BlackSun

Member
  • Content count

    57
  • Joined

  • Last visited

  • Days Won

    1

BlackSun last won the day on December 27 2014

BlackSun had the most liked content!

Community Reputation

1 Neutral

About BlackSun

  • Rank
    Active Member
  • Birthday 10/23/90

Profile Information

  • Gender
    Male
  • Location
    Germany
  • Interests
    Programmer

Recent Profile Visitors

3194 profile views
  1. Bisher ist die Meldung nicht wieder aufgetaucht. Sobald sie es doch wieder tut, werd ich das aber mal versuchen. Wobei ich eigentlich nichts bedeutsames geändert habe seit dem letzten Auftreten. Ich habe allerdings eine Meldung in der Ereignisanzeige gefunden: 24.06.2017 hat diese angefangen - seitdem jeden Tag 2 bis 19 Wiederholungen der selben Meldung, bis heute. 06.01. bis 09.01.2016 steht auch die gleiche Meldung drin, nur mit a2service.exe stattdessen. Danach hat die aufgehört (Update?). Ist unter Warnungen archiviert, passiert still im Hintergrund. Soll dat so?
  2. Gerade erneut aufgetaucht. Habe erneut die Systemeigenschaften aufgerufen, der Hinweis blieb stehen - bis ich in den Eigenschaften herunter gescrollt habe und das "Windows ist aktiviert" in SIchtweite kam. Erst dann verschwand die Meldung auf dem Desktop, exakt zeitgleich dazu. Was geht da denn ab...? Das hat mein System definitiv noch nie gemacht bis vorgestern! Ich lege Wert auf einen freien Desktop, sowas entgeht mir nicht. Ich bin dazu geneigt, die beiden eingespielten Updates wieder zu entfernen... wenn die Sache nicht an gestoppten Services liegen kann...?
  3. Hey, just a quick remark regarding these - what is "Application.InstallSmart (A)", or "Application.Agent.ANP (B)", "Application.AdInstall (A)", and many more - I mean, I can guess what they are, most likely, especially the Ad one, but... listing all these different types and having zero further information on so many of them is not helpful. I've even tried to look them up outside of the Emsisoft domain, but nothing. InstallSmart, specifically. Please, provide proper information on these things, if your software detects and lists them as being a thing. Being left in the dark with a weird label you've never heard before doesn't help much. https://blog.emsisoft.com/2014/06/18/emsisoft-malware-library/ is very incomplete.
  4. Hallo! Ich habe gerade eben eine extrem seltsame Meldung auf meinem Desktop bemerkt: Dieses System ist nun etwa 8 Jahre alt, und ein Laptop - also keine Hardware-Änderungen [außer SSD & RAM vor 6 Jahren]. Nach diesem Hinweis habe ich direkt in meine Systemeigenschaften geschaut: Huh? Huh. Als ich dieses Fenster wieder minimierte, war die Meldung auf dem Desktop auch wieder verschwunden. Hätte ich keinen Screenshot davon gemacht, würd ich jetzt echt an mir zweifeln. Sowas ist mir in all meinen Jahren in der IT noch nicht untergekommen... Die einzigen aktuellen "Änderungen" an meinem System wären, dass ich die Services für SMB Network shares (re)aktiviert habe und die dazugehörigen zwei Sicherheitsupdates gegen WannaCry und BadTunnel [KB4012212, KB3161949] eingespielt habe. Was Updates generell angeht, bin ich sehr selektiv geworden, seit MS die Win10-Telemetrie in deren "Updates" für Win7 eingestrickt hat. Dienste, die ich nicht benötige, sind vor allem aus Sicherheitsgründen meist deaktiviert / manuell. Habe ich vllt versehentlich etwas deaktiviert, was laufen sollte? Habe einfach mal einen Scan mit Emsisoft angestoßen, der läuft gerade. Danach werde ich neu starten, und darauf hoffen, dass die Meldung nicht wieder auftaucht und mein Desktop nicht schwarz wird, wie das bei nicht lizensierten Versionen beim Start passiert. Dennoch - wie passiert sowas denn...? Sind ähnliche Fälle bekannt? Welche Services sollte ich evtl überprüfen?
  5. Mobile Security Placebo?

