kathrin

Emsisoft Employee
  • Content Count

    751
  • Joined

  • Last visited

  • Days Won

    17

Posts posted by kathrin


  1. Guten Tag,

     

    ich denke ich habe hier etwas missverstanden:

     

    @optimist steht der Eintrag eppdisk vor oder nach der Deinstallation noch in der Registry?

     

    @brain_ticket solange wie Sie Emsisoft Anti-Malware installiert haben, sollte der Eintrag vorhanden sein. Ich hatte Optimist so verstanden, dass der Eintrag nach der Deinstallation noch vorhanden ist, was nicht sein sollte. Wenn Emsisoft gelöscht wird, sollte auch eppdisk entfernt werden.

     

    Mit freundlichen Grüßen

    Kathrin


  2. Guten Tag

     

    @Optimist

    Bitte entschuldigen Sie die fehlende Antwort, ich habe unsere Entwickler gefragt ob der Wert so seine Richtigkeit hat. Eigentlich muss das eppdisk entfernt werden. Ich kann Ihnen jedoch nicht sagen ob dies vor oder während des Neustarts passiert. Ich werde mich melden, sobald ich Bescheid weiß.

     

    @galaxy

    Vielen Dank für den Test! Schön, dass es bei Ihnen jetzt funktioniert!

     

    Grüße

    Kathrin


  3. Guten Tag,

     

    Vielen Dank für die Details. Es könnte sein, dass Ihr Rechner nach einem Absturz automatisch neustartet. Daher sehen Sie diese "Schleife".

     

    Verstehe ich Ihre Antwort dahingehend richtig, dass der abgesicherte Modus noch funktioniert? Falls ja könnten Sie bitte einmal diese Einstellungen vornehmen um den Neustart zu deaktivieren:


    1. Öffnen Sie die Systemsteuerung, z.B. indem Sie mit den Tasten Windows + X das Schnellstartsystem aufrufen und dort auf den Menüpunkt Systemsteuerung klicken.

    2. Wählen Sie den Eintrag System (Ansicht der Systemsteuerung auf "Große Symbole").

    3. Klicken Sie, im sich nun öffnenden Fenster links in der Aufgabenleiste, auf den Menüpunkt Erweiterte Systemeinstellungen.

    4. Klicken Sie im Abschnitt Starten und Wiederherstellen auf die Schaltfläche Einstellungen.

    5. Entfernen Sie im Bereich Systemfehler das Häkchen vor der Option Automatisch Neustart durchführen und bestätigen Sie die Änderung mit einem Klick auf die Schaltfläche OK.

     

    Sagen Sie mir anschließend bitte ob und wenn ja welche Meldung auf Ihrem Bildschirm erscheint.

     

    Mit freundlichen Grüßen

    Kathrin


  4. Bonjour,

     

    Nous protégeons contres les virus et les malwares. Le virus est une sorte de malware, c'est pour cette raison que nous utilisons seulement Anti-Malware dans le nom de notre produit (aussi parce que Emsisoft Anti-Malware et Anti-Virus (EAMeAV) serait très long comme nom).

    Notre produit vous protège contre toutes les applications néfastes. Il n'y a pas besoin d'installer un autre anti-virus. Au contraire nous conseillons de ne pas installer d'autres anti-virus car ceux-ci peuvent se handicaper et reduire la sécurité totale de votre système.

     

    Cordialement

    Kathrin

     


  5. Guten Tag,

     

    Der Wert braucht nicht wieder gesetzt zu werden. Microsoft sollte Ihnen auch zukünftig Updates ohne diesen Schlüssel installieren.

    Zum einen werden wir den Wert bei den nächsten Updates nicht mehr verändern, von daher sollte es keine Gefahr geben. Zudem haben wir den Schlüssel jetzt auch korrekt konfiguriert, sodass Sie auch in Zukunft, wenn ein anderes Programm sich dort eintragen möchte keine Probleme haben sollten.

    Mit freundlichen Grüßen

    Kathrin


  6. Hi,

    Wir sind noch dabei alle Ursachen zu erkunden. Ihr Rechner ist der erste bei dem wir in der Lage waren den Registry-Eintrag vor der Installation von Emsisoft einzusehen und zu verstehen wieso die Korruption stattfindet.

    Ich war zwar recht zuversichtlich, dass das Problem nur die Registry betrifft, aber es hätte durchaus sein können, dass es bei der Installation zwei Probleme gab und nicht nur eins. Es hätte zum Beispiel sein können, dass die dazugehörige Datei ebenfalls nicht kopiert worden ist.

