Hi!
Ist eigentlich noch keinem aufgefallen dass das neuste Control Panel:
control-panel-7-81-021218a-007192c-efg.exe
ständig Daten zu Microsoft schickt.
Das passiert beim Starten von allen! 3D-Anwendungen (auch Benchmarks)
und bei Öffnen der Erweiterten Anzeigeeigenschaften.
Man kanns ja nennen wie man will - aber wenn jetzt selbst ATI anfängt mit seinen Treibern meinen Rechner abzuhorchen find ich so gesehen echt 'n Hammer.
Ist das jetzt die neuste Masche um Zertifikate für seine Treiber zu bekommen , oder was?

MfG ins Forum

BUGFIX

Originally posted by Unregistered
Hi!
Ist eigentlich noch keinem aufgefallen dass das neuste Control Panel:
control-panel-7-81-021218a-007192c-efg.exe
ständig Daten zu Microsoft schickt.
Das passiert beim Starten von allen! 3D-Anwendungen (auch Benchmarks)
und bei Öffnen der Erweiterten Anzeigeeigenschaften.
Man kanns ja nennen wie man will - aber wenn jetzt selbst ATI anfängt mit seinen Treibern meinen Rechner abzuhorchen find ich so gesehen echt 'n Hammer.
Ist das jetzt die neuste Masche um Zertifikate für seine Treiber zu bekommen , oder was?

MfG ins Forum

BUGFIX
Quelle für diese Behauptung bitte.

Microsoft hat genug damit zu tun die Daten auszuwerten die MS eigene Spyware sammelt. Außerdem interessiert MS ganz bestimmt nicht wie du deinen Treiber einrichtest.

Wo hast du den Treiber denn runtergeladen? Vielleicht hast du sowieso einen Trojaner im Sys, meine Firewall muckst sich auf jeden Fall
nicht beim Einstellen des CPanels.

Quelle der Treiber:
http://mirror.ati.com/support/drivers/win2k/radeonnowdm-2k.html?cboOS=Windows+2000&cboProducts=RADEON+9700+PRO&eula=&choice=agree&cmdNext=Next
(benötigt Javascript)

Ist bei mir reproduzierbar auf 2 verschiedenen Rechnern (einmal mit 9700Pro und einmal mit 8500LE)
genaue Problematik:
Systemsteuerung->Anzeige->einstellungen->Erweitert anklicken.
Wenn die FW so konfiguriert ist , dass jeder Traffik abgefragt wird, wird man feststellen , dass sich jetzt RUNDLL32.exe mit crl.microsoft.com:80 verbinden möchte. Erst wenn die Abfrage beantwortet ist , geht das Dialogfeld auf. Bei 3D Anwendungen: (3DMark2001SE.exe)
Bevor das Logo von 3dMark auftaucht wir von der FW eine Ausgehende Verbindung zu crl.microsoft.com:80 abgefangen.
Solange die Abfrage unbeantwortet bleibt, bleibt auch das 3dMarkfenster unsichtbar.
Da ich dieses Forum nicht mit 4Seiten FW-Protokoll vollspammen will, hoffe ich das auf diese art der "Beweißführung" verzichtet werden kann.

MfG
BUGFIX

Anmerkung:
Verbindungsaufbauender Prozess , ist immer die 3d -Anwendung - bis auf den Fall mit den Erweiterten Anzeigeeigenschaften - in dem Fall wird als Prozess dir RunDLL32.exe angegeben.
Da dieser Effekt nach der Deinstallation der Control Panels verschwindet , sind andere Quellen def. Auszuschließen.

Grüße , und 'nen schönen Abend noch

BUGFIX

Originally posted by Unregistered
Anmerkung:
Verbindungsaufbauender Prozess , ist immer die 3d -Anwendung - bis auf den Fall mit den Erweiterten Anzeigeeigenschaften - in dem Fall wird als Prozess dir RunDLL32.exe angegeben.
Da dieser Effekt nach der Deinstallation der Control Panels verschwindet , sind andere Quellen def. Auszuschließen.

Grüße , und 'nen schönen Abend noch

BUGFIX

Ist ja eine lustige Beweiskette. Schonmal an die autom. Microsoft-Fehlerberichterstattung gedacht. Nur so als Beispiel. Etwas "definitiv" herauszustellen gestaltet sich oft als nicht so einfach.

Also ich kann es auf meinem Sys beim besten Willen nicht reproduzieren, sowohl beim 3DMurx als auch beim ControlPanel.
Allerdings habe ich alles an automatischen Verbindungen (wie etwa die Fehlerberichtserstattung) oder auotmatischen Updates etc.pp. deaktiviert.

Gründe die für meine Thorie sprechen.
Erstens ist die Rundll32.exe ist sehr! häufig in gebrauch. Wenn es also wirklich ein Trojaner wäre , hätter er alle Dialogboxen der Welt zeit, zu senden. Macht er aber nicht. Erst wenn ATI DLLs in Spiel kommen wird er gesprächig.
Zweitens taucht die Abfrage ausschließlich bei Graka anwendungen auf, also 3d Applications oder Programme die spezielle Darstellungsmodi Brauchen (Tv-Anwendungen - overlay mode). Vor der Installation des Control Panels senden die Anwendungen nix.
Alle "gesprächigen" Dienste sind bereits bei der Win-Installation ausgeschaltet , bzw Regeintrag entfernt und Dll bzw EXE gelöscht worden.
Prüfsummen bzw Kenndaten der Anwendungen sind nicht verändert worden
mit anderen Worten:
Die 3dmark2001se.exe ist immer noch die gleiche wie vor der Control-Panel installation. Gleiches gilt für andere anwendungen.
Das einzige was ich mir noch vorstellen könnte ist, dass der Installer des CPanels "verseucht" ist - obwohl es dann eher unwarscheinlich ist das er sich mit der Deinstallation freiwillig mit "entseucht".

Aber da nicht sein KANN was nicht sein DARF .....

MfG
BUGFIX

Also wenn ich 3D Murx öffne startet automatisch immer ne "wmiprvse.exe" die sich allerdings ohne Probleme wieder schließen (sind um die 4 MB). Das war aber irgendwie schon immer so ...

Das ist ja ne komische Behauptung. Laut deiner Aussage könnte also ein User ohne Internet gar nix mehr zocken oder Treibereinstellungen vornehmen! Glaubst du nicht das dies ein wenig seltsam wäre ?

Originally posted by Lorien
Das ist ja ne komische Behauptung. Laut deiner Aussage könnte also ein User ohne Internet gar nix mehr zocken oder Treibereinstellungen vornehmen! Glaubst du nicht das dies ein wenig seltsam wäre ?

Da hast Du mich jetzt etwas falsch verstanden:
Der Prozess wartet solange keine Antwort auf seine Verbindungsanfrage kommt. wenn du gleich alles Blockierts - bzw kein Inet da ist - macht er dann schon weiter.

[SIZE=1]Originally posted by metzelder
Also wenn ich 3D Murx öffne startet automatisch immer ne "wmiprvse.exe" die sich allerdings ohne Probleme wieder schließen (sind um die 4 MB). Das war aber irgendwie schon immer so ...


Auf meinem System (win2000) gibt es weder eine wmiprvse.exe noch wird ein gleichnamiger prozess gestartet.

Andere Frage:
Kann ich ein älteres CPanel (von der ersten Catalyst 3.0 version) auch PROBLEMLOS auf der neusten Treiberversion nutzen?

Danke für eure Mühen und Hilfestellungen

Grüße
BUGFIX

Na los, dann kommst Du jetzt wohl nicht drum rum, mal dein Controlpanel zu uppen. Und womit loggst du?

Originally posted by Unregistered

Auf meinem System (win2000) gibt es weder eine wmiprvse.exe noch wird ein gleichnamiger prozess gestartet.


Benutze Windows XP -
Keine Ahnung was es damit auf sich hat ...

Originally posted by Unregistered
Na los, dann kommst Du jetzt wohl nicht drum rum, mal dein Controlpanel zu uppen. Und womit loggst du?

"Mein" CPanel ist binärgleich mit der auf der Haupseite gelinkten version (mit FC geprüft)

meine (Personal)Firewall ist die Agnitum Outpost Firewall ver. 1.0.1817.1645 sowie meine RedHat7.2 Linuxkiste die als Gateway arbeitet.
(Kernel 2.4.20 iptables 1.2.7a )

Mit was arbeitet ihr so?

MfG

BUGFIX

tach zusammen ooohhhman ich lese ja schon ewig hier mit aber so was DAS IST DER NEUE MEDIAPLAYER9!!!"WMDM Service deaktivieren!!!!!WO-Systemsteuerung-Verwaltung-DIENSTE!!!!!

naja deine "beweiskette" lässt zwar etwas misstrauisch werden aber sowas wäre 1. auch bei anderen (auch bei mir) nachvollziehbar, allerdings kann das bisher niemand (ich ebensowenig) 2. schon längere zeit aufgeflogen (der cata3.0 ist schlieslich nichtmehr so "jung") 3. viele firewalls zeigen eh mist an.... 4. kannst du es eben noch nicht ausschliesen ob es ein anderes prog/trojaner oder sonstwas ist.

wenns bei beiden auftritt, hast du n netzwerk?

ich selbst benutze debian (version weiss ich nicht, interesiert mich au irgendwo net...ist eh immer aktuell ;D ) und winXP (derzeit) mitm sp1.

auch noch mal für Dich "es ist der MediaPlayer9 und der Ruf zu Hause an wenn dieser Dienst nicht deaktiviert ist!!!! Wer lesen kann ist klar im Vorteil.

Originally posted by zuppi
tach zusammen ooohhhman ich lese ja schon ewig hier mit aber so was DAS IST DER NEUE MEDIAPLAYER9!!!"WMDM Service deaktivieren!!!!!WO-Systemsteuerung-Verwaltung-DIENSTE!!!!!

Dann scheint sieser Dienst nur dann zu senden wenn ich das o.g ATI Panel drauf hab??? wäre mir neu - außerdem ist der Dienst bereits bei der Installation deaktiviert worden. (und ist es noch immer)

[B]naja deine "beweiskette" lässt zwar etwas misstrauisch werden aber sowas wäre 1. auch bei anderen (auch bei mir) nachvollziehbar, allerdings kann das bisher niemand (ich ebensowenig) 2. schon längere zeit aufgeflogen (der cata3.0 ist schlieslich nichtmehr so "jung") 3. viele firewalls zeigen eh mist an.... 4. kannst du es eben noch nicht ausschliesen ob es ein anderes prog/trojaner oder sonstwas ist.

wenns bei beiden auftritt, hast du n netzwerk?

ich selbst benutze debian (version weiss ich nicht, interesiert mich au irgendwo net...ist eh immer aktuell ) und winXP (derzeit) mitm sp1.

zu 1:
richtig - deswegen hab ichs auch ins Forum gepostet - um genau das zu erfragen
zu 2:
sollte man eigentlich glauben - nur in anbetracht der IE-Thematik bin ich mir da mitlerweile nicht mehr ganz so sicher
zu 3:
Wenn PF's p.D. Lügen , wie willst du dann sagen , dass dir deine FW die Verbindung nicht verschweigt?
BTW:
Warum friert dann der sendene Prozess ein wärend die FW auf meine Antwort wartet? Bei einem Geisterpacket dürfte doch nix passieren - die Anwendung (3dmurkx) müsste also wie gewohnt starten - tut sie aber nicht.
zu 4:
ein Trojaner der solange auf einem Rechner "schläft" bis ATI ihn mit seinem CPanel "aufweckt" klingt nicht wirklich warscheinlicher.
vor allem, wenn er nach der deinstalation wieder "einschläft"

zu Netzwerk:
ja - beider Rechner haben eine PF - das Netzwerk ist durch die Linuxkiste "gewallt"

MfG
BUGFIX

Originally posted by Unregistered
auch noch mal für Dich "es ist der MediaPlayer9 und der Ruf zu Hause an wenn dieser Dienst nicht deaktiviert ist!!!! Wer lesen kann ist klar im Vorteil.

Bitte gleiches Beachten!
Die kiste ist nicht neu installiert - ich arbeite schon monatelang damit(auch mit Mediaplayer9 - der standartmäßig nix darf [weder raus noch rein- auch nicht auf localhost])das Phänomen tritt mit der installation des CPanels auf - und verschwindet, sobald dieser deinstalliert wird - Mediaplayer9 funktionier unabhängig sowohl vor als auch nach dem CPanel.

MfG
BUGFIX

Dir ist nicht zuhelfen ! Der Junge von XP-AntiSpay weiß schon bescheid in der nächsten Version brauchste dann nur noch ein zusätzliches Häckchen zusetzen.Und höre auf hier die Leute bekloppt zumachen.

WmdmPmSN (Portable Media Serial Number Service)
Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.

Originally posted by zuppi
Dir ist nicht zuhelfen ! [...].

Schade
(aber warum postest Du dann hier?)