    Thanks for the answer! So, Apps are being checked by checksums, against an up-to-date cloudside DB to check for any known bad apples. While surfing, not just domain names but complete URLs are being checked against a cloudside DB. All of this EMS-traffic is utilizing secure HTTPS, and not a bit of data is being logged and collected by you guys. That's what I'm getting from this - that correct so far? Now, while all the cool features in cars are definitely a nice thing, in some cases it has led to reckless driving and underestimation of dangerous situations. That's, of course, up to each individual driver, but what do companies expect if they advertise the "accident-proof car"? That's why I'd rather have the, or at least some, specifics of how things work, what they can and especially what they cannot do - both with cars, and software. Because, what the software cannot do is, doing any real-time monitoring of what an app is doing while it is running. That app won't be able to break free from its sandbox either, though, so that's in Androids hands. From what I've gathered though, it is possible for an app to check on in- and outgoing traffic from other apps (and possibly the system)? So, there are no apps out there that, say, simply don't "support" having their traffic looked into by such "other apps" like EMS, for example? As a customer, I really appreciate companies explaining in detail what their products can do, and why I would want to have that magic working for me. With blanket statements however, I get really suspicious and sometimes, can't resist to dig some more. Just a little piece of feedback, maybe I just didn't see the features of EMS advertised clearly enough somewhere.
  6. Mobile Security Placebo?