    Es hätte auch einfach passieren können dass Sie oder ich beim tippen ein Fehler gemacht haben und dann statt eppdisk, epdisk im Eintrag steht und der Rechner trotzdem nicht bootet.

    Bootet der Rechner nicht mehr und Sie wollen ihn reparieren, würde ich die Anleitung ohne große Warnung rausgeben.. Schlimmer kann es ja nicht mehr werden. Aber Sie hatten einen funktionalen Rechner und es bestand das Risiko, das dieser sich wieder in einen kaputten Rechner verwandelt. Da bin ich dann etwas vorsichtiger. ;)

     

    Mit freundlichen Grüßen

    Kathrin

     


  7. Guten Tag,

    Es gibt eine Lösung, die jedoch etwas riskant ist.

    Sie können Emsisoft wie gewohnt installieren. Nach der Installation (und vor dem Neustart) öffnen Sie regedit erneut und gehen wieder zu dem oben genannten Registryschlüssel:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}]

    Schauen Sie dort auf den Wert UpperFilters. Dieser sollte zwei Einträge haben: Partmgr und eppdisk. Wenn dort zusätzliche unleserliche (zb chinesische) Zeichen sind (beziehungsweise statt eppdisk), dann  konnte der Wert nicht korrekt gesetzt werden.

    Machen Sie einen Doppeklick auf den Wert Upperfilters um diesen zu editieren. Sie sollten dann auf der ersten Zeile partmgr stehen haben. Löschen Sie die Sonderzeichen auf der nächsten Zeile und, wenn notwendig, ersetzen Sie diese durch eppdisk. partmgr und eppdisk müssen auf zwei unterschiedlichen Zeilen stehen. Sonst sollte sich in dem Eintrag nichts befinden.

    Damit sollten Windows und Emsisoft wie gewohnt starten können. Es bleibt ein kleines Restrisiko, dass dies nicht korrekt funktioniert und Sie anschließend nicht booten können. Sollte dies der Fall sein, würde ich Sie bitten sich bei mir zu melden, dann können wir nochmal versuchen die Registry von der Wiederherstellungskonsole aus zu editieren.

     

    Mit freundlichen Grüßen

    Katrhin

     


  8. Guten Tag,

     

    Ich habe nochmal mit unseren Analysten gesprochen. Die Ausführung des Exploits sollte verhindert werden. Die Meldung erscheint jedoch während unseres Rootkitscans, da dieser testet ob die Schwachstelle ausgenutzt wurde. Wenn die Schwachstelle nicht ausgenutzt wurde, dann erscheint keine Meldung. Wurde die Schwachstelle ausgenutzt, erhalten Sie die Erkennung, die Sie oben erhalten haben. Dabei gilt, dass die Erkennung immer nur bis zum letzten Neustart zurückgeht. Wenn der Exploit vorher verwendet wurde, erkennen wir dies nicht mehr.

    Benutzen Sie eine Firewall? Falls nein, wäre dies ein erster Schritt gegen diese Art von Infektion. Der Exploit spricht Ihren Rechner direkt aus dem Internet an.

    Können Sie einmal "Update" in die Suche im Startmenü eingeben und dort auf Windows Updates klicken. Damit können Sie nach Updates für Ihren Rechner suchen und diese auch installieren.

     

    Im Hinblick auf Wannacry: Ja und Nein. Die Schwachstelle EternalBlue (die hier ausgenutzt werden soll) wurde von der NSA genutzt um Zugriff auf Rechnern zu erlangen. Das dazugehörige Programm Doublepulsar (auch von der NSA), dass die Schwachstelle ausnutzt um diesen Zugriff zu erlangen, wurde Anfang letzten Jahres publik. Danach gab es eine ganze Herde von Malware, die dieses Programm nutzten um sich Zugriff auf den Rechner zu beschaffen. Die bekannteste, wenn auch nicht erste, war dabei WannaCry.

     

    Mit freundlichen Grüßen

    Kathrin


  9. Guten Tag Optimist,

     

    Das tut mir Leid! Ich hatte nicht verstanden, dass Sie dieses Problem ebenfalls gehabt haben.

     

    Haben Sie den Rechner bereits zurückgesetzt? Falls nicht können wir den betroffenen Registry-Eintrag eventuell noch von Hand korrigieren und so den Rechner wieder zum booten kriegen.

     

    @brain_ticket

    Vielen Dank für den Export. Dieser bestätigt, dass auf HP Rechnern der UpperFilters-Wert scheinbar nicht korrekt implementiert ist, sodass beim Einfügen unseres Wertes Datensalat eingesetzt wird. Letztlich fehlt bei dem Wert der Stopper. Wir lesen jedoch den Wert (wie von Microsoft vorgesehen) bis zum nächsten Stopper aus und erhalten dadurch den Datensalat, der eigentlich bereits zu einem anderen Wert gehört.