Wenns wirklich der MPlayer und seine dienste wären - hätt ich ein ganz tolles mittel an alle geplagten Win2000 User:
deinstalliert einfach das ATI-CPanel und schon ist ruhe. *cool*
BTW:
Ich wusste garnicht das MediaPlayer und Co. neuerdings heißen wie meine 3D-Anwendungen und - wenn ich das Packet abfang - auch noch so aussehen und funktionieren
Aber Danke fürs Mitmachen

MfG
BUGFIX

Originally posted by zuppi
WmdmPmSN (Portable Media Serial Number Service)
Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.

Ist seit anbeginn der Zeit (Neuinstallation) off
BTW:
Dienste dieses Typs werden auschließlich durch den Dienstkontroller
(C:\WINNT\System32\svchost.exe -k netsvcs)
gestartet und kontrolliert
NUR:
DER will ja garnicht senden .....

MfG
BUGFIX

Ich habe das ja erst nich glauben können, aber nun ist's bei mir dasselbe.
Beim Zugriff auf die erweiterten Display-Einstellungen will die rundll32.exe irgendwohin funken.

Dummerweise habe ich bis vor einer Stunde keinen MP9 gehabt und musste leider beides zugleich installieren (ich Dussel), so dass ich jetzt erstmal nichts gegen das WMP9-Argument sagen kann.

Ich werde den aber mal wieder entfernen und dann schaun 'mer mal weiter..

WmdmPmSN (Portable Media Serial Number Service)
^^ obiger Dienst ist deaktiviert, andere WMDM-Dienst gibt's bei mir nicht, Media-Player9 ist deinstalliert und trotzdem bekomme ich beim Zugriff auf die "erweiterten Eigenschaften von Anzeige" ;) einen Versuch von rundll32.exe nach 207.46.134.155, port80 zu telefonieren.

Ich deinstalliere nachher mal das 7192er-Control Panel, mal gucken ob das dann immer noch auftritt....das wär' ja mal ein Spass....

Quasar,

du hast den WMP9 zwar deinstalliert aber wer garantiert dir, daß die Deinstallationsroutine auch wirklich alle Änderungen wieder rückgängig gemacht hat? Bei Micros~1 muss man da aufpassen. Ich kann mich da noch an das Office2000-Debakel erinnern.

wie kann man diesen dienst im WMP9 denn abschlaten??

Originally posted by Quasar
einen Versuch von rundll32.exe nach 207.46.134.155, port80 zu telefonieren.


die IP gehört jedenfalls zu www.domestic.microsoft.com

Originally posted by Quasar
WmdmPmSN (Portable Media Serial Number Service)
^^ obiger Dienst ist deaktiviert, andere WMDM-Dienst gibt's bei mir nicht, Media-Player9 ist deinstalliert und trotzdem bekomme ich beim Zugriff auf die "erweiterten Eigenschaften von Anzeige" ;) einen Versuch von rundll32.exe nach 207.46.134.155, port80 zu telefonieren.

Ich deinstalliere nachher mal das 7192er-Control Panel, mal gucken ob das dann immer noch auftritt....das wär' ja mal ein Spass....

1. Kann ich es beim besten Willen nicht nachvollziehen.

2. Bekommt man am Port 80 dieser IP auch selbige Website. Relativ unmöglich, dass was über Port 80 getunnelt wird, wenn dort einen IIS wartet.

Originally posted by Exxtreme
Quasar,

du hast den WMP9 zwar deinstalliert aber wer garantiert dir, daß die Deinstallationsroutine auch wirklich alle Änderungen wieder rückgängig gemacht hat? Bei Micros~1 muss man da aufpassen. Ich kann mich da noch an das Office2000-Debakel erinnern.
Niemand, das ist richtig....aber der entsprechende Service ist ab Startup deaktiviert.

Trotzdem werd ich das ganze gleich nochmal an einem unverbastelten W2k probieren...

Ich habe hier gerade ein "unverbasteltes" Win2k - gestern installiert.

Bisher nur ein paar Spiele und eben die Treiber incl. Control Panel, aber kein Media Player 9 (wird auch nicht draufkommen - ich fand den 7 schon scheußlich).

Ich kann hier keine Aktivitäten vom Control Panel feststellen...

Könnte es eventuell auch am DX9 liegen ?

Naja, bei WinXP könnte es an wirklich vielen Ursachen liegen, aber wenn ATi da jetzt auch noch mitmischt...

Bei mir meldet sich rundll nicht, aber vielleicht bin ich einfach zu blxd, eine FW gescheit zu konfigurieren ;)

Originally posted by Quasar
Ich habe das ja erst nich glauben können, aber nun ist's bei mir dasselbe.
Beim Zugriff auf die erweiterten Display-Einstellungen will die rundll32.exe irgendwohin funken.
[...]


Wie siehts bei dir mit anderen Anwendungen aus?
(ich dachte da an 3dMark o.ä. )

bei mir wird als ziel immer die crl.mircosoft.com angegeben.
Bitte keine Reverse Namensauflösung ansetzten - unter o.g Adresse war bis gestern die
11.01.2003 23:46:32 crl.microsoft.com 207.46.249.27
heute dagegen:
12.01.2003 00:02:27 crl.microsoft.com 207.46.249.222
zu erreichen.
Deshalb bitte immmer nur den Namen angeben.

BTW: (bin ja für so fast alle Erklärungen offen)
Ich kann die möglichkeit nicht ausschließen das nicht das CPanel allein sondern in verbindung mit DX9 (möglicherweise wegen Certification blabla) senden will.

Könnt ihr mir bitte angeben welche (genaue Angaben , wenn möglich mit datum des DX9 downloads) DX9 Version ihr habt?

Danke fürs Mitgrübln

BUGFIX

So, ich habe jetzt mal wieder ein altes control panel installiert. Ergebnis: Weder WinXP (ich habe Win2k), noch DirectX9 (ist immer noch drauf), noch der WMP9 (deinstalliert und WMDM-Dienst deaktiviert) sind schuld und mit dem alten CP (welches jetzt natürlich nicht korrekt funktioniert will auch keine rundll32.exe mehr zu MS zurücktelefonieren.

Gleich probier' ich's nochmal mit einem frischen Win2k.

edit:
@BUGFIX
Ich kriege nur die IP, keine DNS-Namen von Tiny zurück....

Oki ich werd hier mal in die Bresche springen *&!$§&!§$% ... autsch*

Habe eben auf Bugfix' "Anordnung" sowohl das Control Pannel wie auch den neuen Treiber installiert.

Weitere relevante Daten:
MP9
!!! KEIN DX9 !!!
Outpost FW & Tiny FW

Ergebnis:
Kein Verbindungsversuch durch die rundll32.exe

Was sacht uns das ?

Es spricht nicht mit mir.

Aber das DX9 wohl die Finger mit drinn hat ... bzw. der (böse) Finger ist steht damit immer fester =)

Auf das mich alle nieder machen

Die neuen Treiber lassen sich auch ohne DX9 installieren???

Originally posted by Quasar
Die neuen Treiber lassen sich auch ohne DX9 installieren???

Ja. (http://www.forum-3dcenter.org/vbulletin/showthread.php?s=&threadid=47938)

Da hab ich wohl ein Ei gelegt ... nach einem erneuten Neustart will er JETZT doch connecten

Outpost meldet mir dabei eine Downloadmanager-Signatur
was mich auch nicht weiter glücklich stimmt.

Werde gegen später (bin grad am HD-Platz frei brennen) beides nacheinander De-Installieren und den Erfolg posten.

Ein dickes Sorry in dem Fall an MS und DX9.

Bis später.

Originally posted by Quasar
Die neuen Treiber lassen sich auch ohne DX9 installieren???
Wär ja wohl ziemlicher Unsinn wenn man bei einem neu aufgesetzten System erst DX9 installieren müsste, bevor der Graka-Treiber funktioniert... ;)

Kann das mal jemand ins Spekuforum verschieben ? Dies gehört meiner meinung nach nicht hier hin. Da eine solche Behauptung unsinnig ist.

Der Treiber hat keine Spyware.
Ich glaube eher das Windows nachfragt.
Ich vermute mal das DX9 die Verbindung aufbaut, wenn auf DX9 zugegriffen wird.

Gruss Labberlippe

nicht unsinnig!! Es ist aber denke ich "MS" eine DLL als Anwendung ausführen "XPclient 01....-....?! Das beste Beispiel dafür ist der "Realplayer ca. 30dll´s auch ATI ca.10dll´s und vorallen "DX" versucht sich sofort einzuwählen und vorallen ohne Wahrnung der Firewall!!!!!(ZoneAlarm)Vieleicht testen die ja schon "TCPA".

Originally posted by Labberlippe
Ich vermute mal das DX9 die Verbindung aufbaut, wenn auf DX9 zugegriffen wird.
Gruss Labberlippe
Lies mal 3 posts drüber ...

!!! KEIN DX9 !!!

Wer lesen kann ist ... sei's drum

Originally posted by Unregistered

Lies mal 3 posts drüber ...

!!! KEIN DX9 !!!

Wer lesen kann ist ... sei's drum

Meinereiner hatte heute bei einer Bekannten die neuen Treiber installiert und massig Benches gestartet und da war kein einziger Zugriff.

mfg Labberlippe

Gucksdu Oben !!! =P

PLUS

- @ Labberlippe
- 5 Posts drüber
- Gruß HO7DOG

Originally posted by HO7DOG
Gucksdu Oben !!! =P

PLUS

- @ Labberlippe
- 5 Posts drüber
- Gruß HO7DOG

Hmm bei mir ist dieser Effekt nicht aufgetreten.

Gruss Labberlippe

????????????? die progs brauchen die Vebindung oder?? Wenn ich ein RealMediaFile im IE ansehen möchte muß ich das prog. darauf zugreifen lassen oder? Ich weiß nicht wie es bei OnlineSpielen ist.

Originally posted by Xmas

Wär ja wohl ziemlicher Unsinn wenn man bei einem neu aufgesetzten System erst DX9 installieren müsste, bevor der Graka-Treiber funktioniert... ;)

Jep.
(Und aus demselben Grund ist auch die Reihenfolge der Treiberinstallation (AGP, Graka, DX,...) absolut wurscht, auch wenn von vielen immer wieder das Gegenteil behautet wird.:D

Originally posted by HO7DOG
Da hab ich wohl ein Ei gelegt ... nach einem erneuten Neustart will er JETZT doch connecten

Outpost meldet mir dabei eine Downloadmanager-Signatur
was mich auch nicht weiter glücklich stimmt.

Werde gegen später (bin grad am HD-Platz frei brennen) beides nacheinander De-Installieren und den Erfolg posten.

Ein dickes Sorry in dem Fall an MS und DX9.

Bis später.

Sorry dass Du jetzt deswegen son stress hast.
Ich will nicht sagen das ich mich drüber freue - trozdem könnte es enorm hilfreich sein wenn du mir zum auswerten mal ein oder 2 screenies deier FW-Meldungen mailst.
Ich bin bei meinen nachforschungne seitens Dlls und Diensten nicht wirklich weiter gekommen - alles notwendigen ATI-DLLS werden ab start geladen - komme also auch nicht weiter.

In wie weit sind treiber und CPanel eigentlich von einander abhängig?
Könnte ich das Catalyst 3 CPanel mit den Catalyst 2.5 Treibern nutzten , und umgekehrt ?

Originally posted by Lorien
Kann das mal jemand ins Spekuforum verschieben ? Dies gehört meiner meinung nach nicht hier hin. Da eine solche Behauptung unsinnig ist.


Ich meine, dass wir über die Spekulationen bereits hinaus sind.
Wenn ich mich recht entsinne sind bereits 3 Fälle aufgetreten, von denen 2 def. auf das Control-Panel bzw Catalyst 3.0a (wie sie auf der 3dcenter HP heißen) zurückzuführen sind.

Mir persönlich wäre es auch lieber gewesen , diesen Thread nicht aufmachen zu müssen.

MfG

BUGFIX

Originally posted by ow


Jep.
(Und aus demselben Grund ist auch die Reihenfolge der Treiberinstallation (AGP, Graka, DX,...) absolut wurscht, auch wenn von vielen immer wieder das Gegenteil behautet wird.:D

Habe es noch nicht selbst getestet, aber beim AGP-Treiber in Verbindung mit Smartgart wäre ich mir da nicht so sicher.

Originally posted by Lorien
Kann das mal jemand ins Spekuforum verschieben ? Dies gehört meiner meinung nach nicht hier hin. Da eine solche Behauptung unsinnig ist. wieso? einige haben dieses problem also passt es hier wenn es tatsächlich was mitm control panel zu tun hat....

Wie oben gesagt, mit dem Control-Panel für den ersten 3.0 Catalyst tritt dieser Zugriff auch mit Media Player9 und DX9 unter Win2k nicht auf.
Sobald jedoch das neue CP installiert wurde, versuchte rundll32.exe eine I-Net Verbindung aufzubauen.

Originally posted by HO7DOG
Ein dickes Sorry in dem Fall an MS und DX9.Das mußte wirklich mal gesagt werden!