    Your reply is very much appreciated! This'll happen whenever there's a change to an app, like on first install, and subsequent updates, I assume? And - Signatures, as in information the file / app comes with, like .exe files do / can on Windows, too? So, we're not talking checksums here, are we? Indeed I'd like to know the details. I'm not that deep into Android development, granted - but I'm a software dev myself, and kind of security enthusiast. So of course, these things are very interesting to me. Here's a few more specific questions that came to mind: 1) How does EMS check for potentionally malicious activity / hosts in the browsers traffic, then? Just the URLs / Domains / IPs, or certain content of traffic itself, too? And, locally against its own regularly updating database, or against a cloud database? 2) If so, how is communication being managed with that cloud db, what exactly is being submitted, any URL-parameters included in there, for example? What about encryption on that traffic, because how else do you guarantee third parties won't be able to peek in there, either? Is it secure? 3) Do you guys keep tabs on visited domains or any kind of metadata, yourself? Logging anything? And of course, lastly... 4) What for do you do that? Isn't it kind of the reason why Android runs these apps, including the browsers, in their own sandboxed environments so that even if you visited a bad host, your system itself can't be compromised outside of what you may submit to the webpage yourself [i.e. phishing]?
  7. Sorry for kinda sensationalist-y title, couldn't think of any title that sums up what I'm worried about, explained in the following... Please, do correct me if I'm wrong in any of these points / assumptions: - Android runs every app in its own sandbox-y environment, including browsers and background services - Android doesn't have an API to allow intervention / access from one of these to the other or the system - Android appstore displays all app privileges before the user accepts these for app install - Android appstore does have very few apps slip through the cracks of malware check - Thus, most malicious apps get on the device by being side-loaded... - Which is, since Android 4.2, also being checked by Google AFAIK. - Any malicious app / update to such gets remotely removed by them. So... for tl;dr-s; skip through for bold text and read where interested. Now. As stated above, each app runs in its own sandbox without access to other apps or the system itself. Including Anti-Virus / Anti-Malware apps! So how do these even do their job, if they don't have any more privileges than any other apps have? They can't interact with the system or other apps, so there is no real-time monitoring of either supposedly compromised system activity, nor that of malicious apps. All they can do is check the names of installed apps for any "bad" ones. Right / wrong...? Additionally, in 2014 a small study showed that 4 out of 6 tested Anti-Virus apps on Android include surf protection via real-time checks of URLs against a cloud-based service which compromised perfectly safe HTTPS-connections to any website by phoning home for this check, partly or completely including formerly HTTPS-protected parameters of the URLs like passwords and session IDs in plain text, making them vulnerable to everything and anything. Especially Avast and AVG did this in 2014, while both claiming to protect privacy and at the same time either logging, or allowing anyone who wants to listen to log visited websites without the users knowledge. How does EMS handle this, specifically? Lastly, counterproductively as always, AV-apps might end up giving a false sense of security for side-loading apps more readily, "because the device is protected anyways, right?" Since apps might still be unknown to the AV, it doesn't detect any issues due to lack of real real-time protection like that of AVs on PCs, which users are used to. That one's a given with any AVs, but holds true especially for mobile ones, doesn't it? To me, the most useful feature of EMS seems to be the rating of all installed apps, pointing out which apps have a few previleges too much for what they're doing. But, data-mining aside [you guys make more relieable money with selling the license anyways I'd assume], after looking over what I basically already knew and agreed to once, I don't see much of a use to these kind of apps on mobile devices as of now - devices which are not rooted, either. Am I missing something? Please, educate me.
