Recommended Posts

Hallo :D

wäre es möglich eine Info zu folgenden IP-Adressen zu erhalten, die EAM oft und unabhängig von Updates kontaktiert.

  • 23.37.37.163
  • 66.225.197.197

Warum frage ich das? Ich habe bei EAM alle Datenschutz Optionen auf AUS...

 

dankeschööön für die Transparenz...

Share this post


Link to post
Share on other sites

Die erste IP ist in den Niederlanden vergeben " Akamai Technologies", die zweite IP ist in den USA vergeben "Server Central Network" Chicago

  • Downvote 1

Share this post


Link to post
Share on other sites

Guten Tag,

Ich habe Ihre Frage an unsere Entwickler weitergegeben. Welches Programm zeigt Ihnen denn diese Verbindungen auf?

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Guten Tag,

 

Könnten Sie uns einmal Debug Logs zukommen lassen, damit wir sehen können welche Komponenten diese E-Mails kontaktieren?

 

Öffnen Sie dafür EAM

1. Klicken Sie unterhalb von Quarantäne auf Support
2. Wählen Sie unten im Dropdownmenü Debug-Protokollierung "1 Tag lang aktivieren" aus.
3. Schließen Sie das Fenster und starten Sie ihren PC neu.
4. Warten Sie ab bis das Problem erneut auftritt
5. Starten Sie den Rechner nochmals neu
6. Wenn sich der Fehler nochmals produziert hat, klicken Sie auf "Support" und wählen "Email senden" aus.
7. Wählen Sie rechts sämtliche Logs vom heutigen Tag aus.
8. Geben Sie eine kurze Zusammenfassung des Problems, sowie einen Link zu diesem Thema.
9. Sollten Sie noch einen Screenshot oder ähnliches anfügen, können Sie dies gern mithilfe von "Datei anhängen tun.
10. Klicken Sie auf "Jetzt senden" um die Email abzusenden.

WICHTIG: Deaktivieren Sie anschließend wieder die Debug-Protokollierung, da diese sonst ihre Festplatte voll schreibt.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites
Am 3.5.2018 um 23:34 schrieb kathrin:

Guten Tag,

 

Könnten Sie uns einmal Debug Logs zukommen lassen, damit wir sehen können welche Komponenten diese E-Mails kontaktieren?

 

Öffnen Sie dafür EAM

1. Klicken Sie unterhalb von Quarantäne auf Support
2. Wählen Sie unten im Dropdownmenü Debug-Protokollierung "1 Tag lang aktivieren" aus.
3. Schließen Sie das Fenster und starten Sie ihren PC neu.
4. Warten Sie ab bis das Problem erneut auftritt
5. Starten Sie den Rechner nochmals neu
6. Wenn sich der Fehler nochmals produziert hat, klicken Sie auf "Support" und wählen "Email senden" aus.
7. Wählen Sie rechts sämtliche Logs vom heutigen Tag aus.
8. Geben Sie eine kurze Zusammenfassung des Problems, sowie einen Link zu diesem Thema.
9. Sollten Sie noch einen Screenshot oder ähnliches anfügen, können Sie dies gern mithilfe von "Datei anhängen tun.
10. Klicken Sie auf "Jetzt senden" um die Email abzusenden.

WICHTIG: Deaktivieren Sie anschließend wieder die Debug-Protokollierung, da diese sonst ihre Festplatte voll schreibt.

 

Mit freundlichen Grüßen

Kathrin

Hallo Kathrin,

danke für das Angebot, ich würde es gerne mal so probieren:

Zu den o.g. IP-Adressen, welche ohne Erkennbaren Grund von EAM kontaktiert werden :

  • 23.37.37.163  (Emsisoft Real-Time Protection | a2guard.exe | Out | 192.xxx.xxx.xxx | Port 4595 | 23.37.37.163 : Port 80 | TCP
  • 66.225.197.197 (Emsisoft Real-Time Protection | a2guard.exe | Out | 192.xxx.xxx.xxx | Port 3842 | 66.225.197.197 : Port 80 | TCP)

Die Frage ist: Für was / Warum werden diese unverschlüsselten Verbindung aufgebaut? -Was kann ich an den Einstellungen von EAM ändern um das auszuschalten?

Wo ich das gerade beobachte, es finden sich noch einige weitere IP's welche auf Port 80 von \a2guard.exe oder \a2service.exe kontaktiert werden.
Diese IP's wurden an 2 verschiedenen Tagen und ca. 8h Online-Zeit von EAM mit Ziel-Port 80 geloggt (Reihenfolge nicht chronologisch...).

