Jump to content
DeringInsiders

DB directMC + Kaspersky blockt

Recommended Posts

Hallo an alle,

 

seit längerer Zeit haben wir das Problem, dass Kaspersky (Kaspersky Endpoint Protection 10.1.0.867 (a)) die DB directMC (Banksoftware) blockiert.

Leider werden überhaupt keine Informationen in Kaspersky geschrieben, dass er überhaupt etwas blockiert, aber er tut es.

Sobald man KAS beendet funktioniert die Software wieder einwandfrei.

 

Die Banksoftware greift unteranderem auf UNC Ressourcen zu.

Einen sehr sehr ähnlichen Fall hab ich in diesem Forum gefunden: http://onlinebanking-forum.de/forum/topic.php?t=16740

 

Wir haben auch bereits alle EXE-Dateien als Ausnahmen hinzugefügt.

 

 

Folgende Fehlermeldung erhalten wir in der Ereignisanzeige:

Name der fehlerhaften Anwendung: OEBMCC32.EXE, Version: 3.2.0.2, Zeitstempel: 0x4f044aa6

Name des fehlerhaften Moduls: MFC71.DLL, Version: 7.10.3077.0, Zeitstempel: 0x3e77fdfd

Ausnahmecode: 0xc0000006

Fehleroffset: 0x0000c2a4

ID des fehlerhaften Prozesses: 0x13dc

Startzeit der fehlerhaften Anwendung: 0x01cf2be19174fa54

Pfad der fehlerhaften Anwendung: \\VM-DB-DIRECTMC\DB-DIRECTMC\DIRECTMC\MCCWIN\PRG\OEBMCC32.EXE

Pfad des fehlerhaften Moduls: C:\Windows\system32\MFC71.DLL

Berichtskennung: 7de1a875-987d-11e3-a03f-ecf4bb085e3c

 

 

Mehr ist leider nicht zu finden.

 

Wer kann Tipps geben, wie man mehr Logging Informationen erhält?

 

Vorab vielen Dank!

Edited by Hermann Dering

Share this post


Link to post

Hallo Herrmann,

 

willkommen im Forum.

 

Kannst Du uns als erstes mitteilen, welche Version von Kaspersky Du im Einsatz hast.

 

Kannst Du bitte die lokale Einstellungen speichern oder die Richtlinie exportieren und hier posten.

 

Helmut

Share this post


Link to post
Hallo an alle,

 

seit längerer Zeit haben wir das Problem, dass Kaspersky die DB directMC (Banksoftware) blockiert.

Leider werden überhaupt keine Informationen in Kaspersky geschrieben, dass er überhaupt etwas blockiert, aber er tut es.

Sobald man KAS beendet funktioniert die Software wieder einwandfrei.

 

Die Banksoftware greift unteranderem auf UNC Ressourcen zu.

Einen sehr sehr ähnlichen Fall hab ich in diesem Forum gefunden: http://onlinebanking-forum.de/forum/topic.php?t=16740

 

Wir haben auch bereits alle EXE-Dateien als Ausnahmen hinzugefügt.

Folgende Fehlermeldung erhalten wir in der Ereignisanzeige:

Name der fehlerhaften Anwendung: OEBMCC32.EXE, Version: 3.2.0.2, Zeitstempel: 0x4f044aa6

Name des fehlerhaften Moduls: MFC71.DLL, Version: 7.10.3077.0, Zeitstempel: 0x3e77fdfd

Ausnahmecode: 0xc0000006

Fehleroffset: 0x0000c2a4

ID des fehlerhaften Prozesses: 0x13dc

Startzeit der fehlerhaften Anwendung: 0x01cf2be19174fa54

Pfad der fehlerhaften Anwendung: \\VM-DB-DIRECTMC\DB-DIRECTMC\DIRECTMC\MCCWIN\PRG\OEBMCC32.EXE

Pfad des fehlerhaften Moduls: C:\Windows\system32\MFC71.DLL

Berichtskennung: 7de1a875-987d-11e3-a03f-ecf4bb085e3c

Mehr ist leider nicht zu finden.

 

Wer kann Tipps geben, wie man mehr Logging Informationen erhält?

 

Vorab vielen Dank!

 

 

 

Haben das selbe problem hier mit SFirm. Ticket ist seit letzter woche raus, und wir schon in Moskow bearbeitet.

Schau mal im Windows log nach da steht das einen DLL nicht geladen werden kann.

