kathrin

Emsisoft Employee
  • Content Count

    751
  • Joined

  • Last visited

  • Days Won

    17

Everything posted by kathrin

  1. Guten Tag, Es gibt bisher kein automatisiertes System mit dem Sie benachrichtigt werden können. Ich werde versuchen Sie zu informieren, falls ich etwas höre. Sicherheitshalber würd ich jedoch empfehlen einmal im Jahr (oder alle 6 Monate), die Datei nochmal bei http://id-ransomware.malwarehunterteam.com/ oder nomoreranomeware.org hochzuladen und zu prüfen. Diese Seiten sind in der Regel sehr aktuell und kooperieren mit allen Forschern in dem Bereich. Mit freundlichen Grüßen Kathrin
  2. Guten Tag, ich würde alle Involvierten bitten sich mehr auf das Thema zu konzentrieren und weniger auf die Meinungen Einzelner. Es freut natürlich zu sehen wieviel Unterstützung hier vorhanden ist, leider ermöglicht das jedoch auch die Art von Diskussionen, die in der Vergangenheit zur Verschlechterung der Atmosphäre beigetragen hat. Wie bereits gesagt, falls ein Grund besteht anzunehmen, dass das Problem nicht auf das Sicherheitscenter zurück zu führen ist, würde ich die Personen bitten einen eigenen Thread zu erstellen und wir können uns dann die Debug Logs dazu anschauen. Mit freundlichen Grüßen Kathrin
  3. Guten Tag, Leider bedeutet das in der Regel, dass die Autoren der Ransomware keine Fehler gemacht haben, wir also keine Schwachstelle finden können um eine Entschlüsselung zu ermöglichen. Es ist dennoch sinnvoll die Dateien aufzubewahren, da es in der Vergangenheit immer mal wieder vorgekommen ist, dass die Autoren selbst die Schlüssel verfügbar gemacht haben oder dass die Polizei die Server der Ransomware beschlagtnahmt haben und dann die Schlüssel veröffentlichen konnten. Ob und wann das passiert, lässt sich jedoch nicht vorhersagen. Mit freundlichen Grüßen Kathrin
  4. Guten Tag, Wir haben in der Vergangenheit unseren AV-Status erst als aktiv gesetzt wenn unser Programm aktualisiert worden war und somit Sie vollkommen geschützt wurden. Andere AVs haben das anders gehandhabt und auch bei veralteten Signaturen den Status als aktiv gesetzt. Dies führte auch zu vielen Anfragen von Kunden (kann man im letzten Jahr auch hier im Forum sehen), sodass wir jetzt unsere Updates bei Bedarf früher starten. Das aktuelle Problem tritt erst seit dem Windows Update 1803 auf. Wir haben uns von verschiedenen Usern Debug Logs geben lassen um das Problem zu lösen. Dabei war das Problem immer, dass das Windows Sicherheitscenter zu spät gestartet ist und so unseren Status nicht korrekt an Windows Defender weitergeben konnte. Wenn Sie glauben, dass sich das Problem bei Ihnen anders verhält, dann kann ich gerne unser Entwickler bitten Ihre Debug Logs zu analysieren um zu sehen ob bei Ihnen ein weiteres, noch unbekanntes Problem existiert. Mit freundlichen Grüßen Kathrin
  5. Das Problem ist nicht ein Emsisoft Problem, es ist ein Windows Problem. Der Dienst für den Windows Sicherheitsdienst startet nicht rechtzeitig, sodass Windows Defender den Status unseres AV nicht abfragen kann und daher annimmt, dass es kein AV gibt. Wir können daran leider nichts tun. Das Problem muss von Microsoft behoben werden, indem es dafür sorgt, dass das Windows Sicherheitscenter läuft wenn der Windows Defender den Status des Antivirenprogramm abfragt. Oder dafür sorgt, dass der Windows Defender sich nicht nach dem Windows Sicherheitscenter richtet. Wir können die Funktionalität von Windows nicht ändern. Mit freundlichen Grüßen Kathrin
