ZoneAlarm sendet Daten

Hallo,

mir ist gestern aufgefallen, dass ZoneAlarm(aktuelle Free-Version) Daten sendet und zwar in folgender Weise:

Wenn ich bei einem Programm die Verbindung zum Internet zulasse, also z.B. OutlookExpress um meine Mails abzurufen, dann steht in der Warnungenliste korrekterweise unter Maßnahmen  Zugelassen 1mal und unter Ziel-DNS aber ständig wechselnde Namen wie falk-ag.net, upload.knams,google-analytics... also alles Dinge die doch eben nicht gesendet werden sollten?!...

Mein Antivir-Scanner findet nichts auch Search&Destroy nichts und die analysierte Logfile von HiJackThis ist völlig sauber.

Ist das jetzt eine harmlose Geschichte, oder hab ich mir einen noch unbekannten Trojaner eingefangen?!

Vielen Dank für einen Hinweis!
LOmi

Das sind tracking Cookies, die entfernt werden müssen. Cookie-Ordner leeren, nicht von jedem Hampel Cookies auf den Rechner lassen.

ja, ist schon klar! Ich lass Cookies generell nicht zu... halt nur dann wenn notwendig, wie hier bei WinTotal zum Schreiben.

Habe gerade gesehen, dass es abhängig davon ist welche Seite im Browser geladen ist.

Zum Beispiel auf WinTotal das Forum aufgerufen, dann Outlook Express gestartet; daraus folgt dann in ZA Verbindung ausgehend , Ziel-IP 81.19.48.80.53 in der Ziel DNS-Spalte der Eintrag wintotal.de.intellitxt.com.

Der Cookie intellitext.com ist aber zu diesem Zeitpunkt noch garnicht auf meinem System, weil nicht zugelassen. Erst jetzt, da ich diesen Artikel schreibe ist er wahrscheinlich im System.

Vielleicht ist es dann doch eine harmlose Sache?!... Wäre interessant zu wissen ob dies jemand mit Zone Alarm und Outlook Express nachvollziehen kann... und welcher Eintrag in der Warnungen-Liste unter Ziel-DNS erscheint.
Lomi[br][br]Erstellt am: 14.08.06 um 15:07:36

---

[br]Nachtrag:

Selbst wenn der Cookie auf dem System wäre, was hat er mit OE und dem Abfragen meiner Mails zu tun. Der Ziel-DNS Eintrag hat doch dort eigentlich nichts verloren?!
Lomi

Selbstverständlich läßt Du, im Gegensatz zu Deiner Mitteilung, Cookies zu, denn wo sollte der von Dir genannte Mist herkommen? Vor allem aber machst Du einen entscheidenen Fehler, Du lässt scripten, wohlmöglich ist auch noch das ActiveX aktiviert??? Dann kann sowieso jeder Pagebetreiber mit Deinem PC machen, was er will. Da geht es dann nicht mehr nur um Kekse. Was Dein Zonealarm Dir anzeigt, das möchte auch nach Hause telefonieren, und nach Hause telefonieren möchte nur das, was Du bereits auf dem Rechner hast. Hier noch ein wenig Lektüre zum einlesen:

http://www.brain.uni-freiburg.de/~klaus/java.htm

Nein! Cookies sind bei mir gesperrt und nur ausgewählte Sites können einen setzen, darunter meine eigenen Seiten, die des Webhosters und halt die, welche ich kurzzeitig zulasse... kann natürlich mal vorkommen, dass dann vergesse diese Seite wieder zu sperren.

Meine Temp Internetfiles werden auch nach jedem Shut Down des Browsers gelöscht.

Scripting und Active X hatte ich tatsächlich aktiviert, aber nicht die, die nicht sicher sind.
Nach dem Durchlesen der von Dir angegebenen Seite - vielen Dank dafür ! - habe ich alles deaktiviert bzw. auf Nur nach Eingabeaufforderung umgestellt.

Vorhin war ich noch auf der ZoneLabs-Seite und hab' von dort OE/msimn.exe gestartet.
In der Ziel-DNS stand dann vic, unter google geschaut: Vienna Information Center von der UNO... noch nie auf dieser Seite gewesen, noch nie einen Cookie von dort setzen lassen!

