Jump to content

kathrin

Emsisoft Employee
  • Posts

    751
  • Joined

  • Last visited

  • Days Won

    17

Posts posted by kathrin

  1. Guten Tag,

     

    ich würde alle Involvierten bitten sich mehr auf das Thema zu konzentrieren und weniger auf die Meinungen Einzelner. Es freut natürlich zu sehen wieviel Unterstützung hier vorhanden ist, leider ermöglicht das jedoch auch die Art von Diskussionen, die in der Vergangenheit zur Verschlechterung der Atmosphäre beigetragen hat.

     

    Wie bereits gesagt, falls ein Grund besteht anzunehmen, dass das Problem nicht auf das Sicherheitscenter zurück zu führen ist, würde ich die Personen bitten einen eigenen Thread zu erstellen und wir können uns dann die Debug Logs dazu anschauen.

     

    Mit freundlichen Grüßen

    Kathrin

  2. Guten Tag,

    Wir haben in der Vergangenheit unseren AV-Status erst als aktiv gesetzt wenn unser Programm aktualisiert worden war und somit Sie vollkommen geschützt wurden. Andere AVs haben das anders gehandhabt und auch bei veralteten Signaturen den Status als aktiv gesetzt. Dies führte auch zu vielen Anfragen von Kunden (kann man im letzten Jahr auch hier im Forum sehen), sodass wir jetzt unsere Updates bei Bedarf früher starten.

    Das aktuelle Problem tritt erst seit dem Windows Update 1803 auf. Wir haben uns von verschiedenen Usern Debug Logs geben lassen um das Problem zu lösen. Dabei war das Problem immer, dass das Windows Sicherheitscenter zu spät gestartet ist und so unseren Status nicht korrekt an Windows Defender weitergeben konnte.

    Wenn Sie glauben, dass sich das Problem bei Ihnen anders verhält, dann kann ich gerne unser Entwickler bitten Ihre Debug Logs zu analysieren um zu sehen ob bei Ihnen ein weiteres, noch unbekanntes Problem existiert.

    Mit freundlichen Grüßen
    Kathrin
     

     

  3. Das Problem ist nicht ein Emsisoft Problem, es ist ein Windows Problem. Der Dienst für den Windows Sicherheitsdienst startet nicht rechtzeitig, sodass Windows Defender den Status unseres AV nicht abfragen kann und daher annimmt, dass es kein AV gibt.

     

    Wir können daran leider nichts tun. Das Problem muss von Microsoft behoben werden, indem es dafür sorgt, dass das Windows Sicherheitscenter läuft wenn der Windows Defender den Status des Antivirenprogramm abfragt. Oder dafür sorgt, dass der Windows Defender sich nicht nach dem Windows Sicherheitscenter richtet. Wir können die Funktionalität von Windows nicht ändern.

     

    Mit freundlichen Grüßen

    Kathrin

    • Upvote 1
    • Downvote 1
  4. Guten Tag,

     

    Gerade während des Hochfahrens ist es normal, dass sich der Windows Defender melden kann. Das liegt daran, dass das Sicherheitscenter erst relativ spät selbst aktiv wird und nach aktivem Antivirenprogramm fragt. Solange dieses die Info jedoch nicht parat hat, ist der Windows Defender aktiv. Wenn Windows dann vollständig hochgefahren und aktiv ist, sollte sich der Windows Defender jedoch deaktivieren, weil er merkt, dass Emsisoft aktiv ist. Dieses Problem wurde auch hier im Forum bereits diskutiert: https://support.emsisoft.com/topic/29478-eam-windows-10-1803-und-das-wd-security-center/
    Daran können wir leider nicht viel ändern, da es sich um eine Verzögerung im Windows-Betrieb handelt, auf die wir keinen Einfluss haben. Wir können jedoch definitiv sagen, dass Emsisoft aktiv ist und Sie schützt, auch wenn das Windows Sicherheitscenter davon nichts weiß.

    Mit freundlichen Grüßen

    Kathrin

     

  5. Vielen Dank für die Dateinamen, wie bereits per Mail erwähnt, handelt es sich bei den Dateien um die Signaturupdates von Emsisoft. Sprich es handelt sich um eine Fehlerkennung von Windows Defender und Ihr Rechner sollte nicht befallen sein.

     

    Wenn Windows Defender unsere Updates in Quarantäne geschoben hat, kann es sein, dass Emsisoft sich von "beschützt" auf "ungeschützt" gestellt hat, weil die Signaturen veraltet waren und das Update fehlgeschlagen ist. Sollte dies erneut auftreten, würde ich Sie bitten sich nochmal bei uns zu melden.

