Firewall In Bitdefender Antivirus 2013 Blockt Daten

Ich habe bei uns in der Firma ca. 15 Rechner mit Bitdefender Antivirus ausgestattet.


Leider musste ich feststellen, dass die Firewall (die eigentlich in der Version gar nicht enthalten sein sollte) die Verbindung zu unserer Telefonanlage blockiert.


1.) Das Problem tritt unabhängig von der gewählten Einstellungen in Bitdefender auf (sogar wenn alle Module deaktiviert sind).


2.) Weiters hängt es auch nicht von dem installierten System ab. Von Windows XP, Vista x86, 7 x86, 7 x64 und sogar der virtuellen XP Maschine im Windows XP Mode ist alles dabei.


3.) Das Problem tritt mit Pimphony 6.6 auf, das unter anderem http requests an den Port 8894 sendet. Es lässt sich aber auch mit einem simplen .NET Programm reproduzieren, das den http Request auf den jeweiligen Port sendet (Traffic siehe unten)


4.) Der Verbindungsaufbau und das Senden des http Requests funktioniert. Es kommt auch der Response zurück (per Wireshark geloggt), jedoch wird dieser von Bitdefender abgefangen und die Applikation kann keine Daten lesen.


5.) Anderer Traffic (nicht http) über diesen Port funktioniert, ist dürfte also am Inhalt liegen.


Hier der betroffene http Request:


POST /services/xmlsrv/services/XmlApp HTTP/1.1


SOAPAction:


Content-Type: text/xml; charset=utf-8


Host: 192.168.1.246:8894


Content-Length: 293


Connection: Keep-Alive


<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><tns:startSubscribeApp'>http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><tns:startSubscribeApp xmlns:tns="http://xmlapi.alcatel.com/app"><applicationId xmlns="http://www.w3.org/2001/XMLSchema-instance">OXOWebServices</applicationId></tns:startSubscribeApp></soap:Body></soap:Envelope>'>http://www.w3.org/2001/XMLSchema-instance">OXOWebServices</applicationId></tns:startSubscribeApp></soap:Body></soap:Envelope>


Der blockierte Response:


Server: gSOAP/2.7


Content-Type: text/xml; charset=utf-8


Transfer-Encoding: chunked


27A


<?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ns3="xmlapi.alcatel.com/app/types" xmlns:ns2="http://xmlapi.alcatel.com/app"><SOAP-ENV:Body SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><ns2:startSubscribeAppResponse><result><status><code>0</code><label>OK</label></status><subscribeId>1052</subscribeId></result></ns2:startSubscribeAppResponse></SOAP-ENV:Body></SOAP-ENV:Envelope>


Jetzt ist die Frage, wie kann ich die Firewall am Besten deaktivieren? Im Userinterface kann ich diese ja in der Antivirus Version nicht konfigurieren, da die Firewall ja gar nicht enthalten sein sollte.


Die einzige Möglichkeit, die ich bisher gefunden habe war mit Hilfe von regedit das Laden des Firewalltreibers (C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys) zu verhindern. Bitdefender scheint noch zu funktionieren (zumindest das Antivirus Modul), jedoch weiß ich nicht, wie lange dieser Workaround halten wird (wahrscheinlich nur bis zum nächsten Programmupdate).

Kommentare

  • Update: Durch das blockieren des Firewalltreibers lassen sich dann auch die AntiVirus Einstellungen nicht mehr verändern, also keine Dauerlösung (Viren werden jedoch nicht geblockt).

  • Starten Sie danach bitte den Rechner im abgesicherten Modus.


    Benennen Sie danach die Datei bdtl.dll aus dem Ordner:


    C:\Program Files\Bitdefender\Bitdefender 2013


    in bdtl.dl_ um


    Starten Sie den Rechner neu, schalten Sie das Bitdefender Update aus und überpruefen Sie ob das Problem noch besteht.