Ich schätze ich werde bald mein System Backup einspielen müssen!
LOmi

Trotzdem erstmal alle Temps- und Cookie-Ordner manuell komplett entleeren und einen Cleaner nutzen! Nochmal Spybot im abgesicherten Modus alles checken lassen, auch wenn es nur Cookies sind, die Deine Probleme verursachen. Ein nochmaliger kurzer Blick kann nicht schaden. Wenn Du Deine Mails dann abrufst, ohne vorher den IE oder eine Webseite aufgerufen zu haben, wirst Du sehen, daß alles ordentlich abläuft. Dann weißt Du ja, wer Dir den Mist auf die Platte pflanzt! Außerdem mal die Programme in Zonealarm checken. Nichts darf dort als Server auftauchen.

ich hab' jetzt alles weitestgehend so gemacht... allerdings im Windows-TMP-Ordner lassen sich nicht alle Dateien löschen, sind wahrscheinlich für das eine oder andere Programm notwendig?!

Das Problem besteht weiter... ich habe allerdings zwei index.dat gefunden.

Die eine unter Dokumente und Einstellungen\Besitzer\Cookies

Im Context-Editor geöffnet steht in der ersten Zeile

Client UrlCache MMF Ver 5.2

es folgen dann etwa 25.000(!) Zeilen, welche pro Zeile immer die selben drei Zeichen enthält, ein griechisches delta(glaub ich), ein Minuszeichen und ein leeres Quadrat.

Diese index.dat lässt sich nicht löschen!

Die zweite index.dat befindet sich in C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5
In der ersten Zeile wieder client urlcache MMF Ver 5.2

untereinanderstehend etwa 250Zeilen lang solche Absätze(leicht im Inhalt differierend)

ETag: 67646-68-43eb5a8c
Content-Length: 104
Keep-Alive: timeout=15, max=91
Content-Type: image/gif

~U:besitzer

Diese Datei lässt sich allerdings löschen.

Was sind das für Dateien?!... sind sie vielleicht für mein Problem verantwortlich?!

Lomi

Hier erstmal etwas Grundsätzliches zur Index-Datei:

http://mypage.bluewin.ch/chesi/grafik/gr_0266.htm

Hast Du den Programmen in der Wall den Zugriff als Server geblockt, wie bereits empfohlen?
Die beiden letzten der vier Felder sollten ein rotes X aufweisen, egal, um welches Programm es sich handelt.

Ansonsten kannst Du probieren, Zonealarm zu entfernen und nochmal sauber zu installieren. Da Du bisher ActiveX zugelassen hast, konnte jeder Hampel, dessen Webseite Du besucht hast, beinahe jegliche Veränderung an Deinem System vornehmen, ohne daß Du es bemerkst. Das muß nicht geschehen sein, ist aber möglich.

Tipp Temporary Internet Files und index.dat beim Herunterfahren löschen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=922

pan_fee

@keckshasser

Ja, alles so gemacht!
Das mit dem Zone Alarm entfernen und dann sauber installieren ist keine einfache Sache; zwar funktioniert die Deinstallationsroutine, aber es bleiben im System Unmengen an Dateien zurück, die sich nur manuell entfernen lassen sollen. Sehr aufwendig und natürlich nicht ungefährlich. - Eine genaue Anleitung liegt mir allerdings vor.

Tatsächlich hatte ich ZA vor ein paar Wochen deinstalliert und wieder neu installiert, dabei aber glaube ich die Vorgängerversion erwischt - es tauchte dann eine Meldung auf - während der Installation - dass die Lizenz abgelaufen sei(ist trotzdem FreewareVersion) - worauf ich dann wieder die jetzige, aktuelle Version problemlos installierte.

Vielleicht rührt das Problem mit den Ziel-DNS daher?!... allerdings gibt es auch Phasen, in welchen das DNS Ziel auch korrekt angegeben wird... ich werde dies mal noch eine Weile beobachten und vor einem evtl. Einspielen eines Systembackups erstmal mal noch eine andere Firewall testen... mit K, Kenio o.s.ä.

Das mit der index.dat ist der absolute Hammer! Was da so alles drin steht!... sogar der Text, den ich zuvor hier im Forum geschrieben hatte.

@PCDpan_fee

vielen Dank für die Angabe des Links, leider nutze ich die XP-Home Edition, bei der ja das Script nicht helfen soll. Ich hab dann etwas im Netz gesucht und das Purge.cmd-Script gefunden. Funktioniert! . Der ganze Mist endlich weg!

Danke Euch beiden!
Lomi

Wollte mich nochmal melden.

Ich bin mittlerweile auf Firefox 1.5.06 umgestiegen und nutze jetzt auch die neueste Version des E-mail-Programmes Thunderbird...

Und siehe da!... keines der zuvor beschriebenen Probleme taucht mehr auf!!!

Firefox sendete zwar etwas an akamai, dies hängt aber mit einem dynamischen Lesezeichen zusammen, welches bei der Erstinstallation mit installiert wird; man braucht es nur zu löschen.

Alle Einträge der Ziel-DNS in ZoneAlarm sind nun sauber bzw. nachvollziehbar!

Gruß
Lomi