     

    Mit freundlichen Grüßen

    Kathrin

  6. Guten Tag,

    Vielen Dank für das Einsenden des Logs. Ich sehe dort eigentlich keinen Grund zur Beunruhigung. Wie sie selbst schon sagen, war Emsisoft eigentlich aktiv. Einzig am 6.7 wurde ein Neustart des Programms durchgeführt. Sonst wurde Emsisoft nur durch die Abschaltung des Rechners deaktiviert.

    Könnten Sie einmal auf den Erkennungen von Windows Defender auf den "Pfeil nach unten" klicken, der bei den Erkennungen zu sehen ist und dort auf Details? Dort sollte die beanstandete Datei aufgeführt werden.

     

    Ist Windows Defender weiterhin bei Ihnen aktiv? Falls ja, könnten Sie einmal Emsisoft Anti-Malware und unter Einstellungen -> Erweitert schauen ob der Haken bei "Integration in das Windows-Sicherheitscenter" gesetzt ist? Falls dieser fehlt, denkt Windows Defender Emsisoft ist deaktiviert, obwohl dies nicht der fall ist.

     

    Mit freundlichen Grüßen

    Kathrin
     

  7. Guten Tag,

     

    Emsisoft beinhaltet ein Log aller getroffenen Entscheidungen und Handlungen. Öffnen Sie dafür Emsisoft Anti-Malware und klicken Sie auf Protokolle. Dort sehen das Protokoll. Falls Sie nicht direkt das Anhalten des Schutze in der Komponente sehen können, können Sie oben rechts auf "Hauptkomponente" klicken. Wählen Sie dann "alles auswählen" ab und anschließend "Hauptkomponente" an. Damit sollten Sie die Statusänderungen des Programms sehen, wie zum Beispiel ein aktivieren/deaktivieren des Schutzes.

     

    Ich würde Sie zudem gerne bitten uns einmal die Protokolle zukommen zu lassen. Öffnen Sie dafür Emsisoft Anti-Malware klicken Sie auf unten auf "Support" und dann auf E-Mail senden. Wählen Sie auf der rechten Seite die Protokoll Datenbank an und füllen Sie anschließend das Formular aus. Fügen Sie bitte einen Link zu diesem Thema in die E-Mail ein, damit wir die Protokolle Ihnen zuordnen können. Dann schaue ich mir die Protokolle auch nochmal an um zu sehen ob ich erkennen kann was passiert ist.

     

    Mit freundlichen Grüßen

    Kathrin

  8. Guten Tag,

     

    Sie haben recht. Die neue Funktion erstellt eine Art Sandbox für die geschützten Prozesse, dafür wird die Virtualisierung genutzt, die sonst von VmWare genutzt werden würde.

    Der von Ihnen verlinkte Artikel scheint eine automatische Übersetzung des folgenden englischen Artikel zu sein: https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/ Eventuell ist der Artikel für einige verständlicher als die automatische Übersetzung.

    Mit freundlichen Grüßen

    Kathrin

  9. Guten Tag,

     

    Vielen Dank stapp, dass Sie so schnell versucht haben zu helfen. Ich möchte noch ein paar Details hinzufügen:

    Programme, die von uns automatisch von der Überwachung ausgenommen werden und Programme, die von Ihnen als gutartig eingestuft wurden erhalten unterschiedliche Bezeichnungen daran können Sie sie unterschieden. Die Liste der Prozesse bei der Verhaltensanalyse enthält zudem alle laufenden Prozesse und alle von Ihnen erstellten Regeln. Dies ist allerdings in der Tat nicht intuitiv ersichtlich.

    Um sich die von Ihnen erstellten Regeln anzuschauen gehen Sie bitte wie folgt vor: Öffnen Sie bitte Emsisoft, klicken Sie auf Schutz und anschließend auf Verhaltensanalyse. Dort erhalten Sie den bereits erwähnten Überblick der laufenden Prozesse und Regeln.

    Sie können die Liste der Prozesse nach dem Status sortieren, indem Sie ganz rechts auf Status klicken. Dabei gibt es vier Kategorieren:

    1. überwacht - wird von unserer Verhaltensanalyse überwacht
    2. nicht überwacht -  wird von unserer Verhaltensanalyse automatisch als gutartig erkannt
    3. vertrauenswürdig -  die Datei wurde von Ihnen als gutartig eingestuft.
    4. blockiert -  die Datei wurde von Ihnen als nicht vertrauenswürdig eingestuft.

    Alle Programme, die Sie erlaubt haben finden Sie unter Vertauenswürdig, alle Programme, die Sie blockiert haben finden Sie unter Blockiert.