:D

Originally posted by Quasar
Wie oben gesagt, mit dem Control-Panel für den ersten 3.0 Catalyst tritt dieser Zugriff auch mit Media Player9 und DX9 unter Win2k nicht auf.
Sobald jedoch das neue CP installiert wurde, versuchte rundll32.exe eine I-Net Verbindung aufzubauen.

Ich habe DX9, WMP9, und 3.0a drauf.

Und nichts rührt sich, meine Firewall (Outpost hat nichts zu meckern...
Was mach ich falsch ?...

Vielleicht kommt's auch n bissel drauf an, wie die FW konfiguriert ist?
Windows-nahe Programme werden ja ganz gern mal schnell auf die always-allow oder always-deny Liste gesetzt, je nachdem, ob man bequem surfen will, oder recht paranoid ist.

Originally posted by zuppi
????????????? die progs brauchen die Vebindung oder?? Wenn ich ein RealMediaFile im IE ansehen möchte muß ich das prog. darauf zugreifen lassen oder? Ich weiß nicht wie es bei OnlineSpielen ist.

Im moment gehe ich davon aus , dass sich die "telefonierende" Funktion in einer der ATI-DLLs eingebaut ist.
Das eigentliche Problem an malicious Functions ist, das für deine FW siehts so aus als ob sdie aufrufende Anwendung raus will - wenn man jetzt an Spiele denkt (zb UT2003,) die man im Inet spielen will wirds in sofern banane, da deine Firewall die Plappernde Funktion für legal hält.

Bei Grakatreibern ist das schon ne ganze Stange an Anwendung die du mit deiner Spyfunktion "verseuchen" kannst.

Aber hoffen 'ma mal nicht das Schlimmste ....

MfG

BUGFIX

hi,
aber ich frage mich was das für einen nutzen hat wenn jemand die einstellungen der grafikkarten ausspioniert.
wolln die vielleicht wissen wieviele nutzer wirklich FSAA und AF nutzern oder was?!

Mehrpack

Originally posted by Mehrpack
hi,
aber ich frage mich was das für einen nutzen hat wenn jemand die einstellungen der grafikkarten ausspioniert.
wolln die vielleicht wissen wieviele nutzer wirklich FSAA und AF nutzern oder was?!

Mehrpack

Nur weil du eine SpyFunktion mit dem Öffnen/Aufruf von 3D triggerst ,heißt das noch lang nicht das sich seine "Gesprächsthemen" darauf begrenzen - vergiss nicht das Grakatreiber etwas sehr ZENTRALES in einem Betriebssystem sind, die eigentlich alles machen können was sie wollen [inc. Bluscreens erzeugen :-/]

MfG

BUGFIX

Wenn deine Grafikkarte defekt ist, sagen die 'Hey, keine Garantie mehr, du hast am 23.12. um 14.27 Uhr übertaktet' ;)

Edit: Dieser Post soll nicht verharmlosen !

Originally posted by Quasar
Vielleicht kommt's auch n bissel drauf an, wie die FW konfiguriert ist?
Windows-nahe Programme werden ja ganz gern mal schnell auf die always-allow oder always-deny Liste gesetzt, je nachdem, ob man bequem surfen will, oder recht paranoid ist.

jepp, darum hab ich vorher ALLE Einträge aus der FW gelöscht...

Der da ein höher war ich.

also ich habe es mal probiert mit einstellung blocke alles
da kommt bei mir nix das da was gesendet wird
Winxp
Cat3a
DX9
Firewall Outpost

es sind ja auch die anwendungen ...

ich glaube an das gute im menschen und vermute, dass ms nur sehen will ob es kompatibilitäts probleme gibt.
diese vermutung basiert auf der tatsache, dass sich, in dem moment als sich mein fs2002 erhängt hat (der natürlich auch schon telefonieren wollte) dxdiag den vorfall sogleich an ms verpetzen wollte, ähnlich diesem fehler melde dienst von xp.

ka ... is spät ... wenn jemand der meinung ist, dass ich müll verzapfe hat er vieleicht sogar recht ...

cu & gn8

Originally posted by Xmas

Wär ja wohl ziemlicher Unsinn wenn man bei einem neu aufgesetzten System erst DX9 installieren müsste, bevor der Graka-Treiber funktioniert... ;)
So, jetzt ist W2K frisch drauf, nur das App-Update und Tiny sind drauf. Mit dem 6924C, den ich inkl. Control-Panel problemlos über das mitgeliefert DX7 installieren konnte, meldet TPF keine Aktivität nach aussen.

Dann wollte ich die "neuen" 7192er installieren und bekam eine Fehlermeldung, dass DX8 zuvor installiert sein müsste.
Mal schauen, wie's weitergeht....
edit1:
Nach dieser Fehlermeldung bietet er die Option an, trotzdem weiterzumachen und die Installation läuft bis zum nächsten Restart fehlerfrei weiter.....

edit2:
...und bootet auch brav bis Windows. Ein Klick auf "Erweitert" in "Eigenschaften von Anzeige" läßt Tiny völlig kalt...

edit3:
Der Versuch, das 7192er Control-Panel (Gratulation an ATi, dass es endlich dieselbe Nummer wie der zugehörige Treiber trägt!) beschehrt mit keine normale Installation, sondern nur die Möglichkeit, "Ändern", "Reparieren" oder "Entfernen" auszuwählen, ich entscheide mich für ersteres. Reboot.

edit4:
Rebooted, I-Net Connection eingerichtet und auf das CP zugegriffen: Keine FW-Aktivität. Als nächstes installiere ich DX8.1 drüber.

edit5:
Auch mit DX8.1 noch keinerlei Auffälligkeiten. Als nächste kommt DX9 dran. Ich werde mal die EULA lesen, vielleicht ist dort ja ein kleines Hintertürchen offengelassen, dass es sogar LEGAL macht, ein wenig zu schnüffeln.

edit6:
Selbst mit DX9 nach vorher genau gelesenem EULA war kein Rumgeschnüffel auf dem System festzustellen.
Scheinbar hat irgendwas anderes die Rundll32.exe zum Connecten veranlasst!!

Originally posted by HO7DOG
es sind ja auch die anwendungen ...

ich glaube an das gute im menschen und vermute, dass ms nur sehen will ob es kompatibilitäts probleme gibt.
[...]
cu & gn8

An deiner stelle würd ich mal die FW-Protokolle Checken (und mach den DNS-Cache-Dienst deiner FW aus ) um die eigentlichen IPS zu sehen.
Bei mir beschränkt es sich nicht auf eine feste IP die "angerufen" wird.

RemotePort bis jetzt immer 80.
Ich weiß es klingt bescheuert - aber genau so gut könnte das eine art Werbung sein. So nach dem Motto: diese 3D-Anwendung läuft "with the power of ATI & Microsoft DX9"
Sowas vor jeder Anwendung platziert ist sicher Effektvoll.

Spass bei Seite die Informartionen die da gesendet werden sollen/möchten wird man wohl nur dann bekommen, wenn man
1) den Traffic zulässt und dabei 2) alle Packete mittels geeigneter Progs mitliest.

OK - Wer opfert seine Datenintegrität freiwillig ?

MfG

BUGFIX

Auf dem System, auf dem ich's grad teste kann ich das machen, sag mir mal einen guten Paketsniffer....

Originally posted by Quasar
Auf dem System, auf dem ich's grad teste kann ich das machen, sag mir mal einen guten Paketsniffer....

Ob er gut ist, weiß ich nicht - aber für Windows *grins*
http://datanerds.net/~mike/netgroup-serv.polito.it/windump/
Frag mich aber nicht, wie er konfiguriert werden muss - ich selbst benutzte fir solche fälle mein Linux auf dem 4ten Rechner

MfG
BUGFIX

Originally posted by Unregistered


Nur weil du eine SpyFunktion mit dem Öffnen/Aufruf von 3D triggerst ,heißt das noch lang nicht das sich seine "Gesprächsthemen" darauf begrenzen - vergiss nicht das Grakatreiber etwas sehr ZENTRALES in einem Betriebssystem sind, die eigentlich alles machen können was sie wollen [inc. Bluscreens erzeugen :-/]

MfG

BUGFIX

hi,
mhh ok die könnten theorethisch nen abbild des system machen, daran hab ich net gedacht.
aber ich glaube kaum das ATI bluescreens erzeugen würde.
ich meine immerhin würde das net gerade den ruf gut tun.

@salvee: dafür müsste aber der händler in ner datenbank nachschaun die von ati mal angenommen gestellt werden würde.

aber wenn sie wirklich datensammeln und es nicht in den lizensbestimmungen drinstehn würde, dann wäre es doch eigentlich illegal, denn soweit ich weiss darf von jemanden nach deutschen recht nur daten in einem nicht öffentlichen raum erfasst werden wenn er diesen zustimmt.

Mehrpack

sorry für doppelpost

Originally posted by Mehrpack


hi,
mhh ok die könnten theorethisch nen abbild des system machen, daran hab ich net gedacht.
aber ich glaube kaum das ATI bluescreens erzeugen würde.
[...]


Versuch mal wärend du in einem Game spielst die Desktopauflösung zu ändern - hat bei mir hin und wieder zu einem Bluescreen marke :"sponsored by ATI" geführt.

Originally posted by Mehrpack
aber wenn sie wirklich datensammeln und es nicht in den lizensbestimmungen drinstehn würde, dann wäre es doch eigentlich illegal, denn soweit ich weiss darf von jemanden nach deutschen recht nur daten in einem nicht öffentlichen raum erfasst werden wenn er diesen zustimmt.

Mehrpack

Als ob die etwas drauf geben obs legal ist - und wenn nicht dann wirds halt nachträglich legal gemacht - bei der Privatkopie sind wir ja schon fast soweit.

"Alles was Sie irgendwann mal irgenwo gemacht haben kann (und wird) gegen Sie verwendet werden"

MfG und gute Nacht zusammen

BUGFIX

hi,
wieso sollte ich wärent des spielens die desktop auflösung ändern??
ausserdem hat man sowieso meistens eine.

wegen der illegalität, nein nachträglich kann das nicht einfach nachgereicht werden, ich eine illegale datensammlung da kann man dagegen klage einreichen, bloss das würde ne ziemliche negativ presse geben und den ruf von ATI realtiv runinieren. wieso sollte also ATI so ein risiko eingehn wollen, für ein paar systemdaten die man sowieso von 3Dmark bekommen würde und evt. ob ne karte die bei der reklamation ist nicht zu ersetzen.

Mehrpack

Ihr glaubt ja wohl ned wirklich immer noch das da ATI dahintersteckt oder ?
Das ist wohl eindeutig Microsoft mit ihrem ET Service.

Hey Bugfix,

du scheinst ja nicht ganz dumm zu sein. Erklär doch bitte mal was man bei einem connect dorthin http://207.46.134.155:80 übertragen kann.

Originally posted by ow


Jep.
(Und aus demselben Grund ist auch die Reihenfolge der Treiberinstallation (AGP, Graka, DX,...) absolut wurscht, auch wenn von vielen immer wieder das Gegenteil behautet wird.:D

Nein ist nicht wurscht.
Versuche mal einen ATi Treiber installiern wen DX7 am System ist.
Der Treiber verlangt nach DX8 ansonsten bricht die Installation ab.

Éine saubere Insatallation sollte so aussehen.

OS
Treiber Mobo
Treiber AGP
Direct X
Treiber Graka
Treiber Sound

und erst dann die restlichen.

Gerade die VIA Systeme nehmen es gerne einen übel, wenn man eine andere Reihenfolge wählt.

Gruss Labberlippe

Versuch mal wärend du in einem Game spielst die Desktopauflösung zu ändern - hat bei mir hin und wieder zu einem Bluescreen marke :"sponsored by ATI" geführt.

Dann hast Du ein Problem mit dem Treiber.
Standart VGA laden und dann erst nochmal den Treiber installieren.
Dann einen Neustart und dannach erst das Panel installieren.



Als ob die etwas drauf geben obs legal ist - und wenn nicht dann wirds halt nachträglich legal gemacht - bei der Privatkopie sind wir ja schon fast soweit.

"Alles was Sie irgendwann mal irgenwo gemacht haben kann (und wird) gegen Sie verwendet werden"

MfG und gute Nacht zusammen



Naja ich glaube eher das die Hersteller drauf pfeifen.
Wenn jemand nur eine Kopie hat wird keiner was sagen.
Es gibt aber leider genug die mit Kopien kohle verdienen auf die wird es abgesehen.

Gruss Labberlippe

Hi

Es kann aber auch sein das ATi eine Autoupdate Funtkion im Treiber einbaut.

Gruss Labberlippe

Und wieso wird das nirgends erwähnt?

Mich wundert nur, dass es auch manchen Systemen nachweislich auftaucht und auf manchen eben genauso nachweislich nicht.

Vielleicht haben die installierten SP's ja was damit zu tun... Hm....

Hi, um's kurz zu machen,

bei mir tritt dieser Effekt (nach Hause telefonieren) auch auf und das erst seit der Installation der neuen ATI Treiber (Cat 3.0a). Die runddll möchte beim Aufrufen der erweiterten Anzeigeigenschaften eine Netzwerkverbindung aufbauen, die von der FW geblockt wird. Ein Einfrieren der Fenster findet bei mir allerdings nicht statt.

