locked
spynet-Einträge in der Registry / Verbindungen ins Internet RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    In einer Umgebung, wo die Clients nicht direkt ins Internet verbinden dürfen, sondern über einen expliziten Proxy, fällt es auf, wenn eine Menge Clients versuchen, direkt ins Internet zu verbinden: Alle unsere Clients versuchen in regelmässigen Abständen auf URLs im Internet zuzugreifen: Sind dabei aber nicht in der Lage, den Proxy zu benutzen (oder dann weiss ich auch nicht, wo der Proxy AUCH noch eingestellt werden kann...). Jedenfalls finde ich Folgendes in der Registry:

    Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MpGears

    Wert:
    SpyNetReportingLocation, REG_MULTI_SZ:
       SOAP:https://spynet2.microsoft.com/AntiMalwareServices/2/SpynetReportSrvc.asmx
       SOAP:https://spynetalt.microsoft.com/AntiMalwareServices/2/SpynetReportSrvc.asmx
       REST:https://spynet2.microsoft.com/spyNet.svc/submitReport
       REST:https://spynetalt.microsoft.com/spyNet.svc/submitReport
       BOND:https://spynet2.microsoft.com/spyNet.svc/bond/submitreport
       BOND:https://spynetalt.microsoft.com/spyNet.svc/bond/submitreport

    Wenn ich via GPO den Inhalt dieses Wertes lösche, dann kommuniziert der Client nicht mehr auf diese Weise - das wäre der wünschenswerte Zustand.

    Nun ist es aber so, dass IRGEND ein Dienst oder ein Vorgang diese Einträge wieder erstellt und der PC wieder direkt ins Internet zu kommunizieren versucht, ich möchte das aber dauerhaft abstellen.

    Was ich bis jetzt herausgefunden habe, haben diese Einträge etwas mit Windows Defender zu tun - der ist jedoch deaktiviert und die Dienste sind auf manuell gestellt, laufen nicht!

    Was kann ich tun, damit diese Software, die hier kommuniziert, das nicht mehr tut?
    Von mir aus ist es ok, wenn dieser Verkehr via Proxy ausgeführt würde (System-Proxy ist gesetzt) oder auch einfach dieser Dienst deaktiviert ist (welcher ist es? Das wäre die bevorzugte Lösung).
    -> Das Löschen der Registry-Einträge muss nicht sein, wenn es auch andersweitig geht...

    Vielen Dank und freundliche Grüsse

    David Wiedemann

    • Typ geändert Teodora Milusheva Montag, 10. August 2015 07:20 Keine Aktivität
    • Typ geändert David Wiedemann Freitag, 14. August 2015 06:58 Es handelt sich um eine Frage, die ich gestellt habe und die ich in der Zwischenzeit auch beantworten kann. Es ist KEINE allgemeine Diskussion...
    Freitag, 31. Juli 2015 11:41

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried, hallo Martin

    Vielen Dank für Euren Input. Zurzeit sieht es so aus, dass das Microsoft Removal Tool (C:\Windows\system32\MRT.exe) diesen Registry-Key füllt und dann auch die Aufrufe ins Internet initiiert. Dann gibt es einen Task unter Tasks\Microsoft\Windows\Removal Tools, Task "MRT_HB".
    -> der hat jedoch keinen Trigger definiert, von da her weiss ich gar nicht, wann der warum überhaupt läuft

    Nichts desto trotz: Ich habe die MRT.exe und den Task gelöscht und nun scheint Ruhe zu sein. Das teste ich bei jedem Systemstart, falls MS den wieder drauf tut...

    Freundliche Grüsse

    David Wiedemann

    Montag, 10. August 2015 10:02

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Am 31.07.2015 schrieb David Wiedemann:

    Was ich bis jetzt herausgefunden habe, haben diese Einträge etwas mit Windows Defender zu tun - der ist jedoch deaktiviert und die Dienste sind auf manuell gestellt, laufen nicht!

    Manuell ist schlecht, stell die Dienste auf Deaktiviert um und starte
    den Client neu, wird jetzt wieder versucht ins Internet zu connecten?

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Freitag, 31. Juli 2015 14:56
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried

    Tja, gute Idee, funktioniert aber leider nicht :-(

    Die Dienste kann ich gar nicht auf Deaktivieren umstellen. Habe dann via Registry alle Windows-Defender-Dienste, die ich gefunden habe, mittels manuellem Setzen des Start-Wertes deaktiviert (Wert 4):

    • wdboot
    • wdfilter
    • wdnisdrv
    • wdnissrv
    • windefend

    Leider wird der mpGears-Wert trotzdem IRGENDWIE mittels irgendeines Prozesses wieder mit den Spynet-Werten gefüllt :-(

    Was wären die nächsten Schritte?

    Vielen Dank und feundliche Grüsse

    David

    Dienstag, 4. August 2015 08:58
  • Question
    Anmelden
    0
    Anmelden
    > Leider wird der mpGears-Wert trotzdem IRGENDWIE mittels irgendeines
    > Prozesses wieder mit den Spynet-Werten gefüllt :-(
    >
    > Was wären die nächsten Schritte?
     
    Process Monitor - herausfinden, wer die wieder füllt :)
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 4. August 2015 09:19
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried, hallo Martin

    Vielen Dank für Euren Input. Zurzeit sieht es so aus, dass das Microsoft Removal Tool (C:\Windows\system32\MRT.exe) diesen Registry-Key füllt und dann auch die Aufrufe ins Internet initiiert. Dann gibt es einen Task unter Tasks\Microsoft\Windows\Removal Tools, Task "MRT_HB".
    -> der hat jedoch keinen Trigger definiert, von da her weiss ich gar nicht, wann der warum überhaupt läuft

    Nichts desto trotz: Ich habe die MRT.exe und den Task gelöscht und nun scheint Ruhe zu sein. Das teste ich bei jedem Systemstart, falls MS den wieder drauf tut...

    Freundliche Grüsse

    David Wiedemann

    Montag, 10. August 2015 10:02