  • Ja vielen Dank damit scheint alles zu funktionieren (Verbindung zur Telefonanlage, als auch das User Interface von Bitdefender)


    Gibt es einen Weg zu verhindern, dass die Datei beim Update wieder automatisch erstellt wird?

  • Im abgesicherten Modus musst Du die Datei update_components.xml bearbeiten, und zwar bei Produktupdates anstatt 1, eine 0 einsetzen.

  • Im abgesicherten Modus musst Du die Datei update_components.xml bearbeiten, und zwar bei Produktupdates anstatt 1, eine 0 einsetzen.


    Hallo, ich habe das gleiche Problem, dass die Firewall in Antivirus Plus 2013 scheinbar die eingehenden Daten der Software Pimphony blockiert.


    Ich habe wie oben beschrieben die bdtl.dll umbenannt und dann funktionierte es auch für einige Tage. Nun gab es scheinbar ein Update und die Verbindung wird wieder blockiert.


    In der update_components.xml habe ich "Produktupdates" nicht gefunden, sie sieht bei mir so aus:


    <?xml version="1.0" encoding="utf-8"?>
    <Components>
    <Signatures>
    <Component enabled="1" name="Antivirus" path="C:\Program Files\Common Files\Bitdefender\Bitdefender Threat Scanner\" location="av64bit2011" id="-1" location_type="1" VerifyPatches="1" UseHardLink="0"/>
    <Component enabled="0" name="AntiSpam" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="antispam_sig_v2" id="-1" location_type="2" VerifyPatches="1"/>
    <Component enabled="1" name="Antiphishing" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="antiphishing_sig" id="-1" location_type="2" VerifyPatches="1"/>
    <Component enabled="0" name="Parental" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="parental_sig" id="-1" location_type="2" VerifyPatches="1"/>
    <Component enabled="1" name="Avc3" path="C:\Program Files\Bitdefender\Bitdefender 2013\Active Virus Control\" location="avc3_sig" id="-1"/>
    <Component enabled="1" name="Avc3Ex" path="C:\Program Files\Bitdefender\Bitdefender 2013\Active Virus Control\" location="avc3_exc" id="-1"/>
    <Component enabled="1" name="Dbokf" path="C:\Program Files\Bitdefender\Bitdefender 2013\dbokf\" location="dbokf" id="-1"/>
    <Component enabled="1" name="Clx" path="C:\Program Files\Bitdefender\Bitdefender 2013\Clx" location="clx" id="-1"/>
    <Component enabled="0" name="asengines" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="as-wks-win-x86_64" id="-1" location_type="2" VerifyPatches="1"/>
    <Component enabled="1" name="otengines" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="ot-wks-win-x86_64" id="-1" location_type="2" VerifyPatches="1"/>
    <Component enabled="1" name="commonlibs" path="C:\Program Files\Bitdefender\Bitdefender 2013\" location="commonlibs-wks-win-x86_64" id="-1" location_type="2" VerifyPatches="1"/>
    </Signatures>
    <Product enabled="1" name="00030003000800010002000600060001" type="0" id="-1" VerifyPatches="1" EnableLocationPathChecking="0">
    <Component name="Core" id="1" path="C:\Program Files\Bitdefender\Bitdefender 2013\"/>
    <Component name="System" id="2" path="C:\Windows\system32\"/>
    <Component name="Bdss" id="4" path="C:\Program Files\Common Files\Bitdefender\Bitdefender Threat Scanner\"/>
    <Component name="Firewall" id="6" path="C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\"/>
    <Component name="Backup" id="8" path="C:\Program Files\Bitdefender\Bitdefender 2013\"/>
    <Component name="OnlineBackup" id="9" path=""/>
    <Component name="Live" id="3" path="C:\Program Files\Bitdefender\Bitdefender 2013\"/>
    <Component name="bd15iscore" id="15" path="C:\Program Files\Bitdefender\Bitdefender 2013\"/>
    <Component name="bd15issys" id="16" path="C:\Windows\system32\"/>
    <Component name="bd15isfw" id="17" path="C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\"/>
    <Component name="bd15tscore" id="19" path="C:\Program Files\Bitdefender\Bitdefender 2013\"/>
    </Product>
    </Components>


    Wo muss ich hier was ändern damit es dauerhaft funktioniert? Vielen Dank für die Antworten!