  6. Guten Tag, Der Verschlüsseler löscht sich in der Regel selbst nach getaner Arbeit um ein Entschlüsseln schwieriger zu machen. Könnten Sie uns einmal eine verschlüsselte Datei zu kommen lassen, damit wir prüfen können um welche Ransomware es sich handelt? Hängen Sie die Datei bitte hier an oder schicken Sie sie an suppor[email protected] mit einem Verweis auf dieses Forenthema. Mit freundlichen Grüßen Kathrin
  7. Guten Tag, Gerade während des Hochfahrens ist es normal, dass sich der Windows Defender melden kann. Das liegt daran, dass das Sicherheitscenter erst relativ spät selbst aktiv wird und nach aktivem Antivirenprogramm fragt. Solange dieses die Info jedoch nicht parat hat, ist der Windows Defender aktiv. Wenn Windows dann vollständig hochgefahren und aktiv ist, sollte sich der Windows Defender jedoch deaktivieren, weil er merkt, dass Emsisoft aktiv ist. Dieses Problem wurde auch hier im Forum bereits diskutiert: https://support.emsisoft.com/topic/29478-eam-windows-10-1803-und-das-wd-security-center/ Daran können wir leider nicht viel ändern, da es sich um eine Verzögerung im Windows-Betrieb handelt, auf die wir keinen Einfluss haben. Wir können jedoch definitiv sagen, dass Emsisoft aktiv ist und Sie schützt, auch wenn das Windows Sicherheitscenter davon nichts weiß. Mit freundlichen Grüßen Kathrin
  8. Vielen Dank für die Dateinamen, wie bereits per Mail erwähnt, handelt es sich bei den Dateien um die Signaturupdates von Emsisoft. Sprich es handelt sich um eine Fehlerkennung von Windows Defender und Ihr Rechner sollte nicht befallen sein. Wenn Windows Defender unsere Updates in Quarantäne geschoben hat, kann es sein, dass Emsisoft sich von "beschützt" auf "ungeschützt" gestellt hat, weil die Signaturen veraltet waren und das Update fehlgeschlagen ist. Sollte dies erneut auftreten, würde ich Sie bitten sich nochmal bei uns zu melden. Mit freundlichen Grüßen Kathrin
  9. Guten Tag, Vielen Dank für das Einsenden des Logs. Ich sehe dort eigentlich keinen Grund zur Beunruhigung. Wie sie selbst schon sagen, war Emsisoft eigentlich aktiv. Einzig am 6.7 wurde ein Neustart des Programms durchgeführt. Sonst wurde Emsisoft nur durch die Abschaltung des Rechners deaktiviert. Könnten Sie einmal auf den Erkennungen von Windows Defender auf den "Pfeil nach unten" klicken, der bei den Erkennungen zu sehen ist und dort auf Details? Dort sollte die beanstandete Datei aufgeführt werden. Ist Windows Defender weiterhin bei Ihnen aktiv? Falls ja, könnten Sie einmal Emsisoft Anti-Malware und unter Einstellungen -> Erweitert schauen ob der Haken bei "Integration in das Windows-Sicherheitscenter" gesetzt ist? Falls dieser fehlt, denkt Windows Defender Emsisoft ist deaktiviert, obwohl dies nicht der fall ist. Mit freundlichen Grüßen Kathrin
  10. Guten Tag, Emsisoft beinhaltet ein Log aller getroffenen Entscheidungen und Handlungen. Öffnen Sie dafür Emsisoft Anti-Malware und klicken Sie auf Protokolle. Dort sehen das Protokoll. Falls Sie nicht direkt das Anhalten des Schutze in der Komponente sehen können, können Sie oben rechts auf "Hauptkomponente" klicken. Wählen Sie dann "alles auswählen" ab und anschließend "Hauptkomponente" an. Damit sollten Sie die Statusänderungen des Programms sehen, wie zum Beispiel ein aktivieren/deaktivieren des Schutzes. Ich