Sicherheitswarnung von Kaspersky

    Hallo,
    bei der heutigen Überprüfung mit Kaspersky Internet Security 2011 gab es die Meldung, dass die Sicherheit bedroht ist.

    Die Meldung lautet
    "Ein legales Programm wurde gefunden, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen"

    Als Speicherort wurde angegeben
    "C:\Dokumente und Einstellungen\User-Name\Lokale Einstellungen\Mozilla\Firefox\Profiles\d26m78eh.default\urlclassifier3.sqlite-journal"
    Dies deutet auf Firefox hin, den ich als Internet Browser den Vorzug vor IE gegeben habe.

    Wie gefährlich ist dies?
    Kann ich den Eintrag ohne schädliche Auswirkungen löschen?
    :-???

    Vielen Dank für eure Hinweise.

    Viele Grüße

    Hans-Jürgen

    Zitat

    urlclassifier.sqlite contains the site information for the phishing / malware protection.


    Möglein, dass KAV dort eine Webadresse mit schlechtem Inhalt gefunden hat.
    Das "journal" kannst du jedoch löschen, nachdem du Firefox beendet hast, die ist nicht wichtig.

    Zitat von hansjs

    Als Speicherort wurde angegeben
    "C:\Dokumente und Einstellungen\User-Name\Lokale Einstellungen\Mozilla\Firefox\Profiles\d26m78eh.default\urlclassifier3.sqlite-journal"


    Wenn sich dort dein Profil befinden sollte, so befindet es sich am falschen Ort. Richtig wäre:
    "C:\Dokumente und Einstellungen\User-Name\Anwendungsdaten\Mozilla\Firefox\Profiles\d26m78eh.default

    Klicke auf Hilfe -> Informationen zur Fehlerbehebung und dort auf Beinhaltenden Ordner anzeigen; es öffnet sich der Windows Explorer. Welche Adresse wird in der Adresszeile angezeigt?

    Wo du recht hast - ist nicht mal der Pfad zum Cache.

    Pfad zum Profil aufrufen:
    Das hier ein die Adresseingabe bei Firefox eingeben -> about:support
    Dann dort auf "Beinhaltenden Ordner anzeigen" klicken.
    Der Explorer öffnet dann den Profilordner, alles andere ist Mist.

    Cosmo - Problem an der Sache ist bzw wäre aber schon, dass Firefox nichts mit
    dem genannten ordner am hut hat, ihn auch nie beschrieben hat. Ergo muss sich
    die Malware an KIS vorbeigeschlängelt haben und somit wäre das System so oder
    so kompromitiert!

    Malware suchen mit diesem Tool

    Malwarebytes' Anti-Malware (MBAM)
    http://www.malwarebytes.org/

    Anleitung zur Benutzung
    http://www.hijackthis-forum.de/tipps-tricks/2…-anleitung.html

    Findet das was, sollt man sich mit dem Gedanken anfreunden,
    das System neu aufzusetzen (alternativ ein Image nutzen).

    Das Logbuch bitte als CODE hier einfügen

    Code
    CODE

    @Brummelchen:
    Malware ist eine Möglichkeit, eine FP Meldung eine andere. Mehrere Dinge machen mich stutzig:
    Soweit ich mich erinnere, hatten wir schon wiederholt Profile, die fehlerhaft in Lokale Einstellungen\Anwendungsdaten gelandet waren, aber direkt unter Lokale Einstellungen ist mir bislang nicht erinnerlich. Das zweite ist die Meldung eines Programms, dann aber wird eine Sqlite-Journaldatei genannt. Meine Frage über den tatsächlich verwendeten Ort für das Profil dient erst einmal dazu, ein paar Fakten zu sammeln; mehrere, dem Benutzer gar nicht geläufige Profile hätten wir auch nicht zum ersten Mal gesehen. (Deine Anleitung bezüglich about:support und meine über das Hilfemenü sind inhaltlich exakt dasselbe.)

    Hallo,
    vielen Dank für die schnellen Antworten.

    Da ich nicht der PC-Freak bin, hier mal die Antworten zu den einzelnen Fragen.

    Zitat von Cosmo

    Wenn sich dort dein Profil befinden sollte, so befindet es sich am falschen Ort. Richtig wäre:
    "C:\Dokumente und Einstellungen\User-Name\Anwendungsdaten\Mozilla\Firefox\Profiles\d26m78eh.default

    Klicke auf Hilfe -> Informationen zur Fehlerbehebung und dort auf Beinhaltenden Ordner anzeigen; es öffnet sich der Windows Explorer. Welche Adresse wird in der Adresszeile angezeigt?

    In der Adresszeile wird angezeigt:
    C:\Benutzer\User-Name\AppData\Roaming\Roaming\Mozilla\Firefox\Profiles\d26m78eh.default

    Das Journal "urlclassifier3.sqlite-journal" ist dort nicht zu finden, sondern "nur" die Datei "urlclassifierkey3.txt".

    Zitat von Brummelchen

    Pfad zum Profil aufrufen:
    Das hier ein die Adresseingabe bei Firefox eingeben -> about:support
    Dann dort auf "Beinhaltenden Ordner anzeigen" klicken.

    Das Ergebnis ist das gleiche wie oben.

    Zitat von Brummelchen

    Malware suchen mit diesem Tool
    Malwarebytes' Anti-Malware (MBAM)

    Findet das was, sollt man sich mit dem Gedanken anfreunden,
    das System neu aufzusetzen (alternativ ein Image nutzen).

    Mit Malwarbytes :arrow: vielen Dank für den Tipp :D
    habe ich einen vollständigen Suchlauf durchgeführt. Ergebnis siehe unten.