    Wir werden schauen wie wir dieses Problem umgehen können, da es unwahrscheinlich ist, dass HP nachrüstet.

    Mit freundlichen Grüßen

    Kathrin

     


  10. Guten Tag brain_ticket,

     

    Vielen Dank für die Rückmeldung. Die Tatsache, dass Sie ein HP Notebook besitzen, bestätigt weiter, dass es sich hier um einen Konflikt von unserem Programm mit HP Rechner handeln. Leider sind wir noch nicht ganz auf die Ursache gestoßen.

     

    Könnten Sie bitte einen Registry-Export für mich erstellen? Den würde ich unseren Entwicklern geben, damit diese sich das Problem näher anschauen können.

     

    Geben Sie dafür bitte regedit in die Suche im Starmenü ein und führen Sie den Registry-Editor anschließend aus. Sie erhalten eine Warnung dass das Verändern der Registry gefährlich ist, bestätigen Sie diese bitte. Wir werden keine Veränderung vornehmen.

    Klicken Sie anschließend auf HKEY_LOCAL_MACHINE und klappen den Eintrag aus. Wählen Sie dann SYSTEM, CurrentControlSet, Control und Class an und klappen diese aus. Scrollen Sie dort zu den Einträgen die mit {4d36 beginnen und suchen Sie da den Eintrag raus wo auf der rechten Seite für den Wert mit Namen (Standard) die Daten DiskDrives steht.

    Machen Sie einen Rechtsklick auf den Eintrag {4d36....} und wählen Sie exportieren aus. Speichern Sie die Datei an einem Ort Ihrer Wahl und hängen Sie diese bitte an Ihrer nächsten Antwort an.

     

    Mit freundlichen Grüßen

    Kathrin


  11. Guten Tag brain_ticket,

     

    Es tut uns Leid, dass Emsisoft Ihnen Probleme bereitet. Könnten Sie mir bitte sagen um was für einen Rechner es sich handelt? Könnten Sie für uns auch einmal schauen ob bei den Abstürzen Memorydumps erstellt wurden. Entweder C:\Windows\Memory.dmp oder in C:\Windows\Minidump (dann mit Datum und Uhrzeit des Absturzes).

    Könnten Sie mir auch noch ein FRST-Log zukommen lassen: https://helpdesk.emsisoft.com/de/article/274-einen-scan-mit-frst-duchfuehren

     

    EDIT: @Optimist Danke für den Link zu dem Sicherheitsupdate. Windows hat dies in der Tat zurückgenommen.

    In dem Fall handelt es sich leider vermutlich trotzdem um ein von uns verursachtes Problem, weswegen die Startreparatur hier langfristig nicht hilft.

     

    Mit freundlichen Grüßen

    Kathrin


  12. Guten Tag robur,

    Könnten Sie einmal überprüfen ob Ihr Windows auf dem letzten Stand ist?

    Doublepulsar ist ein Programm mit dem die Schwachstelle EternalBlue ausgenutzt wird um sich unbemerkt Zugriff auf Ihrem Rechner zu beschaffen. Diese Schwachstelle wurde von Windows Ende letzten Jahres geschlossen.

    Das Sie von uns die Nachricht erhalten, deutet darauf hin, dass die Schwachstelle bei Ihnen noch existiert. Nach einem Neustart gilt Ihr Rechner solange als 'sauber' bis ein Programm versucht vom Internet aus diese Schwachstelle auszunutzen. Wir verhindern, dass das erfolgreich ist und geben dabei die Meldung aus, die Sie angehängt haben. Bis zum nächsten Neustart erhalten Sie keine Meldung mehr von uns.

    Die einzige Möglichkeit diese Meldung zu beheben ist das Update KB4012598 von Windows einzuspielen, dass die Schwachstelle behebt.

    Mit freundlichen Grüßen
    Kathrin


  13. Guten Tag,

     

    Es handelt sich wahrscheinlich um einen Fehler in unserem letzten Update.  Es gibt derzeit eine Beta-Version, die Sie bei Bedarf testen können. Ansonsten würde ich Sie bitten ein paar Tage zu warten.

     

    EDIT: Fälschlicherweise hieß es erst das Problem wäre bereits behoben. Dies stimm nicht, wir testen die Lösung noch in unserer Beta-Version.

     

    Mit freundlichen Grüßen

    Kathrin