1180 Benutzer online
26. Juni 2026, 14:22:50
26. Juni 2026, 14:22:50
Windows Community
Seiten: [1] Nach unten
| Antworten / Aufrufe | Themen mit dem Stichwort klif | |
|---|---|---|
 |
13 Antworten 10796 Aufrufe |
Kaspersky KIS9 lässt sich nicht installieren |
|
|
0 Antworten 7193 Aufrufe |
[News] Kaspersky Anti-Virus 6.0, Kaspersky Internet Security 6.0 - 5 Schwachstellen beseitigt Begonnen von lorhinger
05. April 2007, 11:17:23 [url=http://www.go-windows.de/forum/windows-7-software/neue-version-von-kaspersky-anti-virus/]Kaspersky Anti-Virus 6.0, Kaspersky Internet Security 6.0 - 5 Schwachstellen beseitigt[/url] [b]Folgende Schwachstellen wurden beseitigt:[/b] [list] [li]Kaspersky Antivirus ActiveX Unsage Methods Vulnerability [/li] [li]Kaspersky Anti-Virus SysInfo ActiveX Control Information Disclosure Vulnerability [/li] [li]Kaspersky AV Library Remote Heap Overflow [/li] [li]klif.sys Heap Overflow Vulnerability [/li] [li]KLIF Local Privilege Escalation Vulnerability [/li] [/list] [b][size=5]Kaspersky Antivirus ActiveX Unsafe Methods Vulnerability[sup]1[/sup][/size][/b] Diese Schwachstelle ermöglicht es entfernten Angreifern, jede Datei auf der verwundbaren Version von Kaspersky Anti-Virus herunterzuladen und zu entfernen. Um diese Schwachstelle auszunutzen, ist die Interaktion des Anwenders nötig: Der User muss eine Website besuchen, die sich diese Verwundbarkeit zunutze macht. Der spezielle Fehler befindet sich innerhalb von ActiveX Controls in AxKLProd60.dll und AxKLSysInfo.dll. Während der Installation des Maintenance Pack 2 werden die DLLs aus dem System entfernt. [b][size=5]Kaspersky Anti Virus SysInfo ActiveX Control Information Disclosure Vulnerability[sup]2[/sup][/size][/b] Die entfernte Ausnutzung dieser Informationspreisgabe-Schwachstelle in Kaspersky Anti-Virus 6.0 kann es schädlichen Websites ermöglichen, Dateien vom Computer des Endanwenders zu stehlen, auf dem Kaspersky Anti-Virus läuft. Die SysInfo ActiveX Control beinhaltet eine Methode mit der Bezeichnung StartUploading, die es schädlichen Web-Skripten ermöglicht, einen anonymen FTP-Transfer mit allen Dateien durchzuführen, die die Skripte auf dem Opfercomputer identifizieren. Zur Durchführung dieses Transfers sind keine Dialoge, Warnungen oder Anwender-Interaktionen notwendig. Während der Installation des Maintenance Pack 2 wird diese DLL aus dem System entfernt. [b][size=5]Kaspersky AV Library Remote Heap Overflow[sup]1[/sup][/size][/b] Diese Schwachstelle betraf Computer mit laufender Kaspersky Anti-Virus Engine. Zur Ausnutzung dieser Schwachstelle ist keine Interaktion des Anwenders notwendig. Der OnDemand-Scanner analysiert speziell hergestellte ARJ Archive innerhalb des arj.ppl-Moduls inkorrekt, was zu einem Speicherüberlauf führt. In den meisten Fällen stürzt das Produkt dadurch ab. Diese Verfälschung kann potentiell zur Ausführung beliebigen Codes ohne Interaktion des Users ausgenutzt werden. Alle Produkte, die arj.ppl benutzen, sind verwundbar. [b][size=5]klif.sys Heap Overflow Vulnerability[sup]2[/sup][/size][/b] Lokal ausgeführter Code kann gewisse Werte in die Registry schreiben, wodurch der klif.sys Driver - Teil des proaktiven Schutzes – sich aufhängt. Der Driver hookt und scannt bestimmte Systemaufrufe, inklusive der Registry-Funktionen. Eine der Hook-Funktionen ist anfällig für einen Integer-Überlauf, der zu einem Kernel-Heap-Überlauf führt. Wenn ein großer vorzeichenloser Wert für das Datengröße-Argument durchläuft, kommt es zu einem arithmetischen Überlauf, wenn der zu allozierende Speicherumfang ermittelt wird. Ein Kopieren in diesen Puffer führt zu einer Verfälschung des Kernel Page Datenbankspeichers. [b][size=5]KLIF Local Privilege Escalation Vulnerability[/size][/b] Diese Schwachstelle ermöglicht es lokal ausgeführtem Code - durch unsicheren Code im Treiber klif.sys - Ring-0 Privilegien zu erlangen. Es ist notwendig, dass der Anwender den Code ausführt. Es handelt sich um eine lokale Schwachstelle und der Code sollte zuerst auf dem Computer des Anwenders erscheinen. Alle oben genannten Schwachstellen wurden im Build 6.0.2. 614 beseitigt. [url=http://www.go-windows.de/links/sicherheit/kaspersky-antiivirus-und-internet-secuity-6-fuer-windows-vista.html]http://www.kaspersky.com/de/product_downloads?chapter=186439474[/url] |
