kathrin

Emsisoft Employee
  • Content Count

    751
  • Joined

  • Last visited

  • Days Won

    17

Everything posted by kathrin

  1. Guten Tag, Vielen Dank für die Antwort. Falls Sie sonst noch Informationen haben, die uns helfen könnten das Problem einzugrenzen, lassen Sie uns dies bitte wissen. Mit freundlichen Grüßen Kathrin
  2. Guten Tag, Wissen Sie welchen BSOD Code die Deinstallation ausgelöst hat? Kommen Sie noch in den abgesicherten Modus? Mit freundlichen Grüßen Kathrin
  3. Guten Tag, Handelt es sich bei dem Rechner um einen HP Rechner? Friert der Rechner beim Hochfhren im abgesicherten Modus auch ein?
  4. Guten Tag, Vielen Dank für die Details. Es könnte sein, dass Ihr Rechner nach einem Absturz automatisch neustartet. Daher sehen Sie diese "Schleife". Verstehe ich Ihre Antwort dahingehend richtig, dass der abgesicherte Modus noch funktioniert? Falls ja könnten Sie bitte einmal diese Einstellungen vornehmen um den Neustart zu deaktivieren: 1. Öffnen Sie die Systemsteuerung, z.B. indem Sie mit den Tasten Windows + X das Schnellstartsystem aufrufen und dort auf den Menüpunkt Systemsteuerung klicken. 2. Wählen Sie den Eintrag System (Ansicht der Systemsteuerung auf "Große Symbole"). 3. Klicken Sie, im sich nun öffnenden Fenster links in der Aufgabenleiste, auf den Menüpunkt Erweiterte Systemeinstellungen. 4. Klicken Sie im Abschnitt Starten und Wiederherstellen auf die Schaltfläche Einstellungen. 5. Entfernen Sie im Bereich Systemfehler das Häkchen vor der Option Automatisch Neustart durchführen und bestätigen Sie die Änderung mit einem Klick auf die Schaltfläche OK. Sagen Sie mir anschließend bitte ob und wenn ja welche Meldung auf Ihrem Bildschirm erscheint. Mit freundlichen Grüßen Kathrin
  5. Guten Tag, Haben Sie einen HP-Rechner? Können Sie sich erinnern wann Sie den Rechner das letzte Mal neugestartet hatten? Hatten Sie nach dem letzten Update von Emsisoft den Rechner neugestartet? Mit freundlichen Grüßen Kathrin
  6. Guten Tag, Das freut zu hören. Bei weiteren Fragen stehe ich gerne zur Verfügung! Mit freundlichen Grüßen Kathrin
  7. Guten Tag Optimist, Ich kann Ihre Entscheidung nachvollziehen, auch wenn es mir natürlich Leid tut Sie zu verlieren. Ich hoffe, dass Sie uns aber dennoch auch in Zukunft hier erhalten bleiben und wünsche Ihnen ein angenehmes Rest-Wochenende. Mit freundlichen Grüßen Kathrin
  8. Guten Tag, Der Wert braucht nicht wieder gesetzt zu werden. Microsoft sollte Ihnen auch zukünftig Updates ohne diesen Schlüssel installieren. Zum einen werden wir den Wert bei den nächsten Updates nicht mehr verändern, von daher sollte es keine Gefahr geben. Zudem haben wir den Schlüssel jetzt auch korrekt konfiguriert, sodass Sie auch in Zukunft, wenn ein anderes Programm sich dort eintragen möchte keine Probleme haben sollten. Mit freundlichen Grüßen Kathrin
  9. Hi, Wir sind noch dabei alle Ursachen zu erkunden. Ihr Rechner ist der erste bei dem wir in der Lage waren den Registry-Eintrag vor der Installation von Emsisoft einzusehen und zu verstehen wieso die Korruption stattfindet. Ich war zwar recht zuversichtlich, dass das Problem nur die Registry betrifft, aber es hätte durchaus sein können, dass es bei der Installation zwei Probleme gab und nicht nur eins. Es hätte zum Beispiel sein können, dass die dazugehörige Datei ebenfalls nicht kopiert worden ist. Es hätte auch einfach passieren können dass Sie oder ich beim tippen ein Fehler gemacht haben und dann statt eppdisk, epdisk im Eintrag steht und der Rechner trotzdem nicht bootet. Bootet der Rechner nicht mehr und Sie wollen ihn reparieren, würde ich die Anleitung ohne große Warnung rausgeben.. Schlimmer kann es ja nicht mehr werden. Aber Sie hatten einen funktionalen Rechner und es bestand das Risiko, das dieser sich wieder in einen kaputten Rechner verwandelt. Da bin ich dann etwas vorsichtiger. Mit freundlichen Grüßen Kathrin