Den Mediaplayer 9 hatte ich einige Tage zuvor bereits installiert, ohne das es danach zu irgendwelchen "Auffälligkeiten" gekommen ist.

Sys: WinXP Pro, Norton 2003.

Grüße

Originally posted by Labberlippe
Hi

Es kann aber auch sein das ATi eine Autoupdate Funtkion im Treiber einbaut.

Gruss Labberlippe


sowas ähnliches wurde im Interview bei Driverheaven erwähnt das man sowas in erwägung zieht, nur warum fragt er bei M$ dann an und nicht bei ATI ?

Originally posted by Unregistered
Hey Bugfix,

du scheinst ja nicht ganz dumm zu sein. Erklär doch bitte mal was man bei einem connect dorthin http://207.46.134.155:80 übertragen kann.

Wenn du den Server "geeignet" konfigurierst kannst du im Grunde genommen überall hin tunneln - bzw getunnelt werden.
Port 80 sagt in erster linie garnix - dein Browser zeigt dir ne Webside an - nur heißt das noch nicht, das da nicht ein filter vorgeschaltet ist - technisch gesehen kein prblem.

Wenn das Packet was du sendest einen bestimmten trigger hat könnte die Verbindung - is ja TCP - auf einen anderen Port ausgehandelt werden - und da wird dann richtig "geplappert"
Alternativ könnte ein im Netzwerk vorgeschalteter Router mit filteroption besondere Packete - (und TCP-Packete erlauben da ne menge manipulation und "versteckte" Marker - man denke da an DNAT bzw SNAT) umleiten- wärend dein Browser, der ja sagt dass er ein browser ist, und diesen marker nicht hat eben auf eine "normale" Webseite landet.


Originally posted by Labberlippe
Hi

Es kann aber auch sein das ATi eine Autoupdate Funtkion im Treiber einbaut.

Gruss Labberlippe

Nenn wie du es willst - eine "Update" Funktion die man nicht ausschalten kann - und sich zu MICROSOFT verbinden will - ist für mich nun einmal in die Kategorie spyware zu packen

Erschreckend finde ich nur dass sich bei 1300 Views nur 5 oder 6 Leute finden die dazu ne meinung haben. Entweder die sind alle am Testen oder am FW installieren oder - was das schlimmste wäre - den ist es einfach EGAL.

Aber das schein der ewig gleiche drang der Menscheit zu sein seine Freiheiten abzugeben.
Mag zwar hart klingen passt aber wie ich finde ganz gut.

MfG

BUGFIX

Originally posted by BUGFIX

Erschreckend finde ich nur dass sich bei 1300 Views nur 5 oder 6 Leute finden die dazu ne meinung haben. Entweder die sind alle am Testen oder am FW installieren oder - was das schlimmste wäre - den ist es einfach EGAL. Wieso schlimm, mir ists egal weil ich das problem net hab, benutz noch das "erste" control panel vom 3.0er catalyst...nur manche die, das problem hier leugnen das ist eigentlich schlimm, es geschieht halt...

probiert das doch selber einfach aus ...

installiert euch ne Firewall ( z.B. Kerio ) und installiert das Control Panel ...

Da ist definitiv ein Verbindungs Versuch feststellbar ...
jedoch lässt sich das Control Panel trotzdem installieren , wenn man diesen Zugriff nicht durchlässt !

was das soll hab ich mich auch schon gefragt ...

Man sollte jetzt einmal eine Mail an ATi schicken, jetzt wo schon geklärtist, dass es wirklich das neue CPanel ist. Bin gespannt wie die Stellungsnahme dazu aussieht...

Vielleicht sollte einer der "ATi-Developer" sich an die Sache mal dranhängen. (Zeckensack, Exxtreme, Nagus ??)

Originally posted by BUGFIX


Wenn du den Server "geeignet" konfigurierst kannst du im Grunde genommen überall hin tunneln - bzw getunnelt werden.
Port 80 sagt in erster linie garnix - dein Browser zeigt dir ne Webside an - nur heißt das noch nicht, das da nicht ein filter vorgeschaltet ist - technisch gesehen kein prblem.

Wenn das Packet was du sendest einen bestimmten trigger hat könnte die Verbindung - is ja TCP - auf einen anderen Port ausgehandelt werden - und da wird dann richtig "geplappert"
Alternativ könnte ein im Netzwerk vorgeschalteter Router mit filteroption besondere Packete - (und TCP-Packete erlauben da ne menge manipulation und "versteckte" Marker - man denke da an DNAT bzw SNAT) umleiten- wärend dein Browser, der ja sagt dass er ein browser ist, und diesen marker nicht hat eben auf eine "normale" Webseite landet.




Nenn wie du es willst - eine "Update" Funktion die man nicht ausschalten kann - und sich zu MICROSOFT verbinden will - ist für mich nun einmal in die Kategorie spyware zu packen

Erschreckend finde ich nur dass sich bei 1300 Views nur 5 oder 6 Leute finden die dazu ne meinung haben. Entweder die sind alle am Testen oder am FW installieren oder - was das schlimmste wäre - den ist es einfach EGAL.

Aber das schein der ewig gleiche drang der Menscheit zu sein seine Freiheiten abzugeben.
Mag zwar hart klingen passt aber wie ich finde ganz gut.

MfG

BUGFIX

Die Frage steht aber noch offen ob die Anfrage wirklich vom Control Panel gestartet wird.
Ich kann dieses Phänomen nicht nachvollziehen und Quasar mit einen frisch installierten W2k anscheinend auch nicht.

Die Frage ist, was? b.z.w. welches Prog fragt ab.

Gruss Labberlippe

Originally posted by 0711
...nur manche die, das problem hier leugnen das ist eigentlich schlimm, es geschieht halt...

Leugnen ist schon ein krasses Wort, ich kann es halt nicht nachvollziehen, weil

a) es nicht stattfindet oder
b) Ich es nicht raffe, vom Netzwerk oder FWs habe ich halt rel. wenig Ahnung

na dann mach dir ne Firewall druff .. und vollziehe das Popupfenster nach, welches dir einen Connection Versuch auf die oben ganannte IP Adresse bestätigt :)

also du kannst es uns aber auch einfach glauben :)
...wenn du es nachvollziehen willst, dann kommst du um eine Firewall wohl nicht drumrum!

firewall hier downloaden http://www.kerio.com

Also, auch wenn es OT wird

Hab' die Tiny FW

- Default Filterregeln für alle Outgoing Connections gelöscht (damit ich jeden Outgoing Traffic mitbekomme)
- Im Display Control Panel die Erweiterten Optionen geöffnet
- MANCHMAL (sehr selten, auf jeden Fall nicht immer und somit reproduzierbar) kommt 'Outgoing Connection Alert' nach 194.25.2.129:52 von svchost.exe
(wie kann man sehen, welche dll dafür verantwortlich ist ?)
- diese Outgoing Meldung kommt allerdings auch, wenn ich gar nix mache von Zeit zu Zeit (alle 1 bis 2 Minuten halt)
- ab und zu will die 212.185.249.116:53 auch noch was von mir

Was mache ich falsch ?
(Wie gesagt, von Netzwerken knapp 0 Plan, und glauben tue ich euch ja :) )

In wie weit ist man hinter einem Router geschützt, oder besser was
muss ich in den einstellungen ändern damit "es" nicht nach Hause
telefoniert................

Thx
Kellwolf

Da hier noch kein Pic von der abfrage existiert und ich heut meinen Screener hab, so sieht das bei mir aus, aber erst seit heute mit dem aktuellen Treiber.

Hab aber kein Problem dann weiter zu kommen,habs einfach nicht beantwortet, Sygate wartet jetzt noch auf ne Entscheidung ;)

Alex

So ich hab mir jetzt mal ne Firewall installiert. Bei mir telefoniert aber MS ned raus wenn ich das Controlpanel öffne.

Und ja ich hab das neue vom 3.0a drauf. Auch hab ich den WMP9.0 und auch Directx 9.0.
Jedoch passiert überhaupt nix wenn ich das Controlpanel öffne.

@quasar

Kannst du mal einen ATI Bildschirmschoner für die 8500 mit dem neuen Treiber+CP+Dx9 testen??

Bis jetzt konnte ich nur bei denen feststellen das was rauswählen will zu MS. (warum will die sushi engine zu MS connecten??)

Originally posted by Labberlippe


Nein ist nicht wurscht.
Versuche mal einen ATi Treiber installiern wen DX7 am System ist.
Der Treiber verlangt nach DX8 ansonsten bricht die Installation ab.


Ich nutze selten die zu Treibern mitgelieferten Setup-Routinen. Wenn Das ATi-Setup die DX-Version prüft und dann die Installation verweigert ist das deren Problem.
Funktionieren muss ein DX8 Treiber auch unter einer DX7 runtime oder DX6.

Originally posted by Salvee
Also, auch wenn es OT wird

Hab' die Tiny FW

Was mache ich falsch ?
(Wie gesagt, von Netzwerken knapp 0 Plan, und glauben tue ich euch ja :) )

svchost ist der Dienstekontroller - das kann so ziemlich alles sein was bei dir unter Verwaltung -> Dienste steht.

Noch was zum Thema Rundll32.exe Die Bezeichnung "Eine DLL-Datei als Anwendung ausführen" ist der Name der RUNDLL32.exe. Aus der Nachricht lassen sich keine Rückschlüsse auf die Aufgreufene DLL ziehen.
Wichtig!
Am besten garkeine! Rules für Rundll32.exe svchost.exe und service.exe
dann kann man am besten nachvollziehen wer was macht. (also jeden Verbindungsaufbau bestätigen - auch wenns nervt - ist für Diagnosezewcke am besten)
svchost ist auch - wie oben bereits gesagt - Dienstkontroller für den DNS dienst. Eventuell wird sich dieser VOR der eigentlichen Aufruf durchs CPanel melden - oder er wird von der Firewall aktiviert, weil diese Die IP-nummer zum Namen auflösen will.
Eure Firewall wird als telefonierenden Prozess nie! die eigentliche DLL melden - immer nur den Prozess der sie Aufruft (exakter: der die Funktion in der DLL aufruft)

Router helfen NIX - er kann zwischen gut und böse nicht unterscheiden, er vermag zwar Ports zu sperren , doch darum gehts hier nicht.

Grundsätzlich ist jeder Traffic - der nicht vom user erzeugt wird zu hinterfragen.

Obwohl das einige schon gemacht haben , möchte ich alle betroffenen nochmals bitten welche Konfig sie haben zu posten (DX version - CAtalyst treiber und CPanel sowie Windows mit bzw ohne Servicepack usw.) Danke!

MfG

BUGFIX

Originally posted by Unregistered
[...]
svchost ist auch - wie oben bereits gesagt - Dienstkontroller für den DNS dienst. [...]
MfG

BUGFIX

sorry Fehler Meinerseits - für den DNS-Cachedienst unter Windows 2000 ist die Service.exe zuständig.

MfG

BUGFIX

Wie schon gesagt bei mir findet der Verbindungsaufbau nicht statt.

3.0a, WMP9, Directx 9.0
WinXP SP1

Grüsse Lorien

2 PCs:
Catalyst 3.0a (6.14.01.6255) + CPanel 6.14.10.4012
über
http://mirror.ati.com/support/drivers/win2k/radeonnowdm-2k.html?cboOS=Windows+2000&cboProducts=RADEON+9700+PRO&eula=&choice=agree&cmdNext=Next
erhalten

beide Windows 2000
einaml mit WMP9 einmal ohne WMP9
beide DX9
Beide Outpost Firewall

Beide wollen raustelefonieren

MfG

BUGFIX

Win XP, DX9, Cat 3.0a, WMP9. Nix raustelefonieren.

XP-HOME
SP1
MP8 (nicht 9!)
cat 3a

wenn online ...einstellungen... beim klick au erweitert:
dll laberversuch ueber
C:\windows\system32\rundll32.exe nach crl.microsoft.com
207.46.249.22 _80

tztz

un des erst seit 3a

Meiner meinung nach liegt dies nicht an ATI sondern am MS da es ja nicht bei jedem auftaucht.

LoL?

bei denjenigen bei den es auftaucht, taucht es jedoch erst NACH install des cat3a auf!
und es geht wider mit der deinstall des 3a

@Unreg da oben
du scheinst mir ja ned wirklich ne Ahnung von Software zu haben.
Ich bin mir zu 100% sicher das dies von MS ausgeht und nur mit dem CP des 3.0a zum teil ausgelöst wird.
Wenn nämlich ATI dies beabsichtigt hätte dass das neue CP zu Microsoft telefoniert würde dies bei jedem User der dieses CP installiert auftauchen und ned nur bei paar Usern.

Hat schonmal jemand probiert bei dem das Phänomen auftaucht mit XP Antispy Tool mal alles abzuschalten und dann nochmal zu testen ?