  • Die Lösung mit der update_components.xml habe ich nicht mehr probiert, da ich nicht vollständig auf Programmupdates verzichten will.


    Ich habe mich für die etwas russischere Variante entschieden, dem System einfach den Zugriff auf die bdtl.dll zu entziehen. Normale NTFS Rechte reichen hier nicht aus. Man muss schon etwas tricksen:


    1.) System im abgesicherten Modus starten


    2.) Die angesprochene bdtl.dll löschen


    3.) Einen Ordner mit dem Namen bdtl.dll im selben Verzeichnis anlegen


    4.) System neu starten


    Dies hindert den Virenscanner daran beim Update die Datei neu zu erstellen, da keine Datei mit dem selben Name wie ein bestehender Ordner angelegt werden kann, aber auch nicht der bestehende Ordner überschrieben werden kann.


    Das Ganze läuft jetzt seit meinem letzten Post auf ca. 10 Rechnern und ich habe bisher noch keine Probleme gehabt.


    Für mich ist das die ideale Lösung, da bei mir sämtliche Firewallfunktionen sowieso unerwünscht sind, da wir das durch eine Hardware Firewall gelöst haben.


    Für die anderen User wäre es wahrscheinlich besser, wenn dieser Bug demnächst gefixt werden würde, da die Software Pimphony doch sehr verbreitet ist (Standard Software für Alcatel Telefonanlagen).


    Falls benötigt, kann ich gerne meine erstellten Logdateien mit den gesendeten Daten zur Verfügung stellen bzw. ein Update auf meinem System testen.

  • Die Lösung mit der update_components.xml habe ich nicht mehr probiert, da ich nicht vollständig auf Programmupdates verzichten will.


    Ich habe mich für die etwas russischere Variante entschieden, dem System einfach den Zugriff auf die bdtl.dll zu entziehen. Normale NTFS Rechte reichen hier nicht aus. Man muss schon etwas tricksen:


    1.) System im abgesicherten Modus starten


    2.) Die angesprochene bdtl.dll löschen


    3.) Einen Ordner mit dem Namen bdtl.dll im selben Verzeichnis anlegen


    4.) System neu starten


    Dies hindert den Virenscanner daran beim Update die Datei neu zu erstellen, da keine Datei mit dem selben Name wie ein bestehender Ordner angelegt werden kann, aber auch nicht der bestehende Ordner überschrieben werden kann.


    Das Ganze läuft jetzt seit meinem letzten Post auf ca. 10 Rechnern und ich habe bisher noch keine Probleme gehabt.


    Für mich ist das die ideale Lösung, da bei mir sämtliche Firewallfunktionen sowieso unerwünscht sind, da wir das durch eine Hardware Firewall gelöst haben.


    Für die anderen User wäre es wahrscheinlich besser, wenn dieser Bug demnächst gefixt werden würde, da die Software Pimphony doch sehr verbreitet ist (Standard Software für Alcatel Telefonanlagen).


    Falls benötigt, kann ich gerne meine erstellten Logdateien mit den gesendeten Daten zur Verfügung stellen bzw. ein Update auf meinem System testen.


    Super, vielen Dank dir, die Lösung läuft derzeit stabil. Ich würde es aber ebenso begrüßen, wenn der Bug gefixt wird, da wir im Unternehmen gerne auf BD wechseln würden aber dieses Problem uns noch daran hindert. Können wir damit rechnen, dass das gefixt wird oder müssen wir länger bei der Notlösung bleiben?