  10. Guten Tag, Es gibt eine Lösung, die jedoch etwas riskant ist. Sie können Emsisoft wie gewohnt installieren. Nach der Installation (und vor dem Neustart) öffnen Sie regedit erneut und gehen wieder zu dem oben genannten Registryschlüssel: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}] Schauen Sie dort auf den Wert UpperFilters. Dieser sollte zwei Einträge haben: Partmgr und eppdisk. Wenn dort zusätzliche unleserliche (zb chinesische) Zeichen sind (beziehungsweise statt eppdisk), dann konnte der Wert nicht korrekt gesetzt werden. Machen Sie einen Doppeklick auf den Wert Upperfilters um diesen zu editieren. Sie sollten dann auf der ersten Zeile partmgr stehen haben. Löschen Sie die Sonderzeichen auf der nächsten Zeile und, wenn notwendig, ersetzen Sie diese durch eppdisk. partmgr und eppdisk müssen auf zwei unterschiedlichen Zeilen stehen. Sonst sollte sich in dem Eintrag nichts befinden. Damit sollten Windows und Emsisoft wie gewohnt starten können. Es bleibt ein kleines Restrisiko, dass dies nicht korrekt funktioniert und Sie anschließend nicht booten können. Sollte dies der Fall sein, würde ich Sie bitten sich bei mir zu melden, dann können wir nochmal versuchen die Registry von der Wiederherstellungskonsole aus zu editieren. Mit freundlichen Grüßen Katrhin
  11. Guten Tag, Ich habe nochmal mit unseren Analysten gesprochen. Die Ausführung des Exploits sollte verhindert werden. Die Meldung erscheint jedoch während unseres Rootkitscans, da dieser testet ob die Schwachstelle ausgenutzt wurde. Wenn die Schwachstelle nicht ausgenutzt wurde, dann erscheint keine Meldung. Wurde die Schwachstelle ausgenutzt, erhalten Sie die Erkennung, die Sie oben erhalten haben. Dabei gilt, dass die Erkennung immer nur bis zum letzten Neustart zurückgeht. Wenn der Exploit vorher verwendet wurde, erkennen wir dies nicht mehr. Benutzen Sie eine Firewall? Falls nein, wäre dies ein erster Schritt gegen diese Art von Infektion. Der Exploit spricht Ihren Rechner direkt aus dem Internet an. Können Sie einmal "Update" in die Suche im Startmenü eingeben und dort auf Windows Updates klicken. Damit können Sie nach Updates für Ihren Rechner suchen und diese auch installieren. Im Hinblick auf Wannacry: Ja und Nein. Die Schwachstelle EternalBlue (die hier ausgenutzt werden soll) wurde von der NSA genutzt um Zugriff auf Rechnern zu erlangen. Das dazugehörige Programm Doublepulsar (auch von der NSA), dass die Schwachstelle ausnutzt um diesen Zugriff zu erlangen, wurde Anfang letzten Jahres publik. Danach gab es eine ganze Herde von Malware, die dieses Programm nutzten um sich Zugriff auf den Rechner zu beschaffen. Die bekannteste, wenn auch nicht erste, war dabei WannaCry. Mit freundlichen Grüßen Kathrin
  12. Guten Tag Optimist, Das tut mir Leid! Ich hatte nicht verstanden, dass Sie dieses Problem ebenfalls gehabt haben. Haben Sie den Rechner bereits zurückgesetzt? Falls nicht können wir den betroffenen Registry-Eintrag eventuell noch von Hand korrigieren und so den Rechner wieder zum booten kriegen. @brain_ticket Vielen Dank für den Export. Dieser bestätigt, dass auf HP Rechnern der UpperFilters-Wert scheinbar nicht korrekt implementiert ist, sodass beim Einfügen unseres Wertes Datensalat eingesetzt wird. Letztlich fehlt bei dem Wert der Stopper. Wir lesen jedoch den Wert (wie von Microsoft vorgesehen) bis zum nächsten Stopper aus und erhalten dadurch den Datensalat, der eigentlich bereits zu einem anderen Wert gehört. Wir werden schauen wie wir dieses Problem umgehen können, da es unwahrscheinlich ist, dass HP nachrüstet. Mit freundlichen Grüßen Kathrin
