Jump to content

Werderforever

Member
  • Posts

    88
  • Joined

  • Last visited

  • Days Won

    4

Everything posted by Werderforever

  1. Hallo, Emsisoft legt ja großen Wert auf Datenschutz. Nun war ich aber etwas irritiert. Ich habe auf meinem Zweitrechner die 30-tägige Testversion von EIS mehrfach installiert. Zwischen den Installationen habe ich den Rechner immer per Image zurückgesetzt. Dennoch hat EIS immer das ursprüngliche Installationsdatum als Beginn des 30-tägigen Testes vermerkt. Da die Registry durch die Imagewiederherstellung bereinigt war und dort der erste Installationszeitpunkt somit nicht mehr hinterlegt war, ist offensichtlich der Hashwert meiner Hardware an die Emsiosft-Server übermittelt worden. Das hat mich insofern verwundert, da Emsisoft eben sehr großen Wert auf Datenschutz legt und die Info über meine Hardware ohne Hinweis übermittelt wurde.
  2. Das sehe ich auch so. So wie sich die Sache bisher darstellt, ist es verwirrend.
  3. Hallo Fabian, die Argumentation kann ich jetzt nachvollziehen. Danke, dass Du auf meine Fragen so ausführlich geantwortet hast!
  4. Das kann ich so nicht nachvollziehen. Ob eine Datei an der Ausführung gehindert und gleich zur Überprüfung ans Emsisoft Antimlware Network gesendet wird, oder ob die Datei ausgeführt wird und dann erst an das Emsisoft Antimalware Network gesendet wird, bleibt doch gleich. Wo ist da ein Unterschied beim Datenschutz? Vielleicht kannst Du mir das erklären. ​
  5. Hallo Fabian, doch, ich weiß das ein BB grundsätzlich wie von Dir beschrieben arbeitet. Es gibt aber auch andere Denkansätze. Beim DeepGuard von F-Secure wird eine unbekannte Datei an der Ausführung gehindert und erst in der Cloud geprüft, siehe Whitepaper auf Seite 7 (How Deepguard works): https://www.f-secure.com/documents/996508/1030745/deepguard_whitepaper.pdf Bei solch einer Verfahrensweise würde m.E. es nicht passieren, dass die Installationsdatei (in meinem Beispielfall Cdex) erst gelöscht wird nachdem das Programm bereits installiert wurde. Bei einer echten Malware wäre es dann zu spät. Ich bevorzuge übrigens die von Dir genannte Standardeinstellung, wo ich eine Meldung erhalte. Passiert ist die Sache aber auf dem Rechner eines Familienmitgliedes, der möglichst gar keine Meldungen vom AntiMalwareprogramms sehen möchte. Aber um auf den Kern des Problems zurückzukommen: Warum hindert Emsisoft die ausführbare Datei nicht solange an der Ausführung, bis eine Antwort vom Emsisoft Antimalwware Network vorliegt, so wie es bei F-Secure gemacht wird? Damit würde verhindert werden, dass ein Programm schon installiert ist, bevor eine Antwort vom EAN vorliegt. Etwas Ähnliches schwebt dem User hier auch vor: http://support.emsisoft.com/topic/25249-behaviour-blocker-anti-malware-network/ Bitte nicht falsch verstehen: Ich will Emsisoft hier nicht ans Bein pinkeln, im Gegenteil, ich mag das Programm sehr. Aber mich treibt doch die Sorge, dass so wie der BB designt ist, hier ein höheres Sicherheitsrisiko besteht, als wenn die Datei vorübergehend an der Ausführung gehindert wird. Ich würde mich freuen, wenn Du die Gründe, warum die Verhaltenserkennung bei Emsisoft so und nicht anders arbeitet, erläutern könntest. Viele Dank! ​
  6. Hallo Fabian. beim Dateiwächter waren keine Einträge vorhanden, jedoch im Verhaltensanalyse-Protokoll, siehe Anhang.