Grüsse Lorien

Hab meinem Zweitrechner gerade ne XP-Anti-spy-kur verpasst

Und siehe da... :
RUNDLL32.exe will immer noch senden
und auch die anderen 3d-Anwendungen möchten gern weiter plaudern...

Zum Thema Antispy:
Was genau von den tollen einstellungen von Antispy soll den in dem Fall der hier vorliegt Helfen?

Um ehrlich zu sein ,finde ich das tool für mich nicht wirklich hilfreich - alles was der mir vorschlägt mach ich nach der Neuinstallation sowieso.

MfG

BUGFIX

Originally posted by Lorien
@Unreg da oben
du scheinst mir ja ned wirklich ne Ahnung von Software zu haben.

LOL aber du du held

Originally posted by Lorien
Ich bin mir zu 100% sicher das dies von MS ausgeht und nur mit dem CP des 3.0a zum teil ausgelöst wird.
Wenn nämlich ATI dies beabsichtigt hätte dass das neue CP zu Microsoft telefoniert würde dies bei jedem User der dieses CP installiert auftauchen und ned nur bei paar Usern.

Hat schonmal jemand probiert bei dem das Phänomen auftaucht mit XP Antispy Tool mal alles abzuschalten und dann nochmal zu testen ?

Grüsse Lorien

wo hab ich gesacht das es ati waere??

>directX9<

Originally posted by Lorien
Hat schonmal jemand probiert bei dem das Phänomen auftaucht mit XP Antispy Tool mal alles abzuschalten und dann nochmal zu testen ?

Grüsse Lorien

Und was ist mit Win2k?

Originally posted by Quasar


Und was ist mit Win2k?

Wie schon oben geschrieben - hilft nix.
Bei dir ist jetzt nach der Neuinstallation nix mehr?

Mir ist aufgefallen , das nicht alle D3D Spiele/Anwendungen senden wollen - alte Benchmarks wie z.B. Final Reality oder Tirtanium schweigen - nur die neueren Produkte sind gesprächig mit dem Catalyst CPanel.

MfG

BUGFIX

Auf dem anderen System, wo das neue Win2k drauf ist, sendet nix, aber dort habe ich auch keine SPs installiert....
Hier wird nach wie vor fleissig E.T. gespielt, wenn ich das CP haben will.

Die Frage oben war eigentlich mehr auf das XPAntispy bezogen...

Originally posted by Quasar
Auf dem anderen System, wo das neue Win2k drauf ist, sendet nix, aber dort habe ich auch keine SPs installiert....
Hier wird nach wie vor fleissig E.T. gespielt, wenn ich das CP haben will.

Die Frage oben war eigentlich mehr auf das XPAntispy bezogen...

...hilft auch unter W2K.

Mal schauen, was sich in der Angelegenheit bei R3D ergibt, und ob sich ein ATi-Offizieller dazu äussert (und die Vorwürfe hoffentlich entkräftet ;) )

http://www.rage3d.com/board/showthread.php?s=&threadid=33659096

http://www.rage3d.com/board/showthread.php?s=&postid=1331669617#post1331669617

Originally posted by Salvee
Mal schauen, was sich in der Angelegenheit bei R3D ergibt, und ob sich ein ATi-Offizieller dazu äussert (und die Vorwürfe hoffentlich entkräftet ;) )
[...]


Da gibts IMO nicht zu entkräften, selbst wenn die SpyFunktion eigentlich von MS kommen sollte, stellt sich für mich die Frage warum ATI die JETZT nutzt, wenn es bis jetzt auch ohne ging.

/*Spekulation
Die werden nix machen , nur sagen , dass denen der Effekt nicht bekannt ist - wenn wir glück haben wirds stillschweigend aus der nächsten version wieder rausgenommen - sonst bleibts halt drin.
Stört ja (fast) keinen
Spekulation */

MfG

BUGFIX

Originally posted by BUGFIX
/*Spekulation
Die werden nix machen , nur sagen , dass denen der Effekt nicht bekannt ist - wenn wir glück haben wirds stillschweigend aus der nächsten version wieder rausgenommen - sonst bleibts halt drin.
Stört ja (fast) keinen
Spekulation */ Es wird einem immer unterstellt, daß es einen nicht stört, aber ich konnte es beim Besten willen nicht nachvollziehen. Hatte die Keiro P. Firewall eingestellt, daß sie jeden Zugriff auf einen Port meldet - egal von wem. Konnte allerdings beim ATi Treiber Panel und 3D Programmen/Spielen gar nichts feststellen.

Habe:
Win2k kein SP
DX9
aktuellste (gehackte:)) ATi Treiber
MediaPlayer 6.4

Originally posted by ollix
Es wird einem immer unterstellt, daß es einen nicht stört, aber ich konnte es beim Besten willen nicht nachvollziehen. [...]



Ich unterstell hier keinem/keiner dass er/sie zu ignorant bzw dumm bzw unfähig wäre das zu bemerken. Wenns bei euch nicht ist - seid froh drüber.

Es ging mir mehr darum dass (siehe 3DRage-Forum) keiner wirklich darüber besorgt ist, dass da was dran ist bzw sein könnte.

Für mich ist der Effekt auf jeden fall beunruhigend (auch und vor allem im Kontext zur TCPA thematik) und er lässt die Cat3.0a in einem doch recht merkwürdigen Licht darstehn.

MfG

BUGFIX

Da ich beim überfliegen hier nichts darüber gelesen habe melde ich hiermit gehorsamst: (lol @ Bugfix)

Tribes 2 unter OGL hat keinerlei Ambitionen bei Mickysoft zu petzen,
sobald ich aber (auch in game) auf D3D wechsel poppt die frohe Botschaft auf.

BTW, Antispy is die erste Anwendung die bei mir läuft, trotz DER und einiger handgemachten Änderungen wollen D3D Anwendungen tratschen

Grüße und Küsse

HO7DOG

Ich finde, dass is eher n Grund für n neuen Thread.

Nichts für ungut, aber einfach nur irgendwo was dazuposten zieht nich.

Für alle die, die es ernst meinen =)
http://www.rage3d.com/board/showthread.php?s=&threadid=33659937

Schaut mal auf diese Seite (http://www.hardware-mag.de/hardware.php?id=111&page=2) dort ist ein Bild (in der unteren Reihe das rechte), könnte das ein Grund für das "Nach Hause telefonieren" sein.

Wir hatten schon besprochen, dass es nicht an DX9 (allein) liegt, da es auch (wie bei mir) mit DX8 auftritt.
Außerdem sind die Verbindungsversuche nicht auf DXDiag beschränkt und kommen bisweilen von der run32.dll

Aber danke für die Hilfe

Originally posted by HO7DOG
Wir hatten schon besprochen, dass es nicht an DX9 (allein) liegt, da es auch (wie bei mir) mit DX8 auftritt.
Außerdem sind die Verbindungsversuche nicht auf DXDiag beschränkt und kommen bisweilen von der run32.dll

Aber danke für die Hilfe

Schon klar das es nicht DX9 allein ist. Aber wenn ich das bis jetzt richtig gelesen habe passiert das nur bei D3D.
Wenn ich die Meldung auf dem Bild richtig interpretiere will DX bei allem was mit Treibern zu tun hat nach neuen Zertifikaten suchen wenn man online ist.
So wie es ja beim CP, D3D Games oder eben Benchmarks der Fall ist.

Warum dann erst wenn das neue CP drauf ist???
Und warum NUR mit dem ... noch NIE vorher???
Und wie schon erwähnt ... ich DX8 ... Rechner telefonieren nach Hauuuse

Originally posted by HO7DOG
Warum dann erst wenn das neue CP drauf ist???
Und warum NUR mit dem ... noch NIE vorher???
Und wie schon erwähnt ... ich DX8 ... Rechner telefonieren nach Hauuuse

Da müßte man mal bei M$ nachfragen. Vielleicht ist es ja eine neue Bedingung um die Zertifizierung für die Treiber zu bekommen. Wäre zumindest eine Möglichkeit oder nicht.

Ja das hab ich mich auch schon überlegt. Bloss weshalb macht er dies bei mir nicht ?

Originally posted by Lorien
Ja das hab ich mich auch schon überlegt. Bloss weshalb macht er dies bei mir nicht ?

Schau dir das Bild (http://www.hardware-mag.de/artikel/reports/dx9/dxdiag_3_big.jpg) an. Es könnte damit zu tun haben was du angeklickt hast.

Ja das könnte dies bestätigen wie ich vermutet habe.

Ich habe vorhin meinen Linux-Router einwenig protokollieren lassen. Sobald ich das Control-Panel der CATALYST 3.0a aufrufe, passiert Folgendes:

...Packet log: forward MASQ ppp0 PROTO=6 192.168.0.66:1033 207.46.134.190:80 L=52 S=0x00 I=776 F=0x0000 T=127 SYN
...Packet log: forward MASQ ppp0 PROTO=6 192.168.0.66:1033 207.46.134.190:80 L=40 S=0x00 I=777 F=0x0000 T=127 (#1)
...Packet log: forward MASQ ppp0 PROTO=6 192.168.0.66:1033 207.46.134.190:80 L=306 S=0x00 I=778 F=0x0000 T=127 (#1
...Packet log: forward MASQ ppp0 PROTO=6 192.168.0.66:1033 207.46.134.190:80 L=40 S=0x00 I=779 F=0x0000 T=127 (#1)
...Packet log: forward MASQ ppp0 PROTO=6 192.168.0.66:1033 207.46.134.190:80 L=40 S=0x00 I=780 F=0x0000 T=127 (#1)

Das ganze unter Win2K SP3 + DX9.

Also, runter mit dem Schei** und wieder Omega draufgespielt. Ich finde es eine Frechheit, seitens wem auch immer. :(

Originally posted by Lorien Ja das könnte dies bestätigen wie ich vermutet habe. Nein, leider hat das auch nicht damit zu tun, denn man kann diese Option mit "Start->ausführen->dxdiag->[ENTER]" und ausschalten der Option "Auf digitale WHQL-Signaturen prüfen" deaktivieren. Ratet mal: Ja, genau diese Option ist bei mir DEAKTIVIERT, und trotzdem will rundll.exe nach Hause telefonieren. :bonk:

Wie zu erwarten war:
http://www.rage3d.com/board/showthread.php?s=&threadid=33659937

Post nr. 5


Hi,
In no way do we (ATI) install any type of spyware in our control panel or our drivers. I have tried to reproduce it myself and do not see such behaviour. Leads me to believe that the original poster had something on the system causing this.

Quite often, existing SpyWare on a system will hook into very specific operations to mask their presence. Gator comes to mind.


/*Anregung:
ATI könnte dem ganze ärger entgehen , wenn sie ihre Treiber Sources veröffentlichen würden.
Anregung*/

@crushinator:
Könntest du ein DUMP vom gesendeten Packet machen?

@HO7DOG:
LOL
/*Skeptisch:
Du meinst wirklich dass das was bringt?
Skeptisch*/

OGL sendet wirklich nicht - jedenfalls solange keine Grafikarteninformation abgefragt wird.

Wie auch immer - meinermeinung nach ist jetzt ATI am zug.
Aber auch wenn wir hier totgeschwiegen werden - sagt später nicht, ihr hättet von nix gewusst.

MfG
BUGFIX

Oh Mann,

ihr verwendet halt alle eine nicht zertifizierten Treiber in euren Systemen. Sei es der Grafik - Sound oder eben ein anderer. Deshalb will die Rundll32.exe oder auch andere Programme, ein einziges Mal zu Microsoft hin telefonieren. Danach ich Ruhe im Stall. Wenn ihr es allerdings abblockt, dann ist klar, das die Internetsucht der Proggies nie aufhört.

Die ATI-Treiber sind clean.

Originally posted by Unregistered
Oh Mann,

ihr verwendet halt alle eine nicht zertifizierten Treiber in euren Systemen. Sei es der Grafik - Sound oder eben ein anderer. Deshalb will die Rundll32.exe oder auch andere Programme, ein einziges Mal zu Microsoft hin telefonieren. Danach ich Ruhe im Stall. Wenn ihr es allerdings abblockt, dann ist klar, das die Internetsucht der Proggies nie aufhört.

Die ATI-Treiber sind clean.

1.)
Catalyst3.0a sind nach ATI's angaben zeritfiziert.
2.)
Es wird nur mit dem Neuen CPanel gesendet
3.)
andere Treiberänderung gab es nicht
4.)
Zitat:
"Die ATI-Treiber sind clean."
Gib mir den Quellcode und ich schaus mir an - ansonsten:
REINE SPEKULATION deinerseits.

Trozdem danke fürs mitmachen

MfG

BUGFIX

Der R3D-Thread ziert jetzt die Hauptseite von Warp2Search.

Originally posted by BUGFIX

4.)
Zitat:
"Die ATI-Treiber sind clean."
Gib mir den Quellcode und ich schaus mir an - ansonsten:
REINE SPEKULATION deinerseits.

Trozdem danke fürs mitmachen

MfG

BUGFIX

Mein Gott, dann lass es halt einmal senden und ruhe iss. So ein krampfi. Probier es erst einmal aus, bevor abgewiegelt wird. Dieser Thread ist die reinste Lachnummer.