würde Sie zudem gerne bitten uns einmal die Protokolle zukommen zu lassen. Öffnen Sie dafür Emsisoft Anti-Malware klicken Sie auf unten auf "Support" und dann auf E-Mail senden. Wählen Sie auf der rechten Seite die Protokoll Datenbank an und füllen Sie anschließend das Formular aus. Fügen Sie bitte einen Link zu diesem Thema in die E-Mail ein, damit wir die Protokolle Ihnen zuordnen können. Dann schaue ich mir die Protokolle auch nochmal an um zu sehen ob ich erkennen kann was passiert ist. Mit freundlichen Grüßen Kathrin
  11. Guten Tag, ich möchte das hier auch nochmal bestätigen, unser Support ist für unsere Kunden kostenlos ob hier im Forum oder per Mail an [email protected] Mit freundlichen Grüßen Kathrin
  12. Guten Tag onegasee59, Vielen Dank für Ihren Hinweis, ich habe Ihn an unsere Entwickler weitegeleitet. Mit freundlichen Grüßen Kathrin
  13. Guten Tag, Ja in der Tat. Ich hatte gesehen, dass das Programm in den Berichten von FRST auftaucht, daher meine Vermutung. Mit freundlichen Grüßen Kathrin
  14. Guten Tag, Dateien die in "msi" enden sind Installationsdateien. Es handelt sich also um Dateien die man einmal ausführt um das entsprechende Programm zu installieren. Entweder man führt die Datei nicht aus, dann ist das Programm nicht installiert und ein Löschen ist unbedenklich oder man führt die Datei aus, dann ist das Programm installiert und die Datei wird nicht länger benötigt. Auch dann ist ein Löschen unbedenklich. Der Ordner simplitec scheint mit Magix in Zusammenhang zu stehen, wobei ich nicht sicher bin ob die Komponente zum Funktionieren des Programms an sich wirklich notwendig ist. Mit freundlichen Grüßen Kathrin
  15. Guten Tag, Sie haben recht. Die neue Funktion erstellt eine Art Sandbox für die geschützten Prozesse, dafür wird die Virtualisierung genutzt, die sonst von VmWare genutzt werden würde. Der von Ihnen verlinkte Artikel scheint eine automatische Übersetzung des folgenden englischen Artikel zu sein: https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/ Eventuell ist der Artikel für einige verständlicher als die automatische Übersetzung. Mit freundlichen Grüßen Kathrin
  16. Guten Tag, Entschuldigen Sie bitte die späte Rückmeldung. Wir hatten die Datei noch bei Bitdefender kontrollieren lassen, da diese die Datei ursprünglich erkannt haben. Es scheint sich dabei nicht, wie von mir vermutet um eine Fehlerkennung zu handeln, sondern um einen Installer, der in der Tat potentiell unerwünschte Programme mitinstalliert. Diese Programme sind jedoch in Ihren Logs nicht zu sehen. Das heißt Sie haben den Installer entweder nicht ausgeführt oder die Komponente während der Installation abgewählt. Wenn Sie die Datei löschen wollen, sollten Sie dies einfach selbst im Explorer tun können. Mit freundlichen Grüßen Kathrin
  17. Guten Tag olynt, Der FRST Bericht sieht erstmal unbedenklich aus. Daher würde ich die von Emsisoft monierte Datei gerne von unseren Analysten genauer inspizieren lassen. Könnten Sie uns diese zukommen lassen? Falls Sie die Datei bereits von Emsisoft in Quarantane haben verschieben lassen, können Sie Emsisoft öffnen, dort auf Quarantäne klicken, die Datei anwählen und anschließend auf "falschenFund" klicken. Damit können Sie die Datei direkt an unsere Analysten schicken. Falls Sie die Datei noch nicht in Quarantäne verschoben haben, würde ich Sie bitten diese entweder hier anzuhängen oder per Uploadformular hier hochladen: https://www.emsisoft.com/de/support/submit/ Falls Sie die Datei nicht hier anhängen, würde ich Sie bitten einen Link zu diesem Thema in der Beschreibung mitzuschicken, damit die Datei leichter zugeordnet werden kann. Mit freundlichen Grüßen Kathrin