    Bei dem Programm 7-PDF-Maker handelt es sich, wie der Name es schon sagt, um ein Programm zur PDF-Erstellung.
    Ich werde das Programm deinstallieren.

    Von Firefox hat Malwarebytes nichts gefunden.

    Zitat von Brummelchen

    Das "journal" kannst du jedoch löschen, nachdem du Firefox beendet hast, die ist nicht wichtig.


    Die Datei kann ich also unbedenklich löschen?

    Nochmals vielen Dank und viele Grüße
    Hans-Jürgen

    Die Auffälligkeiten an deinem System mehren sich, siehe auch meine bereits gemachten Anmerkungen.

    Hinzu kommt jetzt folgendes: Du setzt Win7 ein, aber die Fundstelle, die Kaspersky angegeben hatte (1. Beitrag) ist ein Pfad, wie er in Win7 nicht existiert, sondern unter XP (oder älter). Da es auch keine Möglichkeit gibt, XP auf W7 upzugraden fehlt mir zur Zeit jeglicher Anhaltspunkt für eine plausible Erklärung. Und als Folge keine fundierte Einschätzung zur Meldung im ersten Beitrag.

    MBAM hat allerdings einen Fund gemacht. Ich kenne das Programm nicht, ein kurzer Blick per Google scheint allerdings keinen Hinweis darauf zu geben, daß dieses Programm originär Schadware wäre. Folglich ist davon auszugehen, daß die Datei kompromittiert ist - und als Folge dein System. Lies Link A unten, überdenke dein Sicherheitskonzept oder erstelle eins, formatiere die Festplatte und installiere Windows neu.

    Zitat von Brummelchen

    Das "journal" kannst du jedoch löschen, nachdem du Firefox beendet hast, die ist nicht wichtig.

    SQLite beliebt anderer Meinung zu sein, siehe SQLite's Use Of Temporary Disk Files
    Da diese Datei die Integrität der Datenbank sicherstellen soll, möchte der gemeine Anwender bitteschön die Flossen davon lassen.

    Bei mir haben die regelmässig 0 Bytes - da ich diese Funktion eh nicht nutze, kann
    ich genau dafür nichts sagen. die -journal sind eh meistens weg, wenn ich reinschaue.
    Es gibt oder gab hier auch keinerlei Probleme mit manuellem Löschen.

    Laut Bild - also die XUL hab ich auch dort (auch mit Firefox 4) und diese Pfade.
    Ah ja, Funktion aktiviert, liegt die sqlite auch bei mir dort (5mb).
    Aber kein -jorunal, fehlt ja auch bei dir im Bild.
    Entwederr tatsächlich Malware, worauf ich nicht schliesse wegen MBAM,
    sondern eher auf meine Vermutung mit dem Inhalt (URL, siehe oben).

    Zitat von Brummelchen

    [...] die -journal sind eh meistens weg, wenn ich reinschaue.

    Genau so soll es ja auch sein.

    Zitat von Brummelchen

    Es gibt oder gab hier auch keinerlei Probleme mit manuellem Löschen.

    Das möchtest du bitte nicht als allgemeingültig publizieren. Wenn du dabei eine oder mehrere Transaktionen löschst, dann bleibt die DB konsistent, aber es fehlen Einträge. Nur kannst du in der Regel nicht mehr nachvollziehen welche es sind.

    Zitat von Brummelchen

    Entwederr tatsächlich Malware, worauf ich nicht schliesse wegen MBAM,

    Dazu braucht es doch wirklich kein MBAM.
    In einer nicht ausführbaren Datei vermutet ein Virusscanner ein Programm.

    Zitat von Brummelchen

    sondern eher auf meine Vermutung mit dem Inhalt (URL, siehe oben).

    Richtig, nur glaubt der vertrauensselige Benutzer erstmals dem Scanner, dessen Hersteller es geflissentlich übersehen hat, welche Dateien / Verzeichnisse der Scanner überprüfen möchte.

    I.a.W. eine Variation des "Sturm im Wasserglas".

    Hallo,

    nochmals vielen Dank an alle.

    Meine bisherigen Schritte:

    Da ich die Datei "urlclassifier3.sqlite-journal" nicht finden konnte (war auch gut so :) ) habe ich im Verzeichnis "d26m78eh.default" die Datei "places.sqlite-journal" (Inhalt 0 Bytes) gelöscht. Beim nächsten Start hat Firefox diese Datei wieder angelegt. Firefox funktioniert, soweit ich das nach einem Tag sagen kann, einwandfrei.
    Das hätte ich mir schenken können - weiß man's? :-??

    Das Programm "7-PDF Maker" habe ich deinstalliert.
    Vermutlich hätte ich mir auch das schenken können - aber sicher ist sicher.
    Für mich ist es kein Problem, da ich das Programm eh nicht so toll fand. Anm.: Das Programm "PDF24 Editor", das auch installiert ist, finde ich um einiges besser.

    Zitat von .Ulli

    I.a.W. eine Variation des "Sturm im Wasserglas".


    Das hat mich sehr beruhigt. Ulli, nochmals Danke dafür. :klasse:

    Also, ich werde meinen Rechner in der jetzigen Form weiter benutzen. Die Sache ist für mich geklärt. Das hätte ich allein nur mit Internet-Recherche sicherlich nicht hinbekommen.

    Viele Grüße

    Hans-Jürgen

    Zitat von hansjs


    Das hat mich sehr beruhigt. Ulli, nochmals Danke dafür.


    Ob er das auch auf den MBAM-Fund bezogen hat, muß er selber klarstellen. Die Beruhigung ist hier nicht angemessen, denn es betrifft eine Programm-Bibliothek.