  13. Guten Tag brain_ticket, Vielen Dank für die Rückmeldung. Die Tatsache, dass Sie ein HP Notebook besitzen, bestätigt weiter, dass es sich hier um einen Konflikt von unserem Programm mit HP Rechner handeln. Leider sind wir noch nicht ganz auf die Ursache gestoßen. Könnten Sie bitte einen Registry-Export für mich erstellen? Den würde ich unseren Entwicklern geben, damit diese sich das Problem näher anschauen können. Geben Sie dafür bitte regedit in die Suche im Starmenü ein und führen Sie den Registry-Editor anschließend aus. Sie erhalten eine Warnung dass das Verändern der Registry gefährlich ist, bestätigen Sie diese bitte. Wir werden keine Veränderung vornehmen. Klicken Sie anschließend auf HKEY_LOCAL_MACHINE und klappen den Eintrag aus. Wählen Sie dann SYSTEM, CurrentControlSet, Control und Class an und klappen diese aus. Scrollen Sie dort zu den Einträgen die mit {4d36 beginnen und suchen Sie da den Eintrag raus wo auf der rechten Seite für den Wert mit Namen (Standard) die Daten DiskDrives steht. Machen Sie einen Rechtsklick auf den Eintrag {4d36....} und wählen Sie exportieren aus. Speichern Sie die Datei an einem Ort Ihrer Wahl und hängen Sie diese bitte an Ihrer nächsten Antwort an. Mit freundlichen Grüßen Kathrin
  14. Guten Tag brain_ticket, Es tut uns Leid, dass Emsisoft Ihnen Probleme bereitet. Könnten Sie mir bitte sagen um was für einen Rechner es sich handelt? Könnten Sie für uns auch einmal schauen ob bei den Abstürzen Memorydumps erstellt wurden. Entweder C:\Windows\Memory.dmp oder in C:\Windows\Minidump (dann mit Datum und Uhrzeit des Absturzes). Könnten Sie mir auch noch ein FRST-Log zukommen lassen: https://helpdesk.emsisoft.com/de/article/274-einen-scan-mit-frst-duchfuehren EDIT: @Optimist Danke für den Link zu dem Sicherheitsupdate. Windows hat dies in der Tat zurückgenommen. In dem Fall handelt es sich leider vermutlich trotzdem um ein von uns verursachtes Problem, weswegen die Startreparatur hier langfristig nicht hilft. Mit freundlichen Grüßen Kathrin
  15. Guten Tag robur, Könnten Sie einmal überprüfen ob Ihr Windows auf dem letzten Stand ist? Doublepulsar ist ein Programm mit dem die Schwachstelle EternalBlue ausgenutzt wird um sich unbemerkt Zugriff auf Ihrem Rechner zu beschaffen. Diese Schwachstelle wurde von Windows Ende letzten Jahres geschlossen. Das Sie von uns die Nachricht erhalten, deutet darauf hin, dass die Schwachstelle bei Ihnen noch existiert. Nach einem Neustart gilt Ihr Rechner solange als 'sauber' bis ein Programm versucht vom Internet aus diese Schwachstelle auszunutzen. Wir verhindern, dass das erfolgreich ist und geben dabei die Meldung aus, die Sie angehängt haben. Bis zum nächsten Neustart erhalten Sie keine Meldung mehr von uns. Die einzige Möglichkeit diese Meldung zu beheben ist das Update KB4012598 von Windows einzuspielen, dass die Schwachstelle behebt. Mit freundlichen Grüßen Kathrin
  16. Guten Tag, Ich drücke die Daumen! Hoffentlich gibt es eine einfache Lösung. Mit freundlichen Grüßen Kathrin
  17. Guten Tag, jetzt sollte es aber tatsächlich soweit sein. Die Scans sollten ab sofort wieder durchlaufen! Mit freundlichen Grüßen Kathrin