Originally posted by BUGFIX
/*Anregung:
ATI könnte dem ganze ärger entgehen , wenn sie ihre Treiber Sources veröffentlichen würden.
Anregung*/ Naja, ich glaube nicht daß ATi 100%ig dran schuld ist. Aber sie ist schuld genug!!! Ich bin schon wieder am Platzen!!! :madman:

@crushinator:
Könntest du ein DUMP vom gesendeten Packet machen?
Zuspät, ich war ziemlich verärgert und es hat nur 3 Min. gedauert bis der Omega wieder raufkam. Wenn ich am Freitag Zeit habe und es Keiner bisher getan hat, werde ich die Packets sniffen.

Wie auch immer - meinermeinung nach ist jetzt ATI am zug.
Aber auch wenn wir hier totgeschwiegen werden - sagt später nicht, ihr hättet von nix gewusst. Full Ack.

Originally posted by Unregistered
ihr verwendet halt alle eine nicht zertifizierten Treiber in euren Systemen. Sei es der Grafik - Sound oder eben ein anderer. Deshalb will die Rundll32.exe oder auch andere Programme, ein einziges Mal zu Microsoft hin telefonieren. Danach ich Ruhe im Stall. Wenn ihr es allerdings abblockt, dann ist klar, das die Internetsucht der Proggies nie aufhört. Setzen, Sechs. ;)

1. Bei mir ist alles WHQL zertifiziert. (AFAIR)

2. Mein "Router" hat es nicht geblockt, der Zugriff war also
erfolgreich, und trotzdem versucht es Rundll32.exe bei
jedem Zugriff auf das control-panel weiter.

3. Was ist das denn für eine Argumentation? Mein PC gehört inkl.
der gekauften Soft- und Hardware nur mir und nur ich
möchte entscheiden, wann welches Programm (angeblich) nach
Updates schaut.

4. Wo kämen wir denn hin, wenn sich unsere Autos immer beim
Hersteller melden würden, wenn wir ein neues Teil dran
schrauben würden?

Originally posted by Salvee
Der R3D-Thread ziert jetzt die Hauptseite von Warp2Search. Von mir aus können sie den Thread auch in der Computer-Bloed veröffentlichen. *eg*

Auch wenn es sich hierbei nur um einen kleinen Bug handeln könnte, es muß sooooooooooo eine negativ publicity geben, damit die (egal wer) endlich begreifen, daß die Schmerzgrenze bei diesem Thema (unaufgeforderter Datenaustauch mit fremden Systemen) schon längst überschritten ist.

Es scheint übrigens kein ATi-Only Bug zu sein. Wie fast alle richtig vermutet haben, liegt es mit sehr hoher Wahrscheinlichkeit an einem Bug von DX9 bei Treibern mit bestimmter WHQL-Zertifizierung. Bug deshalb, da bei Manchen in solchen Fällen allein das aufrufen von "dxdiag" schon eine Verbindung aufbaut, ohne daß dies mit dem Häkchen "auf WHQL ... prüfen" erlaubt wäre. :(

Siehe dazu auch dieses Posting (DX8.1b + GF):
http://www.rage3d.com/board/showthread.php?threadid=33659937&postid=1331673013#post1331673013

So, Alfred hat das "nach M$ telefonieren" auch. Aber nur einmal. Sprich wenn ich den Rechner einmal gestartet habe und das Panel aufrufe. Danach kann ich das Panel sooft aufrufen wie ich will, da passiert nüx. Erst wieder wenn WIN neu gestartet ist.

Originally posted by crushinator
Von mir aus können sie den Thread auch in der Computer-Bloed veröffentlichen. *eg*

Auch wenn es sich hierbei nur um einen kleinen Bug handeln könnte, es muß sooooooooooo eine negativ publicity geben, damit die (egal wer) endlich begreifen, daß die Schmerzgrenze bei diesem Thema (unaufgeforderter Datenaustauch mit fremden Systemen) schon längst überschritten ist.

Dem stimme ich voll zu.

Leider is (wie zu erwarten war) seitens ATI nix passiert.
Ich hoffe zwar das HO7DOG da mit Rage3d weiterkommt, mache mir aber um ehrlich zu sein keine großen illusionen.

Schade finde ich auch dass wir bis jetzt noch nichtmal bei 3DCenter eine Erwähnung wert sind. Selbst wenn der Effekt nur bei wenigen auftaucht , sollte er meines erachtens auch zum nachdenken anregen.
Wie in den News vom 16.01.03 geschrieben versucht man schleichend den User mit TCPA Spyware usw zu "infilitrieren".

Ich finde wir "schlucken" schon viel zu lange zu viel von son einem Scheiß.

MfG

BUGFIX

BUGFIX, bevor du hier so ne welle machst, meinst du nicht wir sollte hier erstmal genau rausfinden was genau mit dier Verbindung zu M$ bewirkt wird, anstatt das CP von vornhinein als "SPYWARE" abzutun ?

Wir wissen doch bisher nur das beim Aufrufen vom CP des 3.0a ein connect zu M$ hergestellt wird. Mehr nicht. Wenn ne ATI "Spyware" wäre warum stellt es denn keine Verbindung zu ATI her ?

An alle:

Bitte probiert diesen Link:
http://crl.microsoft.com/pki/crl/products/WindowsPCA.crl
und downloadet die crl-Datei.

Das soll die ein MS-Zertifikat widerrufen.

Beschreibung, wie man es einbindet kommt von "CATALYST maker" (official ATi Mann) auf r3d:
http://www.rage3d.com/board/showthread.php?threadid=33659937&postid=1331674072#post1331674072

Deutsche Übersetzung im Groben: Start->Einstellung->Systemsteuerung->Internet Optionen->Inhalt(Register)->Zertifikate(notfalls 2 x klicken)->Importieren->weiter->durchsuchen->die crl-Datei als "Zertifikatswiderrufungsliste" auswählen->weiter->weiter->fertigstellen->fertig.

...und berichtet bitte, ob Ihr die ausgehende Verbindung immer noch habt, danke.

P.S.: Bei Manchen aus dem r3d-forum hat es angeblich funktioniert. :|

hmmm... das ja nen starkes stück ! wollte es erst nicht glauben, aber da "telefoniert" echt was nach hause :(

habe zwar nicht so den plan davon, aber habe mir den ganzen thread durchgelesen, und es selber mal getestet - und tada ...

so was nervt mich tierisch !!

Originally posted by AlfredENeumann
BUGFIX, bevor du hier so ne welle machst, meinst du nicht wir sollte hier erstmal genau rausfinden was genau mit dier Verbindung zu M$ bewirkt wird, anstatt das CP von vornhinein als "SPYWARE" abzutun ?

Wir wissen doch bisher nur das beim Aufrufen vom CP des 3.0a ein connect zu M$ hergestellt wird. Mehr nicht. Wenn ne ATI "Spyware" wäre warum stellt es denn keine Verbindung zu ATI her ?

Schon merkwürdig dass nur das neue Cat30a cPanel den effekt hat - hatte die alten Cat3.0 mal drauf - waren mir aber zu instabil und hab dann auch wieder die 2.5er draufgepackt - und die haben nicht gesendet - trotz DX9 usw...

Allein der Verbindungsversuch reicht [jedenfalls für mich].
Solang man das Verhalten (autoupdate usw... ) nicht explizit einstellen kann - ist das Programm als potentiell gefährlich anzusehen.

Aber wenns dich nicht stört - "Ich hätte gern eine Kopie ihres Tagebuchs ..."
http://www.stop1984.org

MfG

BUGFIX

Hm habe jetzt seit 4 tagen TCPView mitlaufen und bei mir telefoniert nix nach hause, kann mal jemand versuchen ob das Tool die nach Hause telefonierer ignoriert, bin im mom ein wenig verunsichert da TCPView normalerweise alle outgoings mitprotok. und auch die services anzeigt.

Das Tools is winzig und kostet auch nicht viel Proz. zeit..
zu bekommen bei [url]www.sysinternals.com



MFG
Kellwolf

Hatte auch die neuen ATIs drauf, nix ist passiert. Jetzt habe ich DX9 installiert, vorher 8.1, und es will auch senden.

Greetz,
Mitch

DX 8.1
und die neuen 3.a
habe auch connectversuche

Originally posted by AlfredENeumann
BUGFIX, bevor du hier so ne welle machst, meinst du nicht wir sollte hier erstmal genau rausfinden was genau mit dier Verbindung zu M$ bewirkt wird, anstatt das CP von vornhinein als "SPYWARE" abzutun ?

Wir wissen doch bisher nur das beim Aufrufen vom CP des 3.0a ein connect zu M$ hergestellt wird. Mehr nicht. Wenn ne ATI "Spyware" wäre warum stellt es denn keine Verbindung zu ATI her ?


Exakt. Ich kann nicht irgendeinen unausgegorenen Mist in den News berichten. Den Thread verfolge ich schon vom Anfang an.

Ich hab mir ja nun alles durchgelesen, bin mir aber nicht sicher, ob ich das Thema wirklich exakt getroffen habe, bitte deshalb um Korrekturen.

Vorschlag zu einer News-Meldung auf 3DCenter



Wie einer angeregten Diskussion in unserem Forum (http://www.forum-3dcenter.org/vbulletin/showthread.php?s=&threadid=48769) zu entnehmen, vermuten einige User im letzten offiziellen ATi-Treiber Catalyst 03.0a eine Spyware-Funktion. In der System-Konstellation Windows XP + DirectX9 + Catalyst 03.0a inklusive Control Panel 6.14.10.4102 wird bei einigen Anwendern bei 3D-Anwendungen oder aber einem Aufruf des ATi Control Panels eine Verbindung zu einem Microsoft-Server über die rundll32.exe gestartet. Allerdings lies sich im Laufe der Diskussion feststellen, daß nur ein Teil der Anwender mit der vorbeschriebenen System-Konfiguration betroffen ist, zudem weisst die Verbindung zu einem Microsoft-Server eher auf eine "Nach-Hause-Telefonier"-Funktion seitens Windows XP hin. Auch wenn diese möglicherweise durch explizit durch den ATi-Treiber bzw. speziell durch das Control Panel 6.14.10.4102 hervorgerufen wird, ist ATi hier wohl nicht der Nach-Hause-Telefonierende, sondern eher Windows XP. Warum das Betriebssystem dieses in jenem skizzierten Fall tut, ist derzeit unklar, genauso, warum es nur einen Teil der Anwender betrifft. Auch die Art des "Rückrufs" zu Microsoft ist derzeit unbekannt - es erstes würde einem eine fehlende Zerifizierung einfallen, allerdings sind die Catalyst 03.0a Treiber von Microsoft WHQL-Zertifiziert. An ATi scheint dieser Fall wohl jedoch mit Sicherheit nicht zu liegen und ob Microsoft dazu Stellung nehmen wird, ist doch eher ungewiss.

Originally posted by Leonidas
vermuten einige User im letzten offiziellen ATi-Treiber Catalyst 03.0a eine Spyware-Funktion. In der System-Konstellation Windows XP + DirectX9 + Catalyst 03.0a inklusive Control Panel 6.14.10.4102 wird bei einigen Anwendern bei 3D-Anwendungen oder aber einem Aufruf des ATi Control Panels eine Verbindung zu einem Microsoft-Server über die rundll32.exe gestartet.



Ich habe das selbe problem OHNE DirectX9
Ich habe noch das 8.1er.

Hallo Leonidas

also ich find die News so nicht ganz gut. Da so der Eindruck erweckt wird das da Hauptsächlich ATI die Finger drin haben soll was jedoch überhaupt nicht der Wahrheit entspricht, sondern das ein BUG mit der WHQL Zertifizierungen das nachhause telefonieren verursacht.
Da wie im Rage3d Forum zulesen ist, sind solche Verbindungsaufbauten auch bei einem PC mit Geforce Karte aufgetreten.
Auch ist das Betriebssystem egal da ziemlich jedes eine Verbindung aufbaut nach Microsoft.
Auch ein paar Meinungen von ATI sind zu finden im Thread bei rage3d.

Les am besten mal den schon etwas längeren Thread durch und fasse dann nochmals zusammen.

Grüsse Lorien

Originally posted by Leonidas
Ich hab mir ja nun alles durchgelesen, bin mir aber nicht sicher, ob ich das Thema wirklich exakt getroffen habe, bitte deshalb um Korrekturen.

Vorschlag zu einer News-Meldung auf 3DCenter



Wie einer angeregten Diskussion in unserem Forum (http://www.forum-3dcenter.org/vbulletin/showthread.php?s=&threadid=48769) zu entnehmen, vermuten einige User im letzten offiziellen ATi-Treiber Catalyst 03.0a eine Spyware-Funktion.
[...]
Sehr gut - ich dachte schon das ganze (und das im Rage3D-Forum) wäre vergebens
Da du den Thread ja gelesen hast kennst du "meine" Definition von Spyware.