 93.184.220.29   93.184.220.29  66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197 66.225.197.197  104.121.76.16   104.121.76.16   104.121.76.24   104.121.76.24   104.16.89.188   104.16.89.188   104.16.89.188   104.16.89.188   104.16.90.188   104.16.90.188   104.16.90.188   104.16.90.188   104.16.91.188   104.16.91.188   104.16.91.188   104.16.91.188   104.16.92.188   104.16.92.188   104.16.92.188   104.16.92.188   104.16.93.188   104.16.93.188   104.16.93.188   104.16.93.188   104.17.102.175   104.17.102.175   104.17.103.175   104.17.103.175   104.17.104.175   104.17.104.175   104.17.105.175   104.17.105.175   104.17.106.175   104.17.106.175   104.31.74.124   104.31.74.124   104.31.74.124   104.31.74.124   104.31.75.124   104.31.75.124   104.31.75.124   104.31.75.124   104.86.35.59   104.86.35.59   104.86.51.158   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   178.255.83.1   23.37.37.163   23.37.37.163   23.37.37.163   23.37.43.27   23.37.43.27   23.37.43.27   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.133.163   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   23.63.139.27   88.221.214.64   88.221.214.64   88.221.214.64   88.221.214.64   88.221.214.64   88.221.214.67   88.221.214.67   88.221.214.67   88.221.214.67   88.221.214.67   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29   93.184.220.29 

Dankeschön für die Transparenz ;)

-------------------------------------------------------------------------------------------------

@Icewolf

Zum Thema: Update-Vorgang EAM: (Log an einem PC, Dauer ca. 20 sec.)

Process Name 
a2service.exe        Open    192.xxx.xxx.xxx    136.243.128.18    api1.emsisoft.com  1082   443    776    a2service.exe       
a2service.exe        Open    192.xxx.xxx.xxx    205.185.216.10    map2.hwcdn.net    1089    443    776    a2service.exe       
a2service.exe        Open    192.xxx.xxx.xxx    205.185.216.10    map2.hwcdn.net    1090    443    776    a2service.exe       
a2service.exe        Open    192.xxx.xxx.xxx    205.185.216.10    map2.hwcdn.net    1091    443    776    a2service.exe       
a2service.exe        Open    192.xxx.xxx.xxx    205.185.216.10    map2.hwcdn.net    1092    443    776    a2service.exe       
a2service.exe        Open    192.xxx.xxx.xxx    205.185.216.10    map2.hwcdn.net    1093    443    776    a2service.exe       

soweit so gut (Schade ist, dass nicht alle Server, nach meinen Infos, in der EU stehen sonder teils in den USA)

VG HIPS

 

 


 

 

Share this post


Link to post
Share on other sites

Guten Tag,

 

Leider können die Entwickler anhand der IP-Adressen nicht klar sagen, was die Funktion ist. Sie würden Sie daher gerne bitten eine der Anfragen aufzuzeichen um zu verstehen, welche Anfrage dies ist.

 

Könnten Sie dafür bitte Fiddler installieren: https://www.telerik.com/download/fiddler

Öffnen Sie anschließend Emsisoft Anti-Malware und klicken Sie auf Einstellungen und dort auf Updates. Unten rechts finden Sie den Button "Proxy-Einstellungen" aktivieren Sie dort den Proxy und geben Sie als Proxy 127.0.0.0.1 und als Port 8888. Damit sollte sämtlicher Traffic von Emsisoft über Fiddler laufen.

 

Sie können bei Fiddler zusätzlich noch einen Filter setzen, der Ihnen nur die Ergebnisse für a2guard anzeigt. Klicken Sie dafür in Fiddler auf "Filter" und setzen dort den Haken bei "Show only traffic from", wählen Sie da a2guard.exe aus. Damit werden Ihnen nur die Verbindungen für a2guard angezeigt. Wenn eine Verbindung von a2guard aufgebaut wurde, würde ich Sie bitten den Eintrag per Doppelklick auszuwählen. Dann erscheint der Header und Inhalt der Anfrage. Könnten Sie uns davon bitte einen Screenshot schicken.

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

🔄

Gibt des weitere Meinungen / User-Feedback zum Thema IP-Verbindung - Welche Verbindungen sind in euren Logs zu sehen?
Wenn eine Anti-Malware-Software wie EIS tief ins System blicken muss um zu funktionieren, so wäre eine Deklaration der IP-Verbindung die EIS aufbaut sinnvoll.

➡️ Eine IP/Port Tabelle welche Verbindungen von EIS benötigt werden um eine Firewall dafür einzurichten - ähnlich wie Microsoft dies beim Win10 eingestellt hat https://docs.microsoft.com/de-de/windows/privacy/manage-windows-endpoints sorgt für Transparenz.

beste Grüße

Share this post


Link to post
Share on other sites

Die genannten IPs sind ziemlich sicher unsere Update Hosts. HWCDN steht fuer Highwinds/Stackpath CDN. Das sind letztlich Mirror Server die die Update Downloads ausliefern. Highwinds hat tausender solcher Server bei allen moeglichen ISPs um den jeweils kuerzesten Download-Weg zu garantieren. Die IPs sind entsprechend fuer jeden Benutzer der Sofware andere, je nach Standort. 

Das gleiche Prinzip kommt auch bei unserer Website zum Tragen, jedoch wird diese ueber Cloudflare ausgeliefert. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.