  8. Nunja, ist es nicht Emsisofts Aufgabe, in einem solchen Fall den Prozess zu stoppen und eine Meldung anzuzeigen? Nichts dergleichen passierte, und 10 Minuten lang konnte ich auch absolut nichts tun, weil Windows zum Betrieb wenigstens ein paar Prozent CPU braucht. Ist mir bisher nie passiert, aber nachdem 3 Minuten Wartezeit um waren konnte ich im Taskmanager sehen, dass für die restliche Zeit nichts außer Emsisoft-Prozesse CPU verbraucht haben. Beenden konnte ich auch nichts, weil nur sporadisch auf Tastatureingaben oder Mausbewegungen reagiert wurde. Hätte die Kiste fast stumpf gekillt, wär wohl auch um einiges schneller gewesen, aber die Faszination hielt mich davon ab. Jedenfalls hat sich Emsisoft mehreremale auf 2.6GB RAM ausgedehnt und ist dann geplatzt, wie ein Güterzug der immer und immer wieder unaufhaltsam an der selben Stelle entgleist. Halte ich für etwas bedenklich, dass soetwas passiert, hätte eigentlich vermutet dass gegen Dinge dieser Art ein Selbstschutz einspringen würde - entsprechend eingesetzte ZIP-Bomben zum Beispiel werden sonst zum echten Abenteuer. Ich dachte nur ich meld's vielleicht mal, denn nicht immer ist es möglich, das betreffende Laufwerk einfach abzuziehen, damit Emsisoft aufhört vor die Wand zu rennen. Mit Schmackes und viel Anlauf. Immer wieder.
  9. Problem: Die Prozesse a2service.exe und a2guard.exe belegen abwechselnd / zusammen 50-100% CPU. System wird völlig unbedienbar über Zeitraum von ~10 Minuten. Mausbewegungen nur noch zeitverzögert & abgehackt. Der Ressoucenmonitor [resmon.exe] des Taskmanagers friert völlig ein, Fenster wird nicht einmal milchig dargestellt, wie Win7 [x64] das gerne tut wenn etwas nicht reagiert. Teils verschwindet der gesamte Inhalt des Fensters, nur noch Fensterleiste verbleibt. Screenshots konnte ich davon nicht viele machen, weil das System so überlastet war. Die Fenstergröße blieb bestehen, es war nur nichts mehr drin. Kein Text, nicht einmal die Bereiche, in denen die Prozesslisten stehen - alles solides, leeres Grau. Dann baut sich der Fensterinhalt wieder auf, und es ist wieder eingefroren. Das wiederholt sich über die geschätzten 10 Minuten immer wieder. Die dann ablesbaren Werte lassen erschließen, dass mindestens einer der beiden Prozesse a2service.exe und a2guard.exe ganze 50-100% CPU beansprucht, und die Arbeitsspeicherwerte fluktuieren von 200MB bis 2.600.000 MB, ehe dann - vermuteterweise - die entsprechende EXE abschmiert und wieder neu startet. Bei dem 2. Versuch passierte etwa nach 5 Minuten etwas: Das Verhaltens-Alarm - Fenster von Emsisoft poppte auf. F:\DE_Fallout_3_DLC.EXE, Programm versucht, direkt auf Festplatten-Sektoren zuzugreifen. F: ist mein Optical Drive. Hier also die betreffende Datei: Name: DE_Fallout_3_DLC.EXE Hash: 92BE65DB64DE8CA3C55FC022C446F1DE Size: 2.08 GB Dabei handelt es sich um das Setup der Fallout 3 GOTY Edition, welches die DLCs des Spiels installiert. Diese befinden sich in dem auszuführenden Setup, daher ist es über 2GB groß. Ich schätze, dass eine 2GB große EXE Emsisoft - offensichtlich - MASSIVE Probleme bereitet. Wahrscheinlich bei der versuchten Berechnung des Hash-Wertes einer 2GB großen EXE. Nachdem diese 10 Minuten vorbei waren und Emsisoft schließlich nur noch sporadisch auf 70% CPU hochgesprungen ist, konnte ich endlich den ersten Button im Setup-Fenster anklicken. Wow.
  10. Nungut. Ich war über Naujahr im Urlaub, und danach habe ich mich auf ein Projekt konzentriert. Es trat ein anderes Problem auf - ganz kurz: Ich habe ein Programm als RAR heruntergeladen, entpackt und ausgeführt, LAN Backdoor Erkennung sprang drauf an, wie bei vielen Programmen mit Netz-Zugriff. Programm war in Ordnung, also verschob ich es nach C:\Programme. Der Witz: Jedes zweite Mal, wenn ich es neu startete, sprang der Scanner auf die gestartete EXE [aus Programme] an, und gab den Pfad der EXE mit dem nicht mehr existenten Downloads-Pfad an. Regelerstellung funktionierte so nicht, und jedes Mal forderte er mich erneut auf, es zu bestätigen oder zu blocken. Verschieben in Quarantäne generierte einen Eintrag im Protokoll, dass etwas verschoben worden wäre vom nicht existenten Pfad, aber in der Quarantäne tauchte nie etwas auf. Angenervt machte ich eine Neuinstallation, weil die Scan-Engine irgendwie nicht drauf klar kam, dass das selbe Programm nun aus einem anderen Pfad lief. Nun funktioniert alles wieder wie es soll - bis auf das Auto-Update. Selbe Kiste, immer noch. Habe allerdings keine Cleaner-Uninstall gemacht, nur normal Uninstall. Das nur mal so nebenbei erwähnt. Nun, zurück zum eigentlichen Thema... Was die Debug-Logs angeht - schießen'se los, kommt dann demnächst gerne.
