-Betrachter oder am Bild-Download-Manager liegen.


    Entweder hast du also in den Benutzereinstellungen den System-HTML-Betrachter, sprich Internet Explorer, eingestellt, was dazu führt, dass bei HTML-Nachrichten, bei denen etwas nachgeladen werden muss, z.B. Bilder, diese ohne vorherige Nachfrage automatisch getan wird, wodurch natürlich ebenfalls automatisch bestimmte Adressen im Hintergrund aufgerufen werden.


    Oder du hast zwar den internen TB!-Betrachter eingestellt, aber über den Bild-Download-Manager bestimmte Regeln eingerichtet, wodurch Sachen ebenfalls ohne Nachfrage nachgeladen werden.


    In v7 war das alles ja noch anders. Mittlerweile kann man z.B. IE nicht mehr einstellen, früher jedoch schon, was auch gefährlich war.


    Überprüfe also deine HTML-Betrachter-Einstellungen und lösche nach Möglichkeit alle Regeln im Bild-Download-Manager. Diese wurden früher in der Datei ImgDlRules.txt im MAIL-Verzeichnis gespeichert. Du könntest also diese Datei sichern, löschen und das Verhalten beobachten. Wenn Kaspersky nicht mehr meckert, dann lag's daran.

  • HTML-Nachrichten:

    Ja, das sind vorwiegend irgendwelche Werbemails, d.h. mit Bild


    ok, in TB habe ich den Betrachter schon so eingestellt, dass er mir vorwiegend HTML-Nachrichten anzeigt. Das würde tatsächlich dazu führen, dass Bilder automatisch nachgeladen werden wollen.

    Andernfalls würde ich allerdings zu oft nur ein wirres Durcheinander sehen ... das möchte ich auch ungern ändern.


    IE nutze ich überhaupt nicht, nur Firefox. Und da wüsste ich nicht, wo ich überhaupt so etwas einstellen könnte. Wie komme ich denn dort an den Download-Manager?

  • Mir ist grade was anderes aufgefallen: ich könnte mir in TB ja auch testweise NUR die Kopfzeilen runterladen lassen ... und dann prüfen, ob die Meldung noch erscheint. Hätte auch den Vorteil, dass man das kontobezogen machen kann - die HTML-Anzeige-Einstellung geht ja nur kontenübergreifend.

    Hab das jetzt gerade mal so eingestellt - schaumermal ...

  • ok, die ersten beiden Kopfzeilen sind schon angekommen *gg*

    Ist zwar jetzt NOCH MEHR Text pro Nachricht, aber ich kann erkennen, ob das wieder so ein Spam-Müll ist oder was wirklich wichtiges - ohne die ganze Nachricht runterzuladen.

    Das werde ich jetzt mal im Auge behalten ...

  • Ja, das sind vorwiegend irgendwelche Werbemails, d.h. mit Bild

    Wenn die Bilder nicht beigefügt sind, dann müssen sie nachgeladen werden, damit die Nachricht richtig angezeigt werden kann. Dieses Nachladen kann man natürlich auch missbrauchen.


    in TB habe ich den Betrachter schon so eingestellt, dass er mir vorwiegend HTML-Nachrichten anzeigt.

    Das hast du missverstanden. Es geht nicht darum, wie die HTML-Nachrichten angezeigt werden sollen, sondern womit. Du musst also nicht im Abschnitt Betrachter/Editor, sondern in HTML-Betrachter schauen. Dort müssen die beiden Optionen Den HTML-Betrachter von The Bat! nutzen sowie Entsprechend den Regeln von The Bat! aktiviert sein.


    Darauf, ob du IE nutzt oder auf der Festplatte hast, kommt es nicht an, da The Bat! nicht den Browser, sondern seine Engine verwenden wird, falls nicht die o.g. Optionen aktiviert sind.


    Im Abschnitt Betrachter/Editor kannst du hingegen die Anzeige von HTML-Nachrichten als Nur-HTML belassen, da man sonst in der Tat ein Kauderwelsch bekommen könnte.

    Wie komme ich denn dort an den Download-Manager?