Originally posted by Leonidas
[...]
In der System-Konstellation Windows XP + DirectX9 + Catalyst 03.0a inklusive Control Panel 6.14.10.4102 wird bei einigen Anwendern bei 3D-Anwendungen oder aber einem Aufruf des ATi Control Panels eine Verbindung zu einem Microsoft-Server über die rundll32.exe gestartet.
[...]

Windows 2000 Und WinXP sind betroffen
Rundll nur wenn man die Erweiterten Anzeigeeigenschaften aufruft.
Wenn eine Anwendung z.B.: 3dMark gestartet wird, zeigt die Firewall die Anwendung als sender der Packete an.
Originally posted by Leonidas
Allerdings lies sich im Laufe der Diskussion feststellen, daß nur ein Teil der Anwender mit der vorbeschriebenen System-Konfiguration betroffen ist, zudem weisst die Verbindung zu einem Microsoft-Server eher auf eine "Nach-Hause-Telefonier"-Funktion seitens Windows XP hin. Auch wenn diese möglicherweise durch explizit durch den ATi-Treiber bzw. speziell durch das Control Panel 6.14.10.4102 hervorgerufen wird, ist ATi hier wohl nicht der Nach-Hause-Telefonierende, sondern eher Windows XP. Warum das Betriebssystem dieses in jenem skizzierten Fall tut, ist derzeit unklar, genauso, warum es nur einen Teil der Anwender betrifft. Auch die Art des "Rückrufs" zu Microsoft ist derzeit unbekannt - es erstes würde einem eine fehlende Zerifizierung einfallen, allerdings sind die Catalyst 03.0a Treiber von Microsoft WHQL-Zertifiziert. An ATi scheint dieser Fall wohl jedoch mit Sicherheit nicht zu liegen und ob Microsoft dazu Stellung nehmen wird, ist doch eher ungewiss.

Bei der Betriebsystemfrage s.o. es sind Win2000 WinXP und IMO hat auch jemand gemeint sein 98 würde auch Telefonieren.

Vieleicht sollte man erwähnen, dass:
1) Bisherige CPanel ohne "ruf doch mal an Funktion" ausgekommen sind

2) Sich ATI sehr wohl die Frage stellen muss was verändert worden is damit es mit der 6.14.10.4102 version auftritt (selbst die erste CPanel version für Cat3.0 sendet nicht)

3)Ich habe eine Menge Treiber die zertifiziert sind (Adaptec's Treiber z.B. ) und er will nicht senden - hab auch treiber drauf die kein Zertifikat haben (Hauppauge WinTV-PVR) und er telefoniert nicht.
nur mit CPanel will er plötzlich raus.

MfG
BUGFIX

PS:
WIR SIND DIE HERSTELLER - IHRE WÜNSCHE SIND IRRELEVANT - GEBEN SIE UNS IHR GELD UND ERWARTEN SIE UNSERE TOTALE IGNORANZ - WIDERSTAND IST UND WAR SCHON IMMER ZWECKLOS

Es liegt nicht an ATI.
Das Problem gibt es auch mit GF.
M$ hat wohl fehlerhafte Zertifikate an die Hersteller verteilt, deshalb der "Anruf".

Originally posted by Unregistered
Es liegt nicht an ATI.
Das Problem gibt es auch mit GF.
M$ hat wohl fehlerhafte Zertifikate an die Hersteller verteilt, deshalb der "Anruf".

Du weißt aber das der Effekt auch bei Win98SE aufgetreten ist - und da war noch nix mit Zertifikat.
Desweiteren muss sich ATI dann fragen lassen , warum die ihre eigene Software nicht testen bevor jene zum Download angeboten wird.
Jetzt wo der Thread von Rage3d mehr als 9000 views hat- mussten sie doch eingestehen dass sie das Problem tatsächlich reproduzieren konnten.

Außderdem:
Wenn es wirklich nur an dem Zertifikat liegt, hätten sie schon längst ne Zertifikatfreie (also wie bisher) version rausbringen können.
Der Catalyst 3.0 (ohne a) war für 9500/9700 auch mit zertifikat.

Originally posted by CATALYST maker [Rage3D Forum]
[...]Once again this is not an ATI initiated call to the web, but we feel obliged to our users in providing an answer. (And not to mention we are all very curious ourselves as to what this is)

IMO ist der der die Funktion aufruft auch verantwortlich für deren Aktion - Obs jetzt ne ATI-Funktion ist, oder nicht egal.

Ich kann auch nicht mit ner Shotgun durch die gegend ballern und wenn ich jemanden erschieße sagen:"Sorry ich wusste ja nicht, das da Kugeln rauskommen"

Naja mal sehen was draus wird - Ich bau ja lieber auf Leonidas und seinen News Eintrag.

MfG
BUGFIX

Also Mädelz,

die Treiber-Coder konnten das Problem reproduzieren und jetzt suchen sie nach einer Lösung. Wenn das Problem gelöst wird, dann gibt's auch ein neues Controlpanel. :)

Originally posted by Exxtreme
Also Mädelz,

die Treiber-Coder konnten das Problem reproduzieren und jetzt suchen sie nach einer Lösung. Wenn das Problem gelöst wird, dann gibt's auch ein neues Controlpanel. :)

Eben. Und sowas geht nunmal nicht von jetzt auf gleich. Wenn sich jemand dran stört soll er den Traffic unterbinden oder sich ein andere CP Installieren.

SO, hier die Antwort von ATI, welche Borti erhalten hat:

"In no way is ATI responsible for using or installing any spyware or other monitoring services as part of CATALYST.

We recognize that customers may be experiencing these symptoms and ATI is working directly with these customers to resolve the issue. ATI has developers working to track this issue. Furthermore, ATI have started engaging with Microsoft to see if they know anything about this situation as it appears that the IP it is trying to connect to seems to be a Microsoft site for CRL (Certificate Revoked List).

ATI will provide an update as soon as the resolution is discovered. But once again, this is not an ATI specific activity that is causing these events."

Originally posted by Exxtreme
Also Mädelz,

die Treiber-Coder konnten das Problem reproduzieren und jetzt suchen sie nach einer Lösung. Wenn das Problem gelöst wird, dann gibt's auch ein neues Controlpanel. :)

Na, wenigstens hören dann diese Kommentare von wegen "Du DAU, das liegt am Problem VOR dem Monitor" auf.....

Trotzdem,
Ich habe jetzt wieder meine alte G400 eingebaut, die telefoniert nicht nach Hause (oder macht's so geschickt, dass ich es nicht bemerke).

Originally posted by Lorien
Hallo Leonidas

also ich find die News so nicht ganz gut. Da so der Eindruck erweckt wird das da Hauptsächlich ATI die Finger drin haben soll was jedoch überhaupt nicht der Wahrheit entspricht, sondern das ein BUG mit der WHQL Zertifizierungen das nachhause telefonieren verursacht.
Da wie im Rage3d Forum zulesen ist, sind solche Verbindungsaufbauten auch bei einem PC mit Geforce Karte aufgetreten.
Auch ist das Betriebssystem egal da ziemlich jedes eine Verbindung aufbaut nach Microsoft.
Auch ein paar Meinungen von ATI sind zu finden im Thread bei rage3d.

Grüsse Lorien



Danke. Deswegen habe ich ja die News-Meldung zur Diskussion gestellt, ich schreibe die nochmal um.

Originally posted by Unregistered
Wenn eine Anwendung z.B.: 3dMark gestartet wird, zeigt die Firewall die Anwendung als sender der Packete an.



Das halte ich für ein Gerücht. Das würde ja bedeuten, daß ein uraltes, gar nicht Internet-fähiges Spiel zu Microsoft zu konnektieren versucht.

@Leonidas

Darum geht es doch die ganze Zeit. Das steht doch schon in den ersten Beiträgen zu diesem thread: nach der Installation des Kontrollpanels des 3.0a versuchen alle 3D-Anwendungen, auch der 3DMark, beim Start eine Verbindung aufzubauen. Und wieso ist der 3DMark nicht Internetfähig? Ich denke da an den Result-browser. 3DMark kann doch wunderbar eine Verbindung ins Internet aufbauen.

BerndJazz

Originally posted by Leonidas

Das halte ich für ein Gerücht. Das würde ja bedeuten, daß ein uraltes, gar nicht Internet-fähiges Spiel zu Microsoft zu konnektieren versucht.


Kein Gerücht, wenn erwünscht mail ich dir dutzende Screenies
Darum geht es hier doch die ganze zeit.
Nur weil es BIS JETZT noch nie da war, heißt es nicht das dieser Effekt unwarscheinlich, unmöglich, oder gar reine Phantasie wäre.
Technisch gesehen - und das müsste dir bekannt sein - lässt sich soetwas sehr einfach realisieren. So lässt sich mit kleinen Änderungen seitens der DLL-Funktion ein sehr großer Effekt erzielen.
Deshalb halte ich diese ganze Sache auch für so problematisch.
Spyware bzw "telefonier-Funktionen" in treibern / bzw mit Treiber getriggert sind nun einmal von einer ganz neuen Qualität.

MfG

BUGFIX

benutze w2k,dx9 hatte vorher die nicht zertifizierten cat3 drauf nix gewesen jetzt die richtigen drauf und da tritt die sache mit der conn auf

ich habs mal mit filemon(loggt schreid/lese aktivitäten) aufgefangen (Tdimon logs leider unabsichtlich gekillt) demnach wird da nur fehlendes zertifikat geholt kann den log ja mal bereitstellen

mfg

Der Omega Treiber will auch senden...

Ich bin mir sicher dass das Ganze an DirectX liegt. Lange Zeit war Ruhe, aber als ich "DXDIAG" aufrief, frug das Proggi mich ob ich eine automatische WHQL Zertifizierung machen will, Ich: NEIN !!

Beim naechsten Aufruf des CPANEL, schickt der ploetzlich Daten an Microsoft. Und nicht nur das: Mein vermeindlich Spywareverseuchter AnalogX Proxy, welcher nur hinundwieder Daten wegschicken wollte, (http://www.forum-3dcenter.de/vbulletin/showthread.php?threadid=49092) faengt ploetzlich an unablaessig Verbindungen herzustellen, und zwar soviele, dass die Netzwerkperfomance gegen NULL geht, und nach kurzer Zeit sich der PC erhaengt (Nicht meiner (=Client), sondern der Server meines Bruders, an welchem das Proxy Proggi installiert ist.

Danke Microsoft !!! Das bedeutet wahrscheinlich Neuinstallation 2er Windows PCs, da das Proxy Programm, auch senden will, wen mein PC garnicht im Netz haengt ! Seltsam, aber is wirklich so...

Artikel in ATI-News


Spyware-Funktion - 12:59 - Benjamin - Kommentare (1)

ATI weist eine mögliche Integration von einer Spyware-Funktion in die Catalyst Treiber 3.0a zurück.
In einigen Foren sind angeregte Diskussionen um die heimlichen Internetzugriffe des ATI Treibers entbrannt.
In Verbindung von Control Panel 6.14.10.4102 und Windows 2000/XP, soll der Treiber bei einigen 3D-Anwendungen eine Verbindung zum Microsoft-Server starten.

"In no way is ATI responsible for using or installing any spyware or other monitoring services as part of CATALYST.

We recognize that customers may be experiencing these symptoms and ATI is working directly with these customers to resolve the issue. ATI has developers working to track this issue. Furthermore, ATI have started engaging with Microsoft to see if they know anything about this situation as it appears that the IP it is trying to connect to seems to be a Microsoft site for CRL (Certificate Revoked List).

ATI will provide an update as soon as the resolution is discovered. But once again, this is not an ATI specific activity that is causing these events."

ATI konnte das Problem schon nachstellen, die genau Ursache ist aber noch nicht bekannt.

Originally posted by BerndJazz
Und wieso ist der 3DMark nicht Internetfähig? Ich denke da an den Result-browser. 3DMark kann doch wunderbar eine Verbindung ins Internet aufbauen.

BerndJazz


Der 3DMark schon. Aber wie soll ein 1998er Spiel zu einem MS-Server kontaktieren, den es 1998 noch nicht gab. Woher soll das Spiel dessen IP-Adresse wissen?

Und selbst 3DMark: Damit dieser zu diesem MS-Server kontaktieren kann, muß er dessen IP-Adresse im Quellcode haben. Beim 3DMark wäre das wahrscheinlich, aber dann wäre auch 3DMark der Spion und nicht das Control Panel oder der Treiber.

die aufregung versteh ich auch ned ganz wenn die conn einmal durchkommt das zertifikat gesaugt hat kommt keine verbindung mehr zustande weder beim treiber noch 3d apps


mfg

Originally posted by spacewolf2000
die aufregung versteh ich auch ned ganz wenn die conn einmal durchkommt das zertifikat gesaugt hat kommt keine verbindung mehr zustande weder beim treiber noch 3d apps


mfg


Der ist ja auch nicht schlecht, kannst du das nicht mal eher Posten?;D Bis jetzt haben sich alle hinter ihrer Firewall versteckt und das bösen ControlPanel bewacht... muuuaaahhh.

Ich wüsste nicht, was daran witzig ist und zur Klärung des Phänomens trägt dein Posting auch nicht bei.