 

Share this post


Link to post
Hallo Herrmann,

 

willkommen im Forum.

 

Kannst Du uns als erstes mitteilen, welche Version von Kaspersky Du im Einsatz hast.

 

Kannst Du bitte die lokale Einstellungen speichern oder die Richtlinie exportieren und hier posten.

 

Helmut

 

Hi Helmut,

 

die Kaspersky Version ist folgende:

Kaspersky Endpoint Protection 10.1.0.867 (a)

 

Die Schutzrichtlinie vom Security Center hab ich mit beigefügt.

schutzrichtlinie.zip

Share this post


Link to post

Um evtl. den Fehler einzugrenzen, kannst Du mal alle Module deaktivieren und einzent wieder aktivieren?

 

Ist die Freigabe gemountet? Kannst Du die Ausnahme darüber machen?

 

Läuft auf dem Server auch ein AV?

 

Außerdem solltest Du über ein Upgrade auf die 10.2.1.23 nachdenken. Hierzu ist allerdings auch ein Upgrade vom KSC nötig.

Share this post


Link to post
Um evtl. den Fehler einzugrenzen, kannst Du mal alle Module deaktivieren und einzent wieder aktivieren?

 

Ist die Freigabe gemountet? Kannst Du die Ausnahme darüber machen?

 

Läuft auf dem Server auch ein AV?

 

Außerdem solltest Du über ein Upgrade auf die 10.2.1.23 nachdenken. Hierzu ist allerdings auch ein Upgrade vom KSC nötig.

 

Hallo Helmut,

 

ich hatte alle Module deaktiviert und das Programm ließ sich einwandfrei starten und bedienen.

Sobald ich nur den Aktivitätsmonitor aktiviert habe hängt die Anwendung schon.

 

Die Freigabe wird nicht gemountet. Die Anwendung greift direkt über den UNC Pfad drauf zu.

 

Auf dem Server ist kein AV installiert.

post-504466-1392820441_thumb.png

post-504466-1392820731_thumb.png

post-504466-1392820760_thumb.png

Share this post


Link to post

Da sind wir ja schon einen Schritt weiter. Jetzt kannst Du versuchen, das Problem mit den Checkboxen im Aktivitätsmonitor weiter einzugrenzen.

 

Ich vermute hier den Proaktiven Schutz.

Share this post


Link to post
Da sind wir ja schon einen Schritt weiter. Jetzt kannst Du versuchen, das Problem mit den Checkboxen im Aktivitätsmonitor weiter einzugrenzen.

 

Ich vermute hier den Proaktiven Schutz.

 

Es reicht aus wenn ich einfach nur den Aktivitätsmonitor aktiviere. Exploit-Schutz, Aktivitätsverlauf für Programme...,Rollback... oder Proaktiver Schutz sind NICHT angehakt.

 

Ist das ein Fall für die Entwicklung?

post-504466-1392883911_thumb.png

Share this post


Link to post

Teste bitte zuerst die aktuelle Version 10.2.1.23.

 

Dann könnte man noch versuchen, das Programm von Kaspersky in die Updates für den Aktivitätsmonitor hinzufügen zu lassen.

Share this post


Link to post
Teste bitte zuerst die aktuelle Version 10.2.1.23.

 

Dann könnte man noch versuchen, das Programm von Kaspersky in die Updates für den Aktivitätsmonitor hinzufügen zu lassen.

 

Mit der aktuellen Version 10.2.1.23 tut es!

Share this post


Link to post

Kann ich das Security Center ohne weiteres auf die 10.1.249 aktualisieren oder sollte etwas beachtet werden?

Sind Einschränkungen bekannt?

Müssen die Administrationsagents auf den Clients aktualisiert werden?

Share this post


Link to post

Ja, lt. Release Notes soll es gehen. Ich empfehle aber immer eine Neuinstallation. Bei der Deinstallation gibt es die Option eines Backups. Dies nach der Installation wieder einspielen. Auch die Agenten verteilen.

Share this post


Link to post
Mit der aktuellen Version 10.2.1.23 tut es!

 

@Helmut

leider Fehlalarm. Auf einem anderen Notebook hat es wieder nicht funktioniert (mit 10.2.1.23).

Share this post


Link to post

gleiches Verhalten. Sobald der Aktivitätsmonitor aktiviert ist, funktioniert es nicht mehr.

 

Gibt es vielleicht so etwas wie einen debug mode? Es wird keine einzige Info irgendwo protokolliert, dass überhaupt blockiert wurde.