    Nicht Download-Manager, sondern Bild-Download-Manager und nicht dort, sondern in The Bat! In v7 ist er im Menü Hilfsmittel zu finden. Das Fenster muss frei von Regeln sein. Wie gesagt, es reicht auch aus, wenn du die o.g. Datei sicherst und löschst.

  • Betrachter einstellen:

    ok, hab gerade nachgesehen: habe bisher den System-HTML-Betrachter angehakt - hab ich jetzt geändert und den von thebat gewählt.

    "Entsprechend den Regeln von thebat" war aber schon angehakt.


    Bild-Download-Manager in TB:

    geprüft - dort waren keine Regeln eingetragen - alles leer.


    ImgDlRules.txt

    auch geprüft - die ist nur 1 kb groß und enthält nur das Wort AllEnable.

    Ich lasse täglich die Ordnerwartung drüberlaufen - ich nehme an, dass deshalb dort nichts zu finden ist.


    Habe übrigens seit der Umstellung auf Abruf von "nur Kopfzeilen" im entsprechenden Konto nur noch einmal die KIS-Meldung bekommen; da hatte ich die Mailgroße auf 10 kb festgelegt. Danach hab ich das reduziert auf 1 kb. Seither ist erstmal Ruhe - keine Meldung mehr ...


    Werde das jetzt erstmal so lassen und weiter im Auge behalten. Vielen Dank für Deine Hilfe!

  • habe bisher den System-HTML-Betrachter angehakt

    Das erklärt dann alles. Bei dieser Einstellung wird alles automatisch nachgeladen, was in der HTML-Nachricht "programmiert" wurde. Daher ist diese Option sehr gefährlich. Ritlabs haben sie wohl seinerzeit nur deshalb eingebaut, weil der interne HTML-Betrachter viele HTML-Nachrichten falsch angezeigt hat. Manchmal war der Text doppelt, manchmal Bilder, manchmal alles zusammen usw. Insbesondere mit Tabellen gab es massive Darstellungsprobleme.


    Mittlerweile hat man ja die HTML-Engine gewechselt (jetzt nutzt man CEF = Chromium Embedded Framework), so dass die Notwendigkeit eines Alternativbetrachters entfallen ist.


    Bild-Download-Manager in TB:

    geprüft - dort waren keine Regeln eingetragen - alles leer.

    Da du auf den The Bat! HTML-Betrachter umgeschaltet hast, wirst du jetzt bei HTML-Nachrichten keine Bilder etc. mehr sehen. Willst du sie sehen, musst du Regeln erstellen. Du musst aber aufpassen, dass du es nicht bei schädlichen Nachrichten tust.


    Edit:

    Weiter dazu im abgetrennten Thread "Bild-Download-Manager"

  • Bevor ich Entwarnung gebe, wollte ich wenigstens mal einen Tag abwarten ... bisher gabs nur 1 Meldung, aber nicht in Verbindung mit TB, sondern mit Firefox. Was aber mit deinen Erklärungen übereinstimmt, denn ich habe zwischenzeitlich wieder auf den systeminternen Betrachter umgestellt. Ohne Regeln zu erstellen (da ich nicht wusste, wie).

    Aber ich bin dabei gebliebenn, mir im fraglichen Konto nur die Kopfzeilen herunterladen zu lassen. Seither ist Ruhe - zumindest wird nicht mehr auf TB verwiesen. Und es gab - wie gesagt - bisher nur 1 Meldung (die ich allerdings auch zuordnen konnte).

    _____________________________________________

    thebat pro v. 7.4.16 (64bit), OS win10pro

    2 Mal editiert, zuletzt von sanyok ()

  • Aber ich bin dabei gebliebenn, mir im fraglichen Konto nur die Kopfzeilen herunterladen zu lassen.

    Das ist jetzt nicht mehr notwendig, da jetzt ohne Erlaubnis sowieso keine Internetadressen mehr über The Bat! aufgerufen werden sollten. Diese Option ist eigentlich nur dafür da, um Internettraffic zu sparen, weil ja nicht die gesamten Nachrichten geladen werden. Deswegen kann man bei dieser Option auch die Größe der Nachricht einstellen. Zum Schutz gegen unerwünschte Nachrichten o.ä. ist diese Option hingegen wenig geeignet.