Avast WEBforum
Non-English Zone => Deutsch => Topic started by: REDACTED on August 14, 2015, 02:54:17 PM
-
Hallo Zusammen,
habe Avast! IS 10.3225 mit aktuellen Datenbanken auf Win 10 Home x64 laufend.
Habe bei allen Modulen die Aktionen auf NACHFRAGEN gesetzt.
Und trotzdem blockiert Avast! OHNE NACHFRAGE die m.E. saubere Sachen wie Quicktime oder eine Temp-Datei von einem Windows-Installer. Das Blödeste dabei - das Protokoll, wo die Information über die geblockten Aktionen zu finden wäre, gibt es scheinbar nicht: in %allusersprofile%\AVAST Software\Avast\report steht alles auf OK
z.B.
14.08.2015 14:45:44 C:\Program Files\iTunes\iTunes.Resources\he.lproj\iPhone License.rtf [+] ist OK
14.08.2015 14:45:45 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:46:01 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:46:04 C:\WINDOWS\system32\DllHost.exe [+] ist OK
14.08.2015 14:46:10 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:46:20 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:46:30 C:\WINDOWS\system32\AUDIODG.EXE [+] ist OK
14.08.2015 14:46:30 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:46:50 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:47:00 C:\Users\ccc\AppData\Roaming\Mozilla\Firefox\Profiles\jo71599z.default\WOT\storage-1.json [+] ist OK
14.08.2015 14:47:07 C:\WINDOWS\system32\NOTEPAD.EXE [+] ist OK
1. Besteht doch eine Möglichkeit, dem Avast! beizubringen, dass so einfach Blockieren nicht geht, man muss den Onkel User fragen?
2. Wo sind denn die Spuren von diesen willkürlichen Blockierungen zu finden?
PS: Ach ja, das Addon AdGuard findet Avast! nicht gut, k.A. warum?
-
Welches Modul blockiert..?
Hast du einen Screenshot für uns..?
PS: Erstelle bitte eine aussagekräftige Signatur..!!
-
Blockiert wurde eine Änderung von Registry durch eine exe-Datei (bemerkt habe nur \Qiucktime\) und noch eine *.tmp in C:\Windows\Temp - dem Namen nach ein Teil vom Microsoft-Installer.
Funde Reproduzieren kann ich nicht, daher auch keine Screenshots - und Nachschauen - na ja, das ist eben die Frage.
Das Einzige was Avast dazu sagte: ... Sie müssen sich um nichts mehr kümmern (in dem Sinne).
-
Blockiert wurde eine Änderung von Registry durch eine exe-Datei...
Das klingt nach einer Meldung vom HIPS. Wie sind deine Einstellungen diesbezüglich..?
-
Das klingt nach einer Meldung vom HIPS. Wie sind deine Einstellungen diesbezüglich..?
So wie im Bilde unten
-
Wenn du gefragt werden möchtest mußt du den Wirkungsgrad auf die höchste Stufe einstellen.
-
Wenn du gefragt werden möchtest mußt du den Wirkungsgrad auf die höchste Stufe einstellen.
OK, danke. Und den Rest so belassen wie es ist?
-
OK, danke. Und den Rest so belassen wie es ist?
Bitteschön. Wie du willst, ist Geschmackssache.
-
ist Geschmackssache.
nach meinem Geschmack würde ich gerne IMMER eine Auswahl haben und die Ereignisse protokolliert :)
-
Das HIPS wird in Avast 2016 noch überarbeitet und optimiert.
-
Das HIPS wird in Avast 2016 noch überarbeitet und optimiert.
Dein Wort ins Gottes Ohr ;)
-
Das HIPS wird in Avast 2016 noch überarbeitet und optimiert.
Dein Wort ins Gottes Ohr ;)
Nicht nötig, das ist bereits beschlossene Sache. ;)
-
Ich habe die HIPS-Einstellungen auf Max. gesetzt und habe trotzdem heute das Meldefenster erwischt 8)
-
Interessant. Und willst du daß QuickTime die Registry ändert oder nicht..?
-
Und willst du daß QuickTime die Registry ändert oder nicht..?
Ich will gefragt werden. Meine Entscheidung wird dann je nach aktueller Planeten- und Sternenlage fallen ;)
-
Soweit mir bekannt, solltest du auf höchster Stufe gefragt werden.
Warum das bei dir nicht funktioniert, kann ich dir leider nicht sagen.
