Jump to content

Riker

Member
  • Posts

    72
  • Joined

  • Last visited

Everything posted by Riker

  1. Hallo Emsisoft Team, irgendwie werde ich mit dem neuen Verhaltensblocker nicht "ganz warm". 1). Ich habe z.B. unter Schutz-->Anwendungsregeln den Firefox gelistet mit fast sämtlichen Boxen angeklickt unter angepasste Überwachung. Gehe ich nun unter Verhaltensanalyse, ist der Firefox zwar gelistet, aber überwacht mit nein. Was stimmt denn nun? Ich finde das irgendwie sehr irreführend. Gleiches habe ich zum Test mal ausgeführt mit C:\Windows\System32\taskhost.exe. Bug: Taskhost.exe wurde unter dem Explorer gar nicht gelistet, als wäre es nicht verhanden, sondern ich musste den Pfad manuell eingeben. Dieses Programm ist nun auch gelistet unter Verhaltensanalyse und es ist auch überwacht. 2). Gestern hatte ich mehrfach bei Öffnen von Opera die Meldung von OA (free) HIPS, dass das Programm Opera Launcher verändert wurde, obwohl kein neues Update vorlag. Das kannte ich so nicht bisher. Seltsamerweise erschien bei den Logs zur Verhaltensüberwachung, dass Opera.exe von EAM (behaviour.spyware) geblockt wurde. Ich wurde nicht alarmiert und Opera funktionierte normal. War das ein False Positive bei Opera? Auch dieser war von mir in den Anwendungsregeln mit sämtlichen Boxen angeklickt (mit Ausnahme der Browsereinstellung natürlich). Anyway, habe Opera zurückgesetzt und deinstalliert. Irgendwie habe ich Probleme, das "Zwischenspiel" von den Reitern Anwendungsregeln und Verhaltensanalyse zu verstehen. Was ich heute weiss, ist, dass EAM anscheinend Prozesse wie svchost.exe nicht überwachen kann, da diese vital für das System sind:http://support.emsisoft.com/topic/17598-behaviour-monitoring/ LG Riker
  2. Thanks for answering my question! As stated in your last paragraph it´s a relief to know that by monitoring the registry an unknown trojan dropper can´t inject code into trusted processes like svchost.exe (even if they can´t be monitored "directly" as pointed out by you).
  3. Hello, I have a question with regard to the behaviour-analysis: When I open it (EAM newest version) I see for example taskhost.exe being under surveillance but the "famous" meta-process svchost.exe not (the same with services.exe for example). Can you tell me the reason for that? Both are recognized as "good" processes of course but only one being monitored. Background of my question is the following: Let´s take f.e. the Trojan Poweliks which affects dllhost.exe after being stored in the registry. This piece of malware should now be known and presumably/most probably is not a problem for EAM. But what about a new trojan/zero-day-attack which has the same "procedure" of attacking. Put the case that it affects schost.exe similar like Poweliks does with dllhost.exe, will it be identified by EAM when svchost.exe ist not under behavioural analysis? Best Regards Riker
  4. Habt Ihr diesen Passus gelesen: "Sponsored by SurfRight – HitmanPro Alertv3" Das sollte man bei der Bewertung also berücksichtigen! Fabian Wosar hat ja darauf hingewiesen, dass dieser Test undifferenziert war, was den Zeitpunkt der Abwehrens der Angriffe betrifft. Zudem sagt der Test ja selbst, dass überwiegend bekannte Exploits getestet wurden, also Kaspersky und Co. genügend Zeit zur Signaturen-Erkennung hatten.... Wenn Ihr sehr viel Wert auf Exploits legt, dann sind ja diese Zusatzprodukte auch evtl. eine Überlegung wert: https://de.malwarebytes.org/antiexploit/ oder http://www.surfright.nl/en/alert Gruss Riker
  5. Danke an den Boss für die Beantwortung der Frage! War ja zu befürchten, bleibt dann "nur" EIS
  6. Hallo, ich nutze mal diesen Thread für meine Frage: MS scheint jetzt Ernst zu machen mit Windows 10 (Update-Werbung dafür laufen ja seit heute): Ist Online Armor kompatibel zu Windows 10? Gruss Riker
  7. Danke für die prompte Antwort! Meine Lizenz läuft in 60 Tagen ab... Deswegen die Frage: Entstehen mir später Nachteile (dieser Rabatt von 25%) für die Folgejahre hinsichtlich der Lizenz von EAM, wenn ich über den Shop von Surfrights jetzt dieses Mal gehe? Riker
  8. Hallo Emsisoft-Team, als zufriedener Kunde von EAM habe ich eine Frage: Bietet Ihr auch ein Bundle von EAM mit der Software HitmanPro an?; ich meine mich zu erinnern, dass Ihr das mal im Angebot hattet... Wenn ja, ist dann auch der HitmanPro.Alert (Echtzeitscanner) mit dabei? Hier gibt es ein Bundle zum Preis von 40€: http://www.surfright.nl/en/shop/ Danke! Riker
  9. Hi Xamax, wahrscheinlich ein Fehlalarm. Hast Du die Datei schon mal bei virustotal.com checken lassen (reanalyse this file)? Gruss Riker
  10. Hezlichen Dank für die Rückmeldung. Ich denke mit etwaigen FP´s muss man als User sowieso leben. Erstmal finde ich es klasse, dass EAM überhaupt diese Möglichkeit bietet, so "flexibel" mit den Hosts umzugehen, macht längst nicht jedes AV Programm. Dafür . Wen diese Tracking Hosts stören, kann dann ja mal auf http://hosts-file.net/ die Auswahl "ad_servers.asp" ausprobieren. Gute Erfahrungen habe ich auch mit der Browser Erweiterung Ghostery gemacht, welche ca. 1000 Werbehosts blockt. Diese funktioniert allerdings nur mit eingeschaltetem Javascript.
  11. Hi Forengemeinde und Foren-Betreuer, ich benutze EAM 6.5.0.17 als Beta-Subscriber. Im Wächter sind zusätzlich zu der schon eingebauten Liste manuell von mir folgende nachträglich eingebaut: http://hosts-file.net/ http://winhelp2002.mvps.org/hosts.htm 1. Jetzt wäre es schön, wenn es einen Filter gäbe, der eventuelle Doppeleinträge automatisch löschen würde. Dieser fehlt jedoch meines Wissens nach. Oder ist dies aus Performance-Gründen heutzutage überhaupt noch nötig? Bin da unsicher. Zeitverzögerungen beim Surfen bisher jedenfalls nicht festgestellt. 2. Alle paar Wochen sollte man ja diese Listen updaten... Muss ich dann die alten - selbst eingebauten - vorher löschen oder einfach "drüber importieren"? 3. Ich finde es übrigens schade, dass die Tracking-Hosts wie z.B. google-analytics.com nicht mehr geblockt werden. Was war eigentlich der Grund dafür?
×
×
  • Create New...