HIPS187 Posted May 2, 2018 Report Share Posted May 2, 2018 Hallo wäre es möglich eine Info zu folgenden IP-Adressen zu erhalten, die EAM oft und unabhängig von Updates kontaktiert. 23.37.37.163 66.225.197.197 Warum frage ich das? Ich habe bei EAM alle Datenschutz Optionen auf AUS... dankeschööön für die Transparenz... Link to comment Share on other sites More sharing options...
Icewolf Posted May 2, 2018 Report Share Posted May 2, 2018 Die erste IP ist in den Niederlanden vergeben " Akamai Technologies", die zweite IP ist in den USA vergeben "Server Central Network" Chicago 1 Link to comment Share on other sites More sharing options...
kathrin Posted May 3, 2018 Report Share Posted May 3, 2018 Guten Tag, Ich habe Ihre Frage an unsere Entwickler weitergegeben. Welches Programm zeigt Ihnen denn diese Verbindungen auf? Mit freundlichen Grüßen Kathrin Link to comment Share on other sites More sharing options...
kathrin Posted May 3, 2018 Report Share Posted May 3, 2018 Guten Tag, Könnten Sie uns einmal Debug Logs zukommen lassen, damit wir sehen können welche Komponenten diese E-Mails kontaktieren? Öffnen Sie dafür EAM 1. Klicken Sie unterhalb von Quarantäne auf Support 2. Wählen Sie unten im Dropdownmenü Debug-Protokollierung "1 Tag lang aktivieren" aus. 3. Schließen Sie das Fenster und starten Sie ihren PC neu. 4. Warten Sie ab bis das Problem erneut auftritt 5. Starten Sie den Rechner nochmals neu 6. Wenn sich der Fehler nochmals produziert hat, klicken Sie auf "Support" und wählen "Email senden" aus. 7. Wählen Sie rechts sämtliche Logs vom heutigen Tag aus. 8. Geben Sie eine kurze Zusammenfassung des Problems, sowie einen Link zu diesem Thema. 9. Sollten Sie noch einen Screenshot oder ähnliches anfügen, können Sie dies gern mithilfe von "Datei anhängen tun. 10. Klicken Sie auf "Jetzt senden" um die Email abzusenden. WICHTIG: Deaktivieren Sie anschließend wieder die Debug-Protokollierung, da diese sonst ihre Festplatte voll schreibt. Mit freundlichen Grüßen Kathrin Link to comment Share on other sites More sharing options...
HIPS187 Posted May 5, 2018 Author Report Share Posted May 5, 2018 Am 3.5.2018 um 23:34 schrieb kathrin: Guten Tag, Könnten Sie uns einmal Debug Logs zukommen lassen, damit wir sehen können welche Komponenten diese E-Mails kontaktieren? Öffnen Sie dafür EAM 1. Klicken Sie unterhalb von Quarantäne auf Support 2. Wählen Sie unten im Dropdownmenü Debug-Protokollierung "1 Tag lang aktivieren" aus. 3. Schließen Sie das Fenster und starten Sie ihren PC neu. 4. Warten Sie ab bis das Problem erneut auftritt 5. Starten Sie den Rechner nochmals neu 6. Wenn sich der Fehler nochmals produziert hat, klicken Sie auf "Support" und wählen "Email senden" aus. 7. Wählen Sie rechts sämtliche Logs vom heutigen Tag aus. 8. Geben Sie eine kurze Zusammenfassung des Problems, sowie einen Link zu diesem Thema. 9. Sollten Sie noch einen Screenshot oder ähnliches anfügen, können Sie dies gern mithilfe von "Datei anhängen tun. 10. Klicken Sie auf "Jetzt senden" um die Email abzusenden. WICHTIG: Deaktivieren Sie anschließend wieder die Debug-Protokollierung, da diese sonst ihre Festplatte voll schreibt. Mit freundlichen Grüßen Kathrin Hallo Kathrin, danke für das Angebot, ich würde es gerne mal so probieren: Zu den o.g. IP-Adressen, welche ohne Erkennbaren Grund von EAM kontaktiert werden : 23.37.37.163 (Emsisoft Real-Time Protection | a2guard.exe | Out | 192.xxx.xxx.xxx | Port 4595 | 23.37.37.163 : Port 80 | TCP 66.225.197.197 (Emsisoft Real-Time Protection | a2guard.exe | Out | 192.xxx.xxx.xxx | Port 3842 | 66.225.197.197 : Port 80 | TCP) Die Frage ist: Für was / Warum werden diese unverschlüsselten Verbindung aufgebaut? -Was kann ich an den Einstellungen von EAM ändern um das auszuschalten? Wo ich das gerade beobachte, es finden sich noch einige weitere IP's welche auf Port 80 von \a2guard.exe oder \a2service.exe kontaktiert werden. Diese IP's wurden an 2 verschiedenen Tagen und ca. 8h Online-Zeit von EAM mit Ziel-Port 80 geloggt (Reihenfolge nicht chronologisch...). 