  7. ​ Hallo, während der Installation von Cdex erhielt ich eine Mitteilung, dass die Installationsdatei gefährlich sei und deswegen in Quarantäne verschoben wurde. Die Installation selbst lief aber durch. Nun ist Cdex (runtergeladen bei chip.de) sicherlich keine echte Malware im Sinne eines Trojaners. Ich stelle mir vor, was wäre, wenn ich tatsächlich eine verseuchte Datei des Programmes "XYZ" ausgeführt hätte? Warum greift Emsisoft da so spät ein, nämlich erst dann, wenn es zu spät ist, weil die Software bereits installiert wurde? Warum stoppt Emsisoft nicht die Ausführung der Datei, bis diese analysiert wurde und gibt die Installation erst frei, wenn diese als sauber erkannt wurde? Ich habe dieses Verhalten auf 2 Rechnern gehabt, einmal mit der aktuellen V11 und einmal mit der Beta V 12. Also gibt es in der V12 offensichtlich keine Änderung dieses Verhaltens. ​ ​ ​
  8. Zu 1.) Bei Kaspersky Internet Security und GDATA ist das der Fall. Zu 2.) Birgt das nicht die Gefahr, dass die Verhaltensanalyse zu spät eingreift, so dass z.B. einige Dateien von Ransomware bereits verschlüsselt wurden? ​
  9. Hallo, ich habe mal zwei technische Fragen: 1.) Bei den meisten Third-Party-Firewalls zeigt Windows in der Sektion Windows Firewall an: "Diese Einstellungen werden durch Herstelleranwendung XYZ verwaltet". In den erweiterten Einstellungen der Windows Firewall wird diese als "Ein" gekennezeichnet. Bei Verwendung von EIS ist es anders. In beiden Sektionen ist die Windows Firewall deaktiviert. Was mich interessiert, inwiefern arbeitet die Firewall von Emsisoft anders als die anderer Hersteller? 2.) Prüft die Verhaltensanalyse von Emsisoft jede unbekannte Datei vor Ausführung oder wird erst einmal abgewartet, was diese unbekannte Datei macht und erst bei verdächtigen Aktionen, wie Keylogging oder Eingriffen in die Registry, eingeschritten? Ich meine, dass ich irgendwann mal im englischen Forum gelesen habe, dass die Verhaltensanalyse erst bei verdächtigen Aktionen einschreitet und nicht generell alle unbekannten Dateien überprüft. Leider finde ich den Beitrag nicht mehr...
  10. ​ ​ @Herrn Peters: Wieso kommt der Support nicht auf sowas? Sie haben gesagt, dass Sie das Problem nicht nachvollziehen können. Dabei bin ich nicht der Einzige, der damit Probleme hatte, auch Solution-Design und Darky. Ist toll, dass ein User drauf gekommen ist, darüber habe ich mich sehr gefreut. Aber eigentlich ist der Supprt dafür zuständig... Mich hat das viel Zeit und Nerven gekostet... ​ ​
  11. ​ ​ Hallo KnyZ, jetzt hat es doch ein paar Tag länger gedauert, bis ich dazu gekommen bin. Zuerst habe ich die Firewallpaketregeln, wie von Herrn Peters, gewünscht, auf die Werkseinstellungen zurückgesetzt. Die von Dir genannten Einstellungen im Netzwerk- und Freigabecenter sowie in EIS waren bei mir bereits gesetzt. Daraufhin habe ich die Zeiteinstellung überprüft. Leider war keine Aktualisierung möglich. Daraufhhin habe ich den Port 123 gelöscht. Jetzt konnte die Zeit wieder von Hand aktualisiert werden. Ich werde jetzt in den nächsten Tagen beobachten, ob auch die automatische Aktualisierung wieder geht.Vielen Dank, KnyZ, für Deine Mühe! ​ ​ ​ ​
  12. Hallo KnyZ, bei mir sind es pro Tag ca. 2 Sekunden. Ich werde Deine Tipps austesten und dann melde ich mich in einigen Tagen wieder. Bin ab morgen für 2 Tage weg... Vielen Dank für Deine Mühe!
  13. Hallo ​KnyZ, ​super, dass Du das probieren willst! Das Probem ist mit der Version 1511 aufgetreten. Ich werde jetzt aber den letzten Vorschlag von Christian Peters mit Version 1607 testen. Das Problem ist beim Rechner meiner Frau mit Windows 10 Home aufetreten und bei mir mit Windows 10 Pro. Beides als 64-bit-Version. Wenn Du noch weitere Angaben brauchst, dann bitte melden. Werderforever
  14. Hallo, auch das probiere ich noch mal aus. Es wird wieder einige Tage dauern, bis ichmich melde, da die Zeitabweichung pro Tag ja nur einige Sekunden beträgt.
  15. Ich bin ein wenig enttäuscht. Vor 2 Wochen habe ich gepostet und keine Reaktion vom Support...
