Hallo zusammen,
ich bin nach Jahren der ZoneAlarm-Nutzung umgestiegen auf Comodo und komme noch nicht so ganz klar damit.
Ich bin kein Computersicherheitsprofi, ganz im Gegenteil!
Das größte Problem, das ich momentan mit Comodo habe ist, dass das Programm “Der Brockhaus Multimedial 2005” nicht mehr ordentlich läuft. Wenn ich das Programm starten will, meldet sich der Antivirus Alert, dass er einen Virus gefunden hätte. Aktuell hab ich zum Beispiel die Meldung:
Name: Heur.Packed.Unknown
Ort: C:\Windows\Temp~CRF1000.TMP
Gehe ich jetzt auf “Ignorieren” und “Zu den Ausnahmen hinzufügen” kommt eine Defense+Alert-Meldung, die mitteilt, dass oben genannte Anwendung vorübergehend blockiert wurde. “Sie hat versucht Shellcode auszuführen…”
Gehe ich nun auf “Diese Anwendung in Zukunft ignorieren” startet der Brockhaus schließlich doch.
So ist das jedes Mal, wenn ich auf das Programm zugreifen will - jedes Mal mit einer anderen TMP-Datei (was auch immer das ist!)
Was muss ich machen, damit der Brockhaus sauber läuft? Ich bitte um unkomplizierte Antworten, hab nämlich echt kaum Ahnung von dem Zeug :-\
Gruß aus München
Jens
Hallo Jens,
also Heur.Packed.Unknown sagt Dir, dass die Heuristik ein verdächtiges Programm gefunden hat, das mit einem Laufzeitpacker komprimiert wurde.
Das kommt bei mir relativ häufig vor, da verwende ich wohl grad die falschen Programme, drum hab ich die Heuristik für den Echtzeit-Scanner ausgeschalten:
Antivirus → Einstellungen für Scanner, Echtzeit-Prüfung: Heuristik-Prüfung/Level auf “Aus”
Wenn Du auf die nicht verzichten willst, gehst Du auf
Antivirus → Einstellungen für Scanner, Ausnahmen und fügst da “C:\Windows\Temp*.tmp” hinzu.
Das hat dann aber den Nachteil, dass alle TMP-Dateien in diesem Verzeichnis keinen Alarm mehr auslösen, auch wenn ein “richtiger” Virus gefunden wird. Da die Heuristik jedenfalls bei mir nur Fehlalarme produziert und sich Defense+ ja auch noch meldet, wenn was komisch ist (da sind die Meldungen halt dann schon etwas schwerer zu interpretieren, das musst Du für Dich entscheiden…) empfehle ich die Heuristik auszuschalten, bis da die langersehnten und versprochenen Verbesserungen kommen.
Das mit dem Versuch Schellcode einzuschleusen sollte nicht passieren! Es wird Dir wohl nichts anderes übrig bleiben, als da eine Ausnahme zu definieren:
Defense+ → Einstellungen zur Kontrolle von Speicherabbildern, Allgemein: Ausnahmen und da fügst Du “C:\Windows\Temp*.tmp” hinzu.
Leider werden dann halt auch alle anderen TMP-Dateien in dem Ordner ignoriert, aber eine andere Lösung gibt’s da nicht. Die Überwachung solltest Du auf jeden Fall aktiviert lassen, das ist nämlich der Schutz vor den berühmten “Buffer Overflows”, die gerne mal in bekannten Anwendungen ausgenutzt werden können um auf Deinem System Code auszuführen.
Grüße nach München
Hey BigMike,
danke für die schnelle Antwort!
Ich hab unter Antivirus, Einstellungen für Scanner, Ausnahmen “C:\Windows\Temp*.tmp” hinzugefügt, dann unter Defense+, Erweitert, Einstellungen zur Kontrolle von Speicherabbildern, Allgemein, Ausnahmen “C:\Windows\Temp*.tmp” hinzugefügt.
Dann fragt Defense+ Alert, ob ich zulassen oder blockieren will, dass “~CRF2026.TMP versucht eine geschütze Datei oder einen geschützen Ordner zu ändern”
Auch wenn ich dann noch gar nichts geklickt habe, startet mein Programm dann schon. Wenn ich aber mit Häkchen bei “Meine Antwort merken” den Zugriff zulasse, kommt beim nächsten Start des Programms wieder die eben genannte Meldung, dann zum Beispiel mit “~CRF3C0C.TMP”
Wie kann ich das unterbinden, dass ich vor jedem Programmstart eine Comodo-Meldung bekomme?
Nicht, dass ich 100x am Tag den Brockhaus bräuchte 
Es ist klar, dass Dir das Häkchen bei “Meine Antwort merken” nicht viel hilft, weil ja die Datei jedes mal einen anderen Namen hat.
Wenn Du unter
Defense+ → Erweitert → Computer-Sicherheitsrichtlinie
eine neue Regel hinzufügst und als Anwendungspfad wieder “C:\Windows\Temp*.tmp” eingibst und bei Zugriffsrechte die geschützte Datei/den Ordner angibst, der geändert werden soll, sollte es gehen.
Dumm ist halt, dass das dann auch wieder für alle TMP-Dateien erlaubt wird.
Hey, es klappt jetzt einwandfrei!
Hab ich denn jetzt eine allzu gravierende Sicherheitslücke geschaffen?
Jens
Naja, was soll ich jetzt schreiben - so gravierend ist das nicht. Ich hab halt immer darauf hingewiesen, was Dir jetzt passieren könnte.
Wenn Du andererseits bedenkst, dass viele Benutzer sowas wie Defense+ gar nicht haben und dementsprechend alle Programme so ziemlich machen können, was sie wollen, bist Du schon noch sehr viel besser dran. Und so groß sind ja die Freiheiten auch nicht, die Du da jetzt gewährt hast.
Vielen Dank für Deine Tips! Ist immer so eine Sache mit einer neuen Firewall
Jens
Bitte 
Wenn’s nur ne Firewall wär, hättest Du ja keine dieser Sorgen gehabt - Comodo Internet Security bringt einfach viel mehr Funktionen mit als ZoneAlarm, was halt unter Umständen auch mehr Komplikationen hervorruft. Aber das wird schon!