  18. Guten Tag, Es handelt sich wahrscheinlich um einen Fehler in unserem letzten Update. Es gibt derzeit eine Beta-Version, die Sie bei Bedarf testen können. Ansonsten würde ich Sie bitten ein paar Tage zu warten. EDIT: Fälschlicherweise hieß es erst das Problem wäre bereits behoben. Dies stimm nicht, wir testen die Lösung noch in unserer Beta-Version. Mit freundlichen Grüßen Kathrin
  19. Guten Tag, Das ist in die Tat noch die Version in der das Problem noch nicht behoben wurde. Könnten Sie nochmal versuchen EEK zu aktualisieren? Mit freundlichen Grüßen Kathrin
  20. Guten Tag, Hat das Update denn funktioniert? Wenn kein Update stattfand, dann wird die Fehlermeldung weiterhin auftreten. Eventuell blockiert eine Firewall den Zugriff auf das Internet? Könnten Sie mir die Versionsnummer ihres EEK (Emsisoft Emergency Kit) nennen? Sie finden SIe indem Sie oben links auf unser Logo klicken. Mit freundlichen Grüßen Kathrin
  21. Guten Tag Cat, Es gibt jetzt eine neue Version für EEK , die das Problem beheben sollte. Sie können diese installieren indem Sie Emsisoft Emergency Kit öffnen und es aktualisieren. EDIT: Die Betaversion ist jetzt auch als stabiles Update verfügbar. Mit freundlichen Grüßen Kathrin
  22. Guten Tag, Ich habe eine Kollegin mit LastPass gebeten zu testen und bei ihr tritt das Problem nicht auf. Daher ist es wahrscheinlich nicht Emsisoft. Ihre Empfehlung war, einmal die Extension von Last Pass neu zu installieren. Vielleicht hilft das? Mit freundlichen Grüßen Kathrin
  23. Guten Tag Optimist, Da habe ich mich schlecht ausgedrückt. Der Miner wird in der Tat bei mir aktiv und von dem Surfschutz bei Edge nicht blockiert. Das Problem des Surfschutze ist bekannt und unsere Entwickler arbeiten an einer Lösung. Ich habe mittlerweile aber auch das Problem mit dem Dateiwächter reproduzieren können: Die PUP-Erkennungen waren bei mir nicht aktiviert, weswegen ich die Quarantäne-Meldung nicht erhalten habe. Es scheint als ob die Mining-Webseite Ihre Skripte abgeändert hat und wir diese daher nicht mehr komplett erkennen. Unsere Analysten arbeiten an einer neuen Erkennung, die das Problem behebt. Es ist jedoch schwer vorherzusagen, wie lange das vorhält. Sobald die Miner merken, dass Sie von Antivirenprogrammen blockiert werden, werden sie das Skript wahrscheinlich erneut verändern. Mit freundlichen Grüßen Kathrin
  24. Guten Tag Optimist, Es tut mir sehr Leid zu hören, dass es zu derartigen Problemen gekommen ist. Es hilft jetzt zwar nicht mehr, aber sollten Sie in der Zukunft nochmal Probleme mit Emsisoft Anti-Malware haben, können Sie in den abgesicherten Modus booten und dort versuchen die Überreste zu entfernen. Emsisoft Anti-Malware startet im abgesicherten Modus nicht und kann es daher auch nicht behindern oder zum Absturz bringen. Ich hatte selbst bereits versucht mit Edge bei edencity die entsprechende Warnung zu verursachen. Habe diese jedoch nicht erhalten. Tritt die Warnung erst bei einer bestimmten Aktion auf? Ich kann bestätigen, dass der Surfschutz bei Edge nicht funktioniert, auch bei mir nicht. Mit freundlichen Grüßen Kathrin
  25. Guten Tag, Soweit ich weiß ist dies ein Problem, das nur bei bestimmten Konstellationen auftritt. Wir testen derzeit eine Beta-Version für Emsisoft Anti-Malware in der dies korrigiert ist. Sollten keine weiteren Probleme auftreten, so werden wir wahrscheinlich Anfang nächster Woche die Version als normales Update veröffentlichen. Mit freundlichen Grüßen Kathrin