Zum Thema:

Lt. dxdiag gibt es diesen einmaligen Verbindungsaufbau zu MS, s. screenshot.

Ob das die Ursache des hier beobachteten verhatens ist, weiss ich nicht. Es klärt auch nicht, warum das ganze erst mit dem 3.0a Controlpanel auftritt.

Scheinbar kommt man der Sache doch näher. Und das sagt ATI dazu (Von CatalystMaker auf rage 3D):
Monday Update
Hi everyone, hope you had a great weekend. Anyways thought I would pop in here again and just give an update as to what we have found out so far.

We have received some suggestions from Microsoft over the weekend on a possible root cause of the issue. The hypothesis that we are currently verifying is that when a certain flag is set for one of DX interfaces to a specific value, the OS will try to download updated WHQL certificates. We are not yet at the point to confirm this theory, but we are actively working on analysing our code. MS did point out that when the activity of updating WHQL certificates takes place, no information is retrieved from the user's system. In other words the hypothesis is that something in our driver triggers similar behaviour to what would happen if DXDiag is set to "Check for WHQL Signatures". DXDiag Help has a high-level description of what happens in that case -- see below:

Checking for WHQL digital signatures

When you verify that your drivers are digitally signed by the Microsoft Windows Hardware Quality Labs (WHQL), the DirectX Diagnostic Tool may try to connect to the Internet to download new WHQL certificates. During this process, no information is retrieved from your systemThe tool will ask you for permission to connect to the Internet the first time you run it. This will only be asked once. To change your answer, go to the System page and select or clear Check for WHQL digital signatures.

This can also be changed by typing the following at the command prompt:

dxdiag [/whqln] [/whqlff]

In this command, /whqln allows the DirectX Diagnostic Tool to check for WHQL digital signatures, and /whqlff does not allow DirectX Diagnostic Tool to check for WHQL digital signatures

***Note the faces are for (i.e. a colon and the letter o). Not sure how to disable smilies so just use your imagination when reading the above***



Gruß

BerndJazz

@Leonidas
Ja, das ist ja das Verwirrende. Aber es haben schon einige berichtet das ihre Firewall jeweils die aufgerufene 3D-Anwendung als diejenige gemeldet hat die die Internetverbindung herstellen will. Es sieht aber letzendlich so aus das dahinter aber immer die irrtümlicherweise durch das Kontrollpaneel aktivierte WHQL-Zertifizierung von Microsofts DirectX steckt. So hab ich es bis jetzt verstanden.
So gesehen hast du natürlich recht.

Gruß

Berndjazz
Edit: (Mal schnell die Unterschrift geändert, bin wohl heute nicht ganz auf der Höhe)

ich hab den ntfilemon log mal durchgekramt und jetzt mal nur eine einzige auffällige aktion entdeckt abgesehen von nen haufen lesevorgängen in system32\catroot\

und zwar werden in C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\SystemCertificates\My\Cert ificates\ etliche files geprüft und danach die datei WHQLPCA[1].crl gezogen
(rundll32.exe:456 WRITE C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GBB4KJWS\WHQLPCA[1].crl)

nur davon das da persönliche daten verschickt werden find ich nix was ja der fall sein müßte wenns spyware ist

Originally posted by Leonidas

Der 3DMark schon. Aber wie soll ein 1998er Spiel zu einem MS-Server kontaktieren, den es 1998 noch nicht gab. Woher soll das Spiel dessen IP-Adresse wissen?

Und selbst 3DMark: Damit dieser zu diesem MS-Server kontaktieren kann, muß er dessen IP-Adresse im Quellcode haben. Beim 3DMark wäre das wahrscheinlich, aber dann wäre auch 3DMark der Spion und nicht das Control Panel oder der Treiber.

Spricht doch dafür, dass sich die sendene Funktion mit dem Grakatreiber ausgelöst wird. Wenn man den quellcode so modifizieren würde, dass jede DX8.1 instantzierung gleichzeitig telefonieren will, kann man ganz schnell jeder DX8.1 Anwendung das plappern beibringen.

Ich bin immernoch der Meinung, dass sich ATI da ganzschön was geleistet hat, die Tatsache das sie das Problem JETZT nachvollziehen können, beweist nur , dass sie den Treiber vorm release nicht getestet haben.
Stellt sich nur die frage warum das Abänder von irgendwelchen Zertifikaten so lange dauert. Wenn die Treiber wirklich nur minimale Änderungen beinhalten, wie du meintest, müsste es sehr einfach sein, die bisherigen Betas so zu verändern, dass sie dem Jetzigen Release entsprechen - nur halt ohne Zertifikat.
IMO wird doch das Zertifikat auf den fertig programmierten Treiber gegeben - warum brauchen die Jetzt so viele Programmierer und Zeit, das Zertifikat zu entfernen, wenn doch dat ding im Nachinein als Signatur auf die Dateien kommt?

Auch ist es für mich noch lang kein Grund seitens ATI das ganze abzutun, und auf irgendwelche DX-Funktionen zu schieben. TATSACHE ist: ATI hat den Treiber sammt CPanel geschrieben - und wenn die jetzt irgenwelche Funktionen nutzen, von denen sie keine Ahnung haben was sie genau tun, ist das IMHO grob farlässig.

MfG

BUGFIX

@BUGFIX
Du checkst es wohl gar nie was ??
Wieso soll das ATI's Schuld sein wenn MS ein Bug in deren WHQL Code hat ??
Deine Objektivität lässt echt zu wünschen übrig.

Achja übrigends gibts von MS nen workaround für dieses Problem da es ja auch ein MS Bug ist, aber ned mal das scheinst du gemerkt zu haben.

Grüsse Lorien

Originally posted by Lorien
@BUGFIX
Du checkst es wohl gar nie was ??
Wieso soll das ATI's Schuld sein wenn MS ein Bug in deren WHQL Code hat ??
Deine Objektivität lässt echt zu wünschen übrig.

Achja übrigends gibts von MS nen workaround für dieses Problem da es ja auch ein MS Bug ist, aber ned mal das scheinst du gemerkt zu haben.

Grüsse Lorien

Was hast Du denn jetzt für ein Problem?

Stört es dich, dass:

-ATI einen Treiber geschrieben hat, von dem sie offensichtlich nicht wussten was er für Folgeeffekte hat? - mich auch;

-ATI [mal wieder] einen Treiber released hat, der [mal wieder] offensichtlich nich gut genug getestet würde - ja, auch das stört mich

-es immer noch keinen Treiber[update] gibt mit dem das Problem nicht auftritt. - auch hier stimme ich zu

Also - WO ist dein Problem?

MfG

BUGFIX

Originally posted by BUGFIX


Was hast Du denn jetzt für ein Problem?

Stört es dich, dass:

-ATI einen Treiber geschrieben hat, von dem sie offensichtlich nicht wussten was er für Folgeeffekte hat? - mich auch;

-ATI [mal wieder] einen Treiber released hat, der [mal wieder] offensichtlich nich gut genug getestet würde - ja, auch das stört mich

-es immer noch keinen Treiber[update] gibt mit dem das Problem nicht auftritt. - auch hier stimme ich zu

Also - WO ist dein Problem?

MfG

BUGFIX

Das Problem ist nicht ATI sondern M$.
M$ hat ein fehlerhaftes Zertifikat an die Hersteller verteilt.
Es betrifft nicht nur ATI sondern auch NV.

das der fehler bei ms liegt bestätigt
1. das auch bei NV treibern das auftritt
2. das bei der conn nur die WHQLPCA.crl geholt wird die ja ATI nur von ms griegt und nich eine der anderen treiber dateien geupdated wurde und keine conn zu ATI hergestellt wurde

und unter treibertest versteh ich eigentlich nicht das man guckt ob beim ersten aufrufen der einstellungen oder eines 3d progs ne conn hergestellt wird

mfg

Originally posted by spacewolf2000
[...]
und unter treibertest versteh ich eigentlich nicht das man guckt ob beim ersten aufrufen der einstellungen oder eines 3d progs ne conn hergestellt wird

mfg

Was spricht denn GEGEN einen solchen test VOR dem Realease ?
Mitlerweile könnte man meinen das die Programmierer von aTuner 3D-Analyzer und wie sie alle heißen, mehr auf dem Kasten haben als Treiberprogrammierer großer Namhafter Hersteller - wobei die sich da IMHO nix schenken.
Da scheinen sich langsam die Verhältnisse vom Spielemarkt abzuzeichnen. [je füher das Release desto mehr patches bis es richtig läuft]

Naja - genug für erstmal - gehen wir als zur Tagesordnung eines High-End-Grakabesitzers über:
Warten auf neuere Treiber .....

MfG

BUGFIX

Originally posted by Leonidas
Das halte ich für ein Gerücht. Das würde ja bedeuten, daß ein uraltes, gar nicht Internet-fähiges Spiel zu Microsoft zu konnektieren versucht.


Ich nehme das zurück. Ich habe eben selber erfahren, wie eine DLL über ein anderes Programm ins iNet wollte. Die Firewall zeigte aber das Programm als Übeltäter an. Jede DLL, die von einem Programm aufgerufen wird, kann also so eine Funktion haben - sprich: Damit ist es auch möglich, daß ein 1990er Spiel ins iNet will, durch das Ansprechen einer "verseuchten" DLL.

Hier liegt IMO auch eine Sicherheitslücke in Windows vor, wenn Windows diesen Zugriff als einen Zugriff des Programms wertet, dieser aber eigentlich von der DLL kommt. Viel schöner wird es natürlich bei Programmen, denen man generell den iNet-Zugriff erlauben muss. Beim Aufruf von "verseuchten" DLLs können über diese Programme jegliche üble Sachen getan werden.

Originally posted by Leonidas



Ich nehme das zurück. Ich habe eben selber erfahren, wie eine DLL über ein anderes Programm ins iNet wollte. Die Firewall zeigte aber das Programm als Übeltäter an. Jede DLL, die von einem Programm aufgerufen wird, kann also so eine Funktion haben - sprich: Damit ist es auch möglich, daß ein 1990er Spiel ins iNet will, durch das Ansprechen einer "verseuchten" DLL.

Hier liegt IMO auch eine Sicherheitslücke in Windows vor, wenn Windows diesen Zugriff als einen Zugriff des Programms wertet, dieser aber eigentlich von der DLL kommt. Viel schöner wird es natürlich bei Programmen, denen man generell den iNet-Zugriff erlauben muss. Beim Aufruf von "verseuchten" DLLs können über diese Programme jegliche üble Sachen getan werden.
Öhhhm, eigentlich ist dieser Umstand bekannt, daß man in dem Fall nie den Namen der DLL bekommt. Eine DLL wird zu einem Teil des Programms, welches diese aufruft und wenn diese DLL eine Funktion enthält, welche nach Hause telefoniert, dann bekommt man nur den Namen des Programms zurück, welches diese DLL aufgerufen hat. Und ja, man kann diese Situation ausnutzen um Spyware-Funktionen an einer Personal Firewall vorbeizuschleusen. Nicht auszudenken, was was passiert, wenn einer die comctl32.dll durch eine Spyware-Version austauscht. :D

Originally posted by Exxtreme

[...]Nicht auszudenken, was was passiert, wenn einer die comctl32.dll durch eine Spyware-Version austauscht. :D

Ich dachte da so eher an die MFC40.dll bzw ein modifizierte version von CreateWindow oder andere "Scherze".


Originally posted by Leonidas
[...]
Hier liegt IMO auch eine Sicherheitslücke in Windows vor, wenn Windows diesen Zugriff als einen Zugriff des Programms wertet, dieser aber eigentlich von der DLL kommt
[...]


IMHO ist Sicherheitslücke ein falscher begriff. Das ist nun einmal das Prinzip von Dynamich gelinkten Funktionen die irgendwo zentral angespeichert werden.
Mann müsste JEDES! noch so winzige Programm statisch kompilieren und dadurch extrem aufblähen.
Wenn ich mir überleg dass Windows jetzt schon so groß ist, aber mit statisch gelinkten Funktionen in jedem Programm kannste dein "Windows98 Lite" ein für alle mal vergessen :-)

Naja - die Festplattenhersteller würdes sicher freuen.

MfG

BUGFIX

bump :)

Kann die Netzverbindung bei den Betroffenen nicht durch einen Paging-Fehler ausgelöst worden sein, also durch eine zufällige Kollision eines bestimmten Programmteils oder eines DLL-Teils in einer bestimmten Umgebung. Hab früher mal programmiert, diese Fehler waren die übelsten und sehr schwer zu finden, meist ausgelöst durch irgendwelche Codeleichen im Speicher. Daß Windows, das heißt der IE bei Fehlern eh Protokolle nach Redmond schicken will, ist bekannt. Wenn jetzt so ein Pagingfehler entsteht, könnte es nicht sein, daß im Fehlerauswertesystem von Windows ganze Routinen übersprungen werden, weil der Fehler ja nicht ausgewertet werden kann und in der Folge eine Verbindung hergestellt wird - natürlich nicht absichtlich. :rofl:
Übertragen wird dann aber auch nur Datenmüll. :biggrin: