Hallo liebe Forumsmitglieder,
ich schreibe hier, weil Norton gestern mehrfach eine Web-Attacke geblockt hat, auf die ich mir absolut keinen Reim machen kann.
Zunächst einmal mal meine Daten:
Betriebssystem: Windows 7 Professional, 32 Bit, Service Pack 1
Browser: Chrome Version 36.0.1985.143 m (hauptsächlich genutzter Browser); Internet Explorer Version 11.0.9600.17239
Antivirus-Software: Norton 360; Spybot Search & Destroy 2 (seit gestern deinstalliert); Malwarebytes Anti Malware. Spybot und Malwarebytes liefen ohne Live-Scan, nur als zusätzliche Möglichkeit für einen Systemscan vorhanden.
Zum Problem:
Gestern kam es ab ca. 16:30 Uhr zu wiederholten Angriffen (Web Attack : Malvertisement Website Redirect 3) auf meinen Computer, die vom Norton Angriffsschutz blockiert wurden. Es handelte sich dabei immer um den gleichen Angreifer, auch alle anderen Parameter im Bericht zum Angriff waren gleich. Zum Zeitpunkt des Angriffs hatte ich nur ein Fenster des Chrome Browsers geöffnet, mit 3 Reitern: Wikipedia, Pubmed.com (Website zur Suche von wissenschaftlicher Literatur) und die Seite eines Verlages eines Fachmagazins, auf die ich von Pubmed weitergeleitet wurde. Alle 3 Seiten sollten absolut seriös sein, zudem habe ich nichts heruntergeladen. Hier die Meldung vom Norton Angriffsschutz:
Kategorie: Angriffsschutz
18.08.2014 16:31:35,Hoch,Ein Eindringversuch von 205.252.250.201 wurde blockiert.,Blockiert,Keine Aktion erforderlich,Web Attack : Malvertisement Website Redirect 3,Keine Aktion erforderlich,Keine Aktion erforderlich,"205.252.250.201, 80",octopusgalls.com/ref.html?id=cjtrader,"132.199.40.181, 54838",205.252.250.201,"TCP, www-http"
Netzwerkverkehr von <b>octopusgalls.com/ref.html?id=cjtrader</b> entspricht der Signatur eines bekannten Angriffs. Der Angriff wurde von \DEVICE\HARDDISKVOLUME2\PROGRAM FILES\SPYBOT - SEARCH & DESTROY 2\SDFSSVC.EXE verursacht. Wenn Sie keine weiteren Benachrichtigungen über diese Art von Netzwerkverkehr erhalten möchten, klicken Sie unter <b>Aktionen</b> auf <b>Nicht mehr benachrichtigen</b>.
Was an dieser Meldung sehr irritiert, ist, dass im unteren Teil steht, der Angriff wäre von einer Datei auf meinem Computer verursacht worden, nämlich von SDFSSVC.exe von Spybot. Ein reiner Konflikt der beiden Virenprogramme Norton und Spybot kann es aber meiner Ansicht nach nicht sein, da im Angriffsprotokoll ja auch eine angreifende Website angegeben ist. Ich hab den Namen gegoogelt, sie ist nicht seriös...
Nach den ersten paar Angriffen habe ich den Chrome-Browser geschlossen. Die Angriffe gingen trotzdem weiter (Web-Attack ohne Browser?), bis ich gegen 17 Uhr Spybot deinstalliert habe. Dann war Ruhe nach insgesamt 35 versuchten Übergriffen in einen halben Stunde, alle mit den selben Angriffsinformationen.
Ich habe dann einen Norton Fullscan gemacht und auch den Power Eraser durchlaufen lassen, als einzige Treffer ergaben sich daraus nur ein Trojaner im ungeöffneten Anhang einer Spam-Mail (Fullscan) und ein Registry-Eintrag der vermutlich noch von meiner alten Avira Antivirus Installation (Zeit vor Norton) stammt (Power Eraser).
Jetzt bin ich trotzdem ziemlich verunsichert. Wie kann es zu Angriffen mit so einem seltsamen Angriffsprofil überhaupt kommen? Schließlich attackiert hier eine Website auch ohne dass mein Browser geöffnet ist, und als Verursacher wird zusätzlich noch eine Datei auf meinem eigenen Computer genannt. Hat sich da ein Trojaner eingeschlichen und die SDFSSVC.exe korrumpiert? Über googeln habe ich herausgefunden, dass es sich bei der Datei wohl um einen Proxy von Spybot handelt. Wäre es auch möglich, dass der Spybot Proxy Sicherheitslücken enthält und dadurch von extern (ohne Malware) angesteuert werden kann so dass ich diese Angriffsmeldung von Norton erhalte? Wenn ja, was bringt es jemandem, diesen Proxy anzusteuern – ist es über einen solchen Proxy evtl. möglich in mein System einzudringen? Ich bin mir einfach absolut im Unklaren darüber, welche Gefahren da blühen könnten.
Noch eine Sache die hier vielleicht relevant ist: Gestern habe ich auch meine Netzwerkeinstellungen modifiziert, weil ein neues Gerät angekommen ist (Wireless Plattform zur Musik-Wiedergabe). Damit das Gerät auf meinen PC als Musikserver zugreifen konnte, musste ich die Musikdateien meines Computers für das Heimnetzwerk (WPA2 verschlüsselt, komplexes Passwort) freigeben. Davor war mein PC für das Heimnetzwerk nicht freigegeben. Nach der Freigabe habe ich eine Weile mit der Funktion rumgespielt (ca. 1h) und den PC dann schlafen gelegt. Nach einiger Zeit habe ich ihn wieder aktiviert um zu arbeiten, nach ca. 1h kam dann die erste Angriffsmeldung von Norton. Wäre es eventuell möglich, dass die neuen Netzwerkeinstellungen die Proxy-Funktion von Spybot zerlegt haben und sie dadurch Zugriffe von aussen zugelassen hat?
Auch wenn es keine wirkliche Lösung für das Problem geben sollte, ich wäre schon sehr, sehr glücklich, wenn mir jemand erklären könnte, was da überhaupt los war…
Vielen lieben Dank schon einmal!
Schotenklee