internetSeiten: [1] Nach oben
Also , ... ich benutze seit einigen Monaten die Kaspersky Internet Security 2009. War sehr zufrieden. Lief super. Dann merkte ich, dass die Internetverbindung langsamer wurde, bzw.die Seiten sich wesendlich langsamer öffneten. Nun ja, die Ursache konnte ich nicht finden. Dann blockierte die Firewall von KIS den Netzwerkverkehr sporadisch , ohne Ankündigung und ohne mein Zutun. Das auch, obwohl die entsprechenden Programme ( IE Explorer u.s.w.) explizit freigegeben wurden. Ich konnte die Ursache nicht finden. Die Einstellungen waren genau wie auf meinem Ausweich-Computer und unverändert wie zuvor.
Nun ja dachte ich, und habe versucht KIS zu deinstallieren. Ging nicht ! Der Deinstallationsprozess stockte nach ein paar Minuten und auch zwei Stunden Wartezeit, indem die CPU immer 50% ausgelastet wurde im Leerlaufprozess. Es geschah nix weiter, so dass ich dieses Trauerspiel abbrach.
Anschließend versuchte ich KIS nochmals zu installieren, und erhielt immer wieder die Meldung, dass bereits eine andere Installation des KIS läuft und die jetzt gemachten Änderungen nicht übernommen werden können. Wenn ich ja klickte konnte ich zwar weiter installieren, aber die Firewall blockierte sofort alles. Ging also auch nur wenn ich die FW ausschaltete.
Wieder versucht zu deinstallieren...mit gleichem Ergebnis.
Rücksprache mit Support von Kaspersky: Ich erhielt ein Removel Tool. Auch dieses lief 2 Stunden ohne das sich was tat. Keine Aktivität ... nix... Einfach nur die Meldung Cleaning wird durchgeführt mit 50% CPU Auslastung. Ich brach auch das ab, da kein Zugriff auf die Festplatte C mehr festzustellen war.
Ein erneutes Starten des Cleaning bestätigte, kein KIS mehr vorhanden.
Ich versuchte neu zu Installieren mit gleichem Ergebnis. bla bla bla... die Änderungen können nicht übernommen werden da noch eine andere Installation von KIS läuft :wallbash
Ich fuhr im abgesicherten Modus hoch und reinigte die Registy manuell von KIS. Trotz Cleaning waren noch 111 Einträge vorhanden. In Programmen(86x) noch ein 1,6GB große Programmdatei. In Common Files ebenso. Alles manuell gelöscht.
Hier jetzt die wichtige Frage:
3 Einträge ließen sich nicht löschen... Zugriff verweigert.. habe alles versucht.. Rechte neu zugeteilt.. abgesicherter Modus... East Tec Eraser ... u.sw... nix die lassen sich nicht löschen...
Das sind die HKEY_Local_Maschine\System\CurrentControlSet\Enum\Root\Legacy\KLIM6 + KLIF + KLBG!
Wobei der KLBG Boot Guard dahinter steht.
Wie kann ich diese Einträge von KIS löschen? Wie erhalte ich Zugriff? Seit ich das Problem mit KIS habe kommt auch sehr oft beim Einschalten des PC die Meldung ... boot\BDC fehlt und ich muss die Reperaturfunktion von Vista wieder durchziehen.
Sobald ich den Rechner vom Strom trenne kommt diese Meldung beim Booten.
Beim Support von KIS ist nicht durchzukommen. Auf Mails wurde bislang noch nicht geantwortet.
Ich bin momentan ohne Schutz unterwegs, was mich sehr wurmt, obwohl die Ursache wahrscheinlich nur die 3 noch übrig gebliebenen Einträge in der Registry sind.
FAZIT: Zwei Fragen brennen mir auf der Seele:
1. Wie kann ich Registy Einträge löschen auf die ich kein Zugriff habe?
2. Wie kann ich den Boot BCD dauerhaft in Ordnung bringen?
Ich hoffe ihr könnt mir helfen?
Gruß Anreni