[GDATA] Permanent SYN Packete von IE & Firefox zu localhost:7005, Wiso weshalb warum Einstellungen

[Neabit]

Mir ist vor ein paar Tagen aufgefallen das sowohl Firefox als auch IE vom Start an SYN Packete an localhost:7005 schicken.

 Firefox_IE_SYN_LOCALHOST_7005.jpg ( 31.99KB ) Anzahl der Downloads: 14


Erst Vermutung war shit ich hab mir was eingefangen. Also den Rechner stundenlang mit Virenscannern von nicht veränderbaren Bootmedien malträtiert. Zu meiner Erleichterung bliebt das Scannen ohne Befund aber die Verbindungsversuche waren immer noch da.

Nächste Vermutung war das beide Programme eine DLL laden welche nicht so funktioniert wie sie es sollte. Also mal Prozessexplorer von www.sysinternals.com angeschmissen und die geladenen DLLs verglichen. Diese sieht man unter Eigenschaften der EXE und dann Threads.

 Firefox_IE_Threads.jpg ( 123.58KB ) Anzahl der Downloads: 14


Beim Firefox war avkwebfilterff.dll und beim IE war AVKWebIE.dll recht aktiv obwohl keine Seite im Aufgebaut war. Beides vom Namen her eindeutig meine AVKIS 2007 von GData zuzuordnen. Bei drücken auf den Knopf "Suspent" war auch auf einmal Ruhe auf Port 7005. Bei "Resume" ging es wieder los mit SYN-Packeten zu localhost:7005. Das Verhalten wunderte mich sehr ich hatte doch schon vor einer Weile den Webfilter von GDATA deaktiviert und ein prüfender Blick bestätigte das auch. Nach dem ich den Webfilter wieder anschaltete hatte sich der Browser mit localhost:7005 verbunden.

 Webfilter_AN.jpg ( 25.15KB ) Anzahl der Downloads: 5


Warum auch immer hat GDATA seine DLLs, über welche der Webfilter seine Daten bekommt, so konzipiert das Ständig versucht wird eine Verbindung aufzubauen auch wenn der Webfilter garnicht aktiv ist. Ob das gleiche auch auf die Webfilter der Nachfolgeprodukte wie TotalCare oder die 2008er Version so umgesetzt wurde weiß ich nicht. Würde mich aber freuen wenn jemand der die Produkte hat das ganze mal checken könnte.


[Ein paar subjektive Erfahrungen Eindrücke von mir]: Ich persönlich empfinde das als Pfusch und mache mir gedanken ob auch an anderen Stellen so lässig programmiert wird und wurde. Die Firewall von AVKIS ist seit einigen Monaten auch beim zocken nicht mehr zu gebrauchen, weil damit der Ping deutlich, von 100 ohne auf 200+ mit Firewall, nach oben geht. GData will oder kann dagegen aber nichts tun, denn es gibt keine Updates über die Softwareupdatefunktion und das schon seit Monaten. (Sofern es denn überhaupt mal eine gab) Des weiteren wird die BOOTCD auch nicht weiter Softwaretechnisch gepflegt obwohl auch hier z.B. das auswählen der Laufwerke die durchsucht werden sollen nicht funktioniert. Oder gerne mal nur die erste Festplatte gescannt wird auch wenn alle Laufwerke gewählt wurden. Mit andern Worten ich bin ziemlich enttäuscht von GData wenn man mal über die gute Scannleistung des Virenscanners hinausblickt.

[scu]

Mach ein kostenloses Upgrade auf Version 2008, dann kannst du die Hälfte deiner Beschwerden wieder streichen.

http://www.gdata.de/support/DE/upgradeservice/

[markus17]

Mir ist aufgefallen, dass die Version von der GDATA Upgrade Seite um 10MB kleiner ist, als die aus dem Betatest-Ende Thread...

[Neabit]

Mach ein kostenloses Upgrade auf Version 2008, dann kannst du die Hälfte deiner Beschwerden wieder streichen.

http://www.gdata.de/support/DE/upgradeservice/

Vielen Dank ich hab die 2008 Version installiert. Das Verhalten welches ich bemängelt habe ist weiterhin da. Selbst die AVKIS.exe (von GDIS 2008) weiß nicht das der Webfilter abgestellt wurde und versucht sinnlos eine Verbindung auf Port 7005 herzustellen. Die Passwortfunktion zum Programmschutz scheint dafür weggefallen zu sein oder ich finde sie einfach nicht mehr.

[Nachtrag]Es scheint ein allgemeines Phänomen zu sein das jede Webfilter.dll, egal ob für IE, Firefox oder die Verwaltungsoberfläche, versucht eine Verbindung aufzubauen.