  16. Die Abweichung bei EIS besteht auch mit dem Zeitserver der PTB Braunschweig. Bei EAM alles ok...
  17. Hallo Fabian, nochmal danke für Deine schnelle Reaktion. Nix für ungut, aber wenn es um Sicherheit geht, dannmuss ich einfach mal etwas genauer fragen. ​ Belassen wir es erstmal dabei...
  18. Hallo Fabian, danke für Deine Erläuterungen. Es ist erfreulich, dass Emsisoft im Juni bei 0-Day-Malware 100% erzielt hat. Leider gab es aber in den Monaten März, April und Mail jeweils ein Ergebnis von rd. 95%, und das bei zwei verschiedenen Betriebssystemen und zwei Ursachen (März und April: Es gab einen Bug auf Windows 10 Systemen, der vorher nicht aufgefallen ist, der verhindert hat das bestimmte Verhaltenstrigger auf Windows 10 Systemen funktionieren. Juni: Die Downloader basierten auf Java. Der Command Line Parser verstand die Syntax nicht, mit der die Applets ausgeführt wurden. Entsprechend wurde das Verhalten Java zugeordnet, welchem wir explizit vertrauen.) Das hat mein Vertrauen in Emsisoft schon ein wenig erschüttert. Denn die Verhaltenserkennung war doch immer das Prunkstück von Emsisoft. Was ich aber überhaupt nicht verstehe, ist die Begründung, dass eine 15-minütige Verzögerung bei der Übermittlung von BD zu Emsisoft zu schlechteren Ergebnissen bei weit verbreiteter und häufig auftretender Malware führt. Bei 0-Day-Malware könnte ich diese Begründung nachvollziehen, aber "bei weit verbreiteter und häufig auftretender Malware " kann das doch keine Rolle spielen.
  19. Hallo Christian, das werde ich gleich ausprobieren. Da die Uhrzeitabweichung immer nur wenige Sekunden pro Tag betrug, werde ich das jetzt einige Tage austesten und komme dann darauf zurück.
  20. Es gibt wieder einen neuen AV-Test, auf den Patlok bereits hingewiesen hatte: http://support.emsisoft.com/topic/24940-av-test-ergebnisse/ Da ich das Thema ursprünglich eröffnet hatte, schreibe ich aus Gründen der Übersichtlichkeit hier weiter. Der neue Test macht mir ein wenig Bauchschmerzen. Im letzten Test waren die die Resultate mit 95,1 bzw. 95,2% bei Zero-Day-Malware nicht sehr erfreulich. Begründet wurde dies von Fabian durch einen Bug auf Windows 10-Systemen, der unentdeckt blieb und offenbar dazu führte, dass die Verhaltenserkennung nicht einwandfrei funktionierte. Im neuen Test wurde nun auf einem Windows 8.1-System getestet. Im Mai war das Ergebnis mit 95,5% wieder nicht optimal. Dabei war der Bug doch nun bekannt und sollte eigentlich nur Window 10 betreffen. Wie konnte es daher jetzt wieder im Mai zu einem solchen Ergebnis kommen? Und zweitens, bei weit verbreiteter und häufig auftretender Malware wurden 99,9% im Mai und 99,4% im Juni erzielt. Andere Programme mit der Bitdefender-Engine wie Bitdefender selbst, Bullguard, F-Secure und GDATA erzielten jeweils 100%. Rein theoretisch müsste Emsisoft mit 2 Engines ja zumindest das gleiche Ergebnis wie Bitdefender & Co erzielen und kein schlechteres. 99,4% im Juni hören sich erstmal ja auch nicht so schlecht an. Bei 16.735 Samples entsprechen nicht entdeckte 0,6% aber 100 nicht entdeckten Samples und das ist doch eine ganze Menge. Diese Ergebnisse geben mir zu denken, zumal es nun 2 Tests hintereinander mit relativ schwachen Ergebnissen sind. Ich würde mich daher über eine Stellungnahme seitens Emsisoft freuen.
  21. @Christian: Mit EAM keine Uhrzeitprobleme, nur mit EIS. Kann das mit der Firewall zusammenhängen? Und, was kann man tun?
  22. @Solution-Design: Vielen Dank für Deine Info!
  23. Hallo Solution-Design! Was ist bei Deinem Test von EIS in der VM rausgekommen?
  24. Hallo, auf dem Rechner meiner Frau wird mit EAM die korrekte Uhrzeit angezeigt. Werde es jetzt auf meinem Rechner mit EAM probieren und melde mich in den nächsten Tagen.
×
×
  • Create New...