tox1c90

Member
  • Content Count

    11
  • Joined

  • Last visited

Community Reputation

0 Neutral

About tox1c90

  • Rank
    Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. But why... If you ask people why they are using EAM or how did they find their way to Emsisoft, then a usual answer is because of their Anti-Ransomware efforts. If you google Emsisoft you will find predominantly stuff about their Anti-Ransomware fight and decrypters. They are famous just for that. If I would ever look for a specialized Anti-Ransomware, I would go for EAM just because of that. You already have something from the ransomware experts, why install an additional tool going into the same direction?
  2. In my case, I am not using a download manager but just the browser (Edge Chromium). There the problem does not always appear, it depends e.g. on the particular speedtest. Speedtest.net is fine, while speedtest.vodafone.de causes high CPU load with Web Protection enabled. But if you do a games download in, e.g. Steam, the issue is always triggered.
  3. I will of course try it without HVCI and check if that changes anything regarding the CPU load caused by Web Protection. But nevertheless, I think you are not quite right (anymore at least) regarding your statement "This has the effect of hurting performance in many applications". There is a measurable and potentially drastic effect of HVCI on performance if you're using a CPU older than 7th generation Intel, which lacks a hardware feature called MBEC ("Mode based execution control"). This feature basically allows HVCI to do most things it does in hardware without using a