Mir ist aufgefallen, dass die Version von der GDATA Upgrade Seite um 10MB kleiner ist, als die aus dem Betatest-Ende Thread...

Vielleicht haben sie Debugroutinen und Debuginfos rausgeschmissen.

Der Beitrag wurde von Neabit bearbeitet: 29.09.2007, 17:24

[scu]

Die Passwortfunktion zum Programmschutz scheint dafür weggefallen zu sein oder ich finde sie einfach nicht mehr.

Die Passwortfunktion gibt es in der Version 2008 nicht mehr. Dafür braucht man jetzt Adminrechte um die Settings zu ändern.

[Neabit]

Die Passwortfunktion gibt es in der Version 2008 nicht mehr. Dafür braucht man jetzt Adminrechte um die Settings zu ändern.

Interessant hat GData auch irgendwo geschrieben aus welchem Grund die PW Eingabe weg ist? Mal angenommen ich Arbeite unter XP als Hauptbenutzer wie kann ich nur die Oberfläche oder was auch immer zum Setting ändern Adminrechte braucht mit eben diesen starten? (Abmelden ist keine Option) Nach dem Setting ändern will ich natürlich das GData wieder als Hauptbenutzer läuft.
Sieht für mich so aus als hätte man das ganze wegen UAV in Vista weggelassen und die XP User haben halt Pech gehabt super Einstellung.

Der Beitrag wurde von Neabit bearbeitet: 30.09.2007, 10:36

[scu]

Wenn du Admin bist, kannst du auch die Registry ändern. Wozu dann noch ein Passwort für die GUI?

[Gast_Beobachter_*]

@ Neabit

Du meinst die UAC.

@scu

Darüber wurde im Beta- Thread schon diskutiert. Ich persönlich war auch eher dafür das nicht zu ändern. Selbst wenn man als Admin die Registry ändern kann, stellte der Passwortschutz eine
zusätzliche Hürde für den Angreifer da. Wäre auch möglich die entsprechenden WindowsApi's zu Hooken bzw. geänderte AVK-RegWerte über die RegAPi zu erkennen und bei Nichtautorisierung mittels Passwort sofort zurückzuschreiben. Für manche die, aus welchen Gründen auch immer, gezwungen sind als Admin zu arbeiten, sicherlich ein wenig beruhigender als die aktuelle Lösung.

mfG Beobachter

Der Beitrag wurde von Beobachter bearbeitet: 01.10.2007, 07:41

[Sasser]

Also das was man G-Data durchaus attestieren kann ist die Beständigkeit mit der Sie Ihre User zur Ratlosigkeit zwingen.
Habe heute Nacht bei einem frisch instaliertem IS2008 auf dem Laptop und paralell auf meinem Rechner auch IS2008, feststellen können,
das erstens ein neues Update vom Webfilter und auch Phishingfilter vorhanden war. Nur dieses auch runterladen zu können
war ohne das ich meine Einstellungen verändert hätte, nicht möglich.
Update Fehler - kein Server. Aber das reguläre Update, das funktionierte durchgehend.
Hätte man nicht mit der Herausgabe des Updates warten können bis der Update funktioniert ?

Aber was solls, ich betrachte mein G-Data allmählich wie eine Frau, ohne Sie geht es nicht, aber Sie zu verstehen, den
Anspruch sollte man auch nicht haben.

Der Beitrag wurde von Sasser bearbeitet: 01.10.2007, 13:02

[Shodo]

Also das was man G-Data durchaus attestieren kann ist die Beständigkeit mit der Sie Ihre User zur Ratlosigkeit zwingen.
Habe heute Nacht bei einem frisch instaliertem IS2008 auf dem Laptop und paralell auf meinem Rechner auch IS2008, feststellen können,
das erstens ein neues Update vom Webfilter und auch Phishingfilter vorhanden war. Nur dieses auch runterladen zu können
war ohne das ich meine Einstellungen verändert hätte, nicht möglich.
Update Fehler - kein Server. Aber das reguläre Update, das funktionierte durchgehend.
Hätte man nicht mit der Herausgabe des Updates warten können bis der Update funktioniert ?

Aber was solls, ich betrachte mein G-Data allmählich wie eine Frau, ohne Sie geht es nicht, aber Sie zu verstehen, den
Anspruch sollte man auch nicht haben.

war bei mir heute auch so. Generell funktioniert das Webfilter-Update (Phishing-Filter-Update)... nur gestern abend/heute morgen gings wohl nicht.

Mittlerweile gehts wieder... also wohl eher Serverseitige Probleme, Jungs