  11. Oookay, das scheint gerade funktioniert zu haben. Der Timer für eine festgesetzte Uhrzeit funktioniert jedoch nicht mehr, auch nicht nachdem das Update erfolgreich automatisch gelaufen ist. Ich könnte nun natürlich einen Workaround nutzen wie diesen hier... Aber damit wäre das Problem ja immer noch nicht gelöst. Es ist also die festgelegte Uhrzeit, zu der das Update nicht mehr getriggert wird. Das grenzt es schonmal ein, gibt es eine Möglichkeit an hilfreiche Logs zu kommen oder bestimmte Dateien, die aufgrund dieser Symptomatik als Problemquellen infrage kommen könnten...? Vielleicht ist bei einem Softwareupdate dieser Dateien irgendwann etwas zerschossen worden. Ich weiß das ist eine sehr spezifische Sache die wahrscheinlich zu tief ins Development geht, aber vielleicht lässt sich das Problem ja doch noch etwas weiter eingrenzen. Zeitdruck habe ich persönlich nicht, ich habe ja die Lösung bereits mit der Neuinstallation, die ich einfach durchführen kann. Wenn also weitere Hilfe gewünscht ist, ich bin gerne bereit.
  12. Habe mehreremale versucht die Zeit auf die folgende Minute zu ändern, es ist jedoch nichts passiert. Manuelles Update läuft jedoch.
  13. Hallöle, ich habe EAM auf PCs von verschiedenen Leuten, Familie als auch Freunden, installiert. Viele von ihnen haben keine große Ahnung von dem Ganzen, und wissen sich weder zu helfen noch bemerken sie von alleine, dass es etwas gibt, bei denen ihnen geholfen werden müsste. Die einzige Möglichkeit für mich festzustellen, ob dieses Problem auch bei einem von denen auftritt, wäre also mich regelmäßig bei jedem dieser Bekannten und Verwandten remote auf den Desktop aufzuschalten, um selbst nachzuschauen, ob Emsisoft das tut, was es tun soll. Das Problem mag vielleicht selten vorkommen, und demnach hoffe ich, dass es keinem meiner Bekannten passieren wird. Aber wäre das dennoch der Fall, ... nunja. Veraltete Versionen sind eben doch in dem Fall im Umlauf, wenn bei jeder vor Jahren installierten Version irgendwann das Update plötzlich den Geist aufgibt. Dass neue Installationen vielleicht nicht [oder -noch- nicht, wissen wir's?] davon betroffen sind, ist logisch... ich glaube durchaus, dass eine Neuinstallation das Problem bei mir beheben wird. Gleichzeitig aber auch das Backtracing unmöglich machen wird, wie es zum Problem gekommen ist. Ich behandle nicht gerne Symptome, sondern Ursachen. Zum Defender: "Die Windows Defender-Echtzeitüberprüfung gegen Spyware und andere möglicherweise unerwünschte Software wurden deaktiviert." [07.09.2013 16:59:12] Dieser ist also bereits seit längerer Zeit schon deaktiviert. Ich wüsste gerne, wie ich herausfinden kann, an welcher STELLE es denn nun hakt bei Emsisoft. Im Update-Log steht nicht einmal ein fehlgeschlagener Versuch, und manuell lässt sich das Update ja ausführen, also - der gesetzte Timer Job scheint das Update nicht einmal anzustoßen. Hier irgendwo muss die Ursache für das Problem liegen, und ich hoffe darauf, dass diese Ursache ohne eine Neuinstallation von EAM mit einem Software-Update behoben werden kann.
  14. Andere bemerken das vielleicht nicht und haben das Problem, sich Monate lang mit unbemerkt veralteten Versionen von Emsisoft Gefahren auszusetzen! Wenn durch die Logs die ich bereitstellen könnte eine Möglichkeit gefunden werden kann, automatisch einen Software-Patch zur Reparatur dieses Problems nachzuschieben, sodass ohne Interaktionsnotwendigkeit seitens der unbemerkt betroffenen User wieder alles läuft, halte ich es für das sinnvollste, zuerst das zu versuchen! Dass ich jederzeit neu installieren kann, ist mir bewusst. Ich versuche hier meine Hilfe anzubieten, um eine Möglichkeit zu bieten, die Dunkelziffer der Betroffenen wieder an Bord zu holen. Defekte dieser Art, die mysteriöserweise einfach auftauchen und langfristig still im Hintergrund die Funktionsweise einer Sicherheitssoftware sabotieren, halte ich für ziemlich bedenklich. Ob das nun technisch möglich ist das serverseitig mit einem automatischen Patch zu beheben oder nicht zeigt sich auch erst, wenn man bereit ist, hinzuschauen. Wenn das bei einer Sicherheitssoftware mit dem Motto "Emsisoft Anti-Malware takes care of the dirty work for you" selbst mit Hilfsbereitschaft der User nicht der Fall ist, sehe ich das Thema als beendet, installiere neu und ziehe daraus meinen eigenen Schluss für die Zukunft.
  15. ALL SYSTEMS NOMINAL