  18. Guten Tag, Vielen Dank stapp, dass Sie so schnell versucht haben zu helfen. Ich möchte noch ein paar Details hinzufügen: Programme, die von uns automatisch von der Überwachung ausgenommen werden und Programme, die von Ihnen als gutartig eingestuft wurden erhalten unterschiedliche Bezeichnungen daran können Sie sie unterschieden. Die Liste der Prozesse bei der Verhaltensanalyse enthält zudem alle laufenden Prozesse und alle von Ihnen erstellten Regeln. Dies ist allerdings in der Tat nicht intuitiv ersichtlich. Um sich die von Ihnen erstellten Regeln anzuschauen gehen Sie bitte wie folgt vor: Öffnen Sie bitte Emsisoft, klicken Sie auf Schutz und anschließend auf Verhaltensanalyse. Dort erhalten Sie den bereits erwähnten Überblick der laufenden Prozesse und Regeln. Sie können die Liste der Prozesse nach dem Status sortieren, indem Sie ganz rechts auf Status klicken. Dabei gibt es vier Kategorieren: überwacht - wird von unserer Verhaltensanalyse überwacht nicht überwacht - wird von unserer Verhaltensanalyse automatisch als gutartig erkannt vertrauenswürdig - die Datei wurde von Ihnen als gutartig eingestuft. blockiert - die Datei wurde von Ihnen als nicht vertrauenswürdig eingestuft. Alle Programme, die Sie erlaubt haben finden Sie unter Vertauenswürdig, alle Programme, die Sie blockiert haben finden Sie unter Blockiert. Mit freundlichen Grüßen Kathrin
  19. Guten Tag, Vielen Dank für den Hinweis. Ich habe Ihn an unsere Entwickler weitergegeben. Mit freundlichen Grüßen Kathrin
  20. Guten Tag, Wir kooperieren mit mehreren Antivirenanbietern beim Surfschutz. Das heißt wir übernehmen deren Listen um neue Seiten möglichst schnell zu blockieren (und stellen unsere neuen Einträge ebenfalls zur Verfügung). Einige Anbieter nutzen bei der Erkennung von neuen schädlichen Seiten Programme, die die Erkennung und Kategorisierung automatisieren. Dabei werden täglich derart viele Seiten hinzugefügt, dass wir diese nicht alle von Hand kontrollieren können. Gelegentlich werden dabei auch legitime Einträge hinzugefügt wie Twitter oder Microsoft. Wie genau es dazu kommt kann ich nicht sagen. Vermutlich passiert es, wenn eine Phishing-Seite Bilder oder Inhalte von einer legitimen Seite lädt um sich als diese auszugeben und das Programm nicht korrekt zwischen dem Teil, der das Passwort stehlen will und der echten Seite unterscheiden kann. Mit freundlichen Grüßen Kathrin
  21. Guten Tag Skandal, Vielen Dank für die Meldung. Unsere Analysten haben den Fehler korrigiert. Die Erkennung wird mit dem nächsten Update behoben sein. Mit freundlichen Grüßen Kathrin
  22. Guten Tag, Das Problem bei den Logs die wir eingesehen haben, war dass die Dienste des Sicherheitscenter noch nicht geladen waren und daher auch unsere, bereits aktive, Antivirensoftware nicht prüfen konnten. Wir haben keinen Einfluss darauf wie und wann Windows die Dienste für sein Sicherheitscenter lädt. Daher können wir dies auch nicht beeinflussen. Mit freundlichen Grüßen Kathrin
  23. Vielen Dank für die Information. Ich habe dies an unsere Analysten weitergegeben. Mit freundlichen Grüßen Kathrin