     

    Mit freundlichen Grüßen

    Kathrin

  10. Guten Tag,

     

    Wir kooperieren mit mehreren Antivirenanbietern beim Surfschutz. Das heißt wir übernehmen deren Listen um neue Seiten möglichst schnell zu blockieren (und stellen unsere neuen Einträge ebenfalls zur Verfügung). Einige Anbieter nutzen bei der Erkennung von neuen schädlichen Seiten Programme, die die Erkennung und Kategorisierung automatisieren. Dabei werden täglich derart viele Seiten hinzugefügt, dass wir diese nicht alle von Hand kontrollieren können. Gelegentlich werden dabei auch legitime Einträge hinzugefügt wie Twitter oder Microsoft.

    Wie genau es dazu kommt kann ich nicht sagen. Vermutlich passiert es, wenn eine Phishing-Seite Bilder oder Inhalte von einer legitimen Seite lädt um sich als diese auszugeben und das Programm nicht korrekt zwischen dem Teil, der das Passwort stehlen will und der echten Seite unterscheiden kann.

     

    Mit freundlichen Grüßen

    Kathrin

  11. Guten Tag,

     

    Das Problem bei den Logs die wir eingesehen haben, war dass die Dienste des Sicherheitscenter noch nicht geladen waren und daher auch unsere, bereits aktive, Antivirensoftware nicht prüfen konnten. Wir haben keinen Einfluss darauf wie und wann Windows die Dienste für sein Sicherheitscenter lädt. Daher können wir dies auch nicht beeinflussen.

    Mit freundlichen Grüßen

    Kathrin

  12. Guten Tag,

     

    Leider können die Entwickler anhand der IP-Adressen nicht klar sagen, was die Funktion ist. Sie würden Sie daher gerne bitten eine der Anfragen aufzuzeichen um zu verstehen, welche Anfrage dies ist.

     

    Könnten Sie dafür bitte Fiddler installieren: https://www.telerik.com/download/fiddler

    Öffnen Sie anschließend Emsisoft Anti-Malware und klicken Sie auf Einstellungen und dort auf Updates. Unten rechts finden Sie den Button "Proxy-Einstellungen" aktivieren Sie dort den Proxy und geben Sie als Proxy 127.0.0.0.1 und als Port 8888. Damit sollte sämtlicher Traffic von Emsisoft über Fiddler laufen.

     

    Sie können bei Fiddler zusätzlich noch einen Filter setzen, der Ihnen nur die Ergebnisse für a2guard anzeigt. Klicken Sie dafür in Fiddler auf "Filter" und setzen dort den Haken bei "Show only traffic from", wählen Sie da a2guard.exe aus. Damit werden Ihnen nur die Verbindungen für a2guard angezeigt. Wenn eine Verbindung von a2guard aufgebaut wurde, würde ich Sie bitten den Eintrag per Doppelklick auszuwählen. Dann erscheint der Header und Inhalt der Anfrage. Könnten Sie uns davon bitte einen Screenshot schicken.

    Mit freundlichen Grüßen

    Kathrin

  13. Guten Tag,

     

    Der Staatstrojaner tut genau das was andere Trojaner auch tun: Er installiert sich heimlich, er liest Daten aus und sendet diese an externe Personen. Das sind alles Aktionen, die wir keinem Trojaner erlauben, auch dem Staatstrojaner nicht.

    Wir brauchen keine gesonderte Erkennung der Dateien des Staatstrojaner für unserem Antivirenprogramm, da unsere Verhaltensanalyse derartige Verhalten bereits als bösartig erkennt und blockiert. Wie bereits an anderer Stelle gesagt: Unsere Verhaltensanalyse unterscheidet nicht zwischen Staats- und Nichtstaatstrojaner: Ein unbekannter Prozess versucht Daten von Ihrem Rechner zu versenden: Das wird als suspekt blockiert. Ein unbekanntes Programm versucht sich ohne Ihr Wissen zu installieren: das wird als suspekt blockiert.

    Deswegen gehen wir in der Hinsicht auch auf Rechtsprechung ein: Wir wollen klar sagen, dass uns die Regierung nicht zwingen kann den Staatstrojaner als "bekannten, gutartigen Prozess" einzustufen und das wäre der einzige Weg mit dem man den Staatstrojaner an unserer Verhaltensanalyse vorbeischleusen könnte.

     

    Mit freundlichen Grüßen

    Kathrin

  14. Guten Tag pupbuster,

     

    Wir empfehlen ganz allgemein nicht den Windows Defender permanent zu deaktivieren. Wenn Sie diesen aktiviert lassen, dann deaktiviert Windows diesen automatisch wenn ein anderes Antivirenprogramm aktiv ist. Wenn das Programm nicht aktiv ist, so schützt Windows Defender Sie dann. Dies kann passieren, wenn zum Beispiel länger keine Updates bezogen wurden oder andere Programme unser Programm bei der Arbeit behindern.

     

    Mit freundlichen Grüßen

    Kathrin

×
×
  • Create New...