93.184.220.29 93.184.220.29 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 104.121.76.16 104.121.76.16 104.121.76.24 104.121.76.24 104.16.89.188 104.16.89.188 104.16.89.188 104.16.89.188 104.16.90.188 104.16.90.188 104.16.90.188 104.16.90.188 104.16.91.188 104.16.91.188 104.16.91.188 104.16.91.188 104.16.92.188 104.16.92.188 104.16.92.188 104.16.92.188 104.16.93.188 104.16.93.188 104.16.93.188 104.16.93.188 104.17.102.175 104.17.102.175 104.17.103.175 104.17.103.175 104.17.104.175 104.17.104.175 104.17.105.175 104.17.105.175 104.17.106.175 104.17.106.175 104.31.74.124 104.31.74.124 104.31.74.124 104.31.74.124 104.31.75.124 104.31.75.124 104.31.75.124 104.31.75.124 104.86.35.59 104.86.35.59 104.86.51.158 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 178.255.83.1 23.37.37.163 23.37.37.163 23.37.37.163 23.37.43.27 23.37.43.27 23.37.43.27 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.133.163 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 23.63.139.27 88.221.214.64 88.221.214.64 88.221.214.64 88.221.214.64 88.221.214.64 88.221.214.67 88.221.214.67 88.221.214.67 88.221.214.67 88.221.214.67 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 93.184.220.29 Dankeschön für die Transparenz ------------------------------------------------------------------------------------------------- @Icewolf Zum Thema: Update-Vorgang EAM: (Log an einem PC, Dauer ca. 20 sec.) Process Name a2service.exe Open 192.xxx.xxx.xxx 136.243.128.18 api1.emsisoft.com 1082 443 776 a2service.exe a2service.exe Open 192.xxx.xxx.xxx 205.185.216.10 map2.hwcdn.net 1089 443 776 a2service.exe a2service.exe Open 192.xxx.xxx.xxx 205.185.216.10 map2.hwcdn.net 1090 443 776 a2service.exe a2service.exe Open 192.xxx.xxx.xxx 205.185.216.10 map2.hwcdn.net 1091 443 776 a2service.exe a2service.exe Open 192.xxx.xxx.xxx 205.185.216.10 map2.hwcdn.net 1092 443 776 a2service.exe a2service.exe Open 192.xxx.xxx.xxx 205.185.216.10 map2.hwcdn.net 1093 443 776 a2service.exe soweit so gut (Schade ist, dass nicht alle Server, nach meinen Infos, in der EU stehen sonder teils in den USA) VG HIPS Link to comment Share on other sites More sharing options...
kathrin Posted May 7, 2018 Report Share Posted May 7, 2018 Guten Tag, Leider können die Entwickler anhand der IP-Adressen nicht klar sagen, was die Funktion ist. Sie würden Sie daher gerne bitten eine der Anfragen aufzuzeichen um zu verstehen, welche Anfrage dies ist. Könnten Sie dafür bitte Fiddler installieren: https://www.telerik.com/download/fiddler Öffnen Sie anschließend Emsisoft Anti-Malware und klicken Sie auf Einstellungen und dort auf Updates. Unten rechts finden Sie den Button "Proxy-Einstellungen" aktivieren Sie dort den Proxy und geben Sie als Proxy 127.0.0.0.1 und als Port 8888. Damit sollte sämtlicher Traffic von Emsisoft über Fiddler laufen. Sie können bei Fiddler zusätzlich noch einen Filter setzen, der Ihnen nur die Ergebnisse für a2guard anzeigt. Klicken Sie dafür in Fiddler auf "Filter" und setzen dort den Haken bei "Show only traffic from", wählen Sie da a2guard.exe aus. Damit werden Ihnen nur die Verbindungen für a2guard angezeigt. Wenn eine Verbindung von a2guard aufgebaut wurde, würde ich Sie bitten den Eintrag per Doppelklick auszuwählen. Dann erscheint der Header und Inhalt der Anfrage. Könnten Sie uns davon bitte einen Screenshot schicken. Mit freundlichen Grüßen Kathrin Link to comment Share on other sites More sharing options...
HIPS187 Posted September 8, 2018 Author Report Share Posted September 8, 2018 🔄 Gibt des weitere Meinungen / User-Feedback zum Thema IP-Verbindung - Welche Verbindungen sind in euren Logs zu sehen?Wenn eine Anti-Malware-Software wie EIS tief ins System blicken muss um zu funktionieren, so wäre eine Deklaration der IP-Verbindung die EIS aufbaut sinnvoll. ➡️ Eine IP/Port Tabelle welche Verbindungen von EIS benötigt werden um eine Firewall dafür einzurichten - ähnlich wie Microsoft dies beim Win10 eingestellt hat https://docs.microsoft.com/de-de/windows/privacy/manage-windows-endpoints sorgt für Transparenz. beste Grüße Link to comment Share on other sites More sharing options...
Christian Mairoll Posted September 12, 2018 Report Share Posted September 12, 2018 Die genannten IPs sind ziemlich sicher unsere Update Hosts. HWCDN steht fuer Highwinds/Stackpath CDN. Das sind letztlich Mirror Server die die Update Downloads ausliefern. Highwinds hat tausender solcher Server bei allen moeglichen ISPs um den jeweils kuerzesten Download-Weg zu garantieren. Die IPs sind entsprechend fuer jeden Benutzer der Sofware andere, je nach Standort. Das gleiche Prinzip kommt auch bei unserer Website zum Tragen, jedoch wird diese ueber Cloudflare ausgeliefert. Link to comment Share on other sites More sharing options...
Recommended Posts