Share this post


Link to post

Ja, man kann den Trace am Client aktivieren. Siehe Screenshot.

post-2103-1392908956_thumb.jpg

Share this post


Link to post

Ich hab die Protokollierung aktiviert zuerst auf Normal(500) (beim zweiten Versuch auf Kritisch(100)) -> aktiviert -> Software gestartet bis Software hängengeblieben ist -> deaktiviert

 

Der Button "Informationen für den Support auf den Server laden" wird nicht aktiv.

 

Hat in diesem Fall Kaspersky keinen "Fehler" entdeckt? Wo werden die Logs gespeichert?

Share this post


Link to post

Ich hab die Logs gefunden:

C:\ProgramData\Kaspersky Lab\KES.10.2.1.23_02.20_16.29_2476.SRV.log

C:\ProgramData\Kaspersky Lab\KES.10.2.1.23_02.20_16.29_4816.GUI.log

 

Ich kann mit denen nicht sonderlich viel anfangen...da stehen nur hieroglyphen drin.

 

Könntest du damit etwas anfangen?

Share this post


Link to post

Werden normalerweise vom Support ausgewertet. Hast Du schon eine Anfrage laufen?

Share this post


Link to post
Werden normalerweise vom Support ausgewertet. Hast Du schon eine Anfrage laufen?

 

Leider musste ich schon mehrfach die Erfahrung machen dass ich überhaupt keine Antwort vom Support bekomme.

Habe Tickets vor 2 Monaten aufgemacht und keine Antwort.

 

Im Forum hier bekomme ich schon eher eine Antwort....also Nein kein Ticket aufgemacht.

Share this post


Link to post

Das überhaupt keine Antwort vom Support kommt, kann ich mir nicht vorstellen.

 

Hast Du nachgefragt. Was manchmal vorkommt, ist, das der Support auf Antwort von Dir wartet, Du aber meinst, der Support sollte reagieren. Hier bitte im Company Account nachsehen oder anrufen.

 

Was häufig gemacht wird, eine Anfrage im englischen Forum stellen und parallell ein Ticket aufmachen. Dort wird sehr häufig nach dieser Nummer gefragt und auch beantwortet.

Share this post


Link to post

Hast du Einsicht in die Tickets? Ich kann dir gerne einpaar nennen...

Durch eine zusätzliche E-Mail an info@kaspersky.de mit einer entsprechenden beschwerbe habe ich dann Tage später eine Antwort erhalten.

Share this post


Link to post

Nein, ich habe keinen Einblick in das Ticketsystem. Du kannst mir aber gerne ein paar Nummern per PN zukommen lassen, dann frage ich mal nach.

 

Als Geschäftskunde wirst Du sicherlich von einem Händler betreut. Dieser sollte Dein erster Ansprechpartner auch in Supportfrage sein. Entweder kontaktiert dieser seinen Distributor oder Du machst dies direkt. Dieser wiederum stellt eine Anfrage in Ingolstadt, wenn er selbst nicht weiterhelfen kann.

Share this post


Link to post
Leider musste ich schon mehrfach die Erfahrung machen dass ich überhaupt keine Antwort vom Support bekomme.

Habe Tickets vor 2 Monaten aufgemacht und keine Antwort.

 

Im Forum hier bekomme ich schon eher eine Antwort....also Nein kein Ticket aufgemacht.

 

Hallo Hermann,

 

schick mir doch mal bitte umgehend die Ticketnummern per PM zu.

Ich prüfe sofort warum du hier seit angeblich 2 Monaten keine Antwort erhalten hast.

 

gruss hawk

Share this post


Link to post

Hallo,

ich habe das gleiche Problem mit Mult1cache 2.23 bei einem Kunden!

KSC 10.1.249 Plus 10.2.1.23 auf den Workstations (Win 7 prof x64).

Seit Update von Vers. 8 auf 10 hängt sich das Online Banking System auf.

programmpfad wird ebenfalls über UNC gemapped. Alle Ausnahmen für Verzeichnis und EXE-Files deklariert - ohne Erfolg.

 

Interessanter Weise kann man das Program vom Client starten und noch erste Operationen ausführen - erst beim schließen eines Fensters greift Kaspersky zu und hängt.

Einer der Fehler im Eventlog ist ID 1002 -Programm OEBMCC32.exe kann nicht mehr unter Windows ausgeführt werden und wurde beendet ...usw.

 

versuche gerade Kaspersky tech. Hotline zu erreichen.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.