-
Warum das bei dir nicht funktioniert, kann ich dir leider nicht sagen.
Ich habe schon den Support kontaktiert (Ticket:: 20150815_0502_3838000876).
Mal schauen...
-
Es kann 10 Werktage dauern bis du Antwort bekommst.
DJBone
-
Warum das bei dir nicht funktioniert, kann ich dir leider nicht sagen.
Ich habe schon den Support kontaktiert (Ticket:: 20150815_0502_3838000876).
Mal schauen...
OK, Feedback erwünscht..! :)
PS: Das ist keine Ticket-ID, die sieht normalerweise so aus: #ABC-123-12345
-
Das ist keine Ticket-ID, die sieht normalerweise so aus: #ABC-123-12345
OK, ich bin flexibel genug: # YIB-128-76202 ;)
Feedback ist für mich selbstverständlich.
EDIT: Und wieder grüßt das Murmeltier :D
Jetzt habe ich schon einen Verdacht: Diese Meldungen erscheinen nur bei den Updates der bereits installierten Programmen.
Und alle diese Programme bei der Installation schreiben sich in Autoruns. Und ich hasse es, wie die Pest und das Erste, was ich nach der Installation tue - schmeiße alle diese Autorun-Einträge heraus.
HIPS "merkt", dass das Update schon wieder sich in die Autoruns reinschreiben möchte und blockiert es.
Ist von sich nicht schlecht, ich würde aber mir trotzdem über eine Rücksprache mit HIPS freuen.
-
Hallo @ll
um das Thema abzuschließen:
- HIPS überwacht u.A. die Zugriffe der Installer/Deinstaller auf Registry (was er eigentlich tun muss).
- Beim Setzen von HIPS auf die höchste Stufe wird der Benutzer IMMER gefragt (habe vorher das Falsche eingestellt ::))
- das Protokollieren von der Arbeit von HIPS wäre wünschenswert.
:)
-
Hallo,
- das Protokollieren von der Arbeit von HIPS wäre wünschenswert.
hatte zwar noch keine HIPS-Warnung, aber ist es nicht im Log des Dateisystem-Schutz hinterlegt?
C > ProgramData > Avast Software > Avast > report > FileSystemShield
TerraX
-
hatte zwar noch keine HIPS-Warnung, aber ist es nicht im Log des Dateisystem-Schutz hinterlegt?
C > ProgramData > Avast Software > Avast > report > FileSystemShield
ich checke das nochmal. Auf den ersten Blick habe ich nirgends etwas über HIPS-Aktivitäten gefunden
EDIT: eine Datei mit solchem Namen gibt es bei mir gar nicht - weder im ..\report noch im ..\log
-
Hast du die Protokollierung im Dateisystem-Schutz aktiviert?
DJBone
-
@DJBone
yes, Sir!
-
Du hast scheinbar den Standardordner geändert. Hast du in deinem individuellen Ordner schon nachgesehen?
DJBone
-
Du hast scheinbar den Standardordner geändert. Hast du in deinem individuellen Ordner schon nachgesehen?
Nein, Sir, ich habe nur den Log-Namen nach AVAST-REPORT geändert ;) Und die Protokollierung von sauberen Sachen ausgeschaltet. Und der Log ist wirklich sauber :)
-
Hallo,
kann es sein, das die HIPS-Meldungen alle sauberer Natur waren?
TerraX
-
kann es sein, das die HIPS-Meldungen alle sauberer Natur waren?
m.E. waren die "sauberer Natur". Allerdings: wenn ein Verdacht seitens Avast vorliegt, sollte der auch irgendwie fixiert sein (IMHO).
-
Hallo,
Die Aktionen des Avast HIPS Moduls werden zusammen mit den anderen Ereignissen des Dateisystem-Schutz in den Logs vermerkt.
siehe hier: https://forum.avast.com/index.php?topic=174083.msg1236402#msg1236402
Mehr kann ich leider auch nicht dazu sagen, da ich noch keine HIPS-Meldung bekommen habe. :-[
TerraX
-
Hallo @ll
um das Thema abzuschließen:
- HIPS überwacht u.A. die Zugriffe der Installer/Deinstaller auf Registry (was er eigentlich tun muss).
- Beim Setzen von HIPS auf die höchste Stufe wird der Benutzer IMMER gefragt (habe vorher das Falsche eingestellt ::))
Gut, so sollte es es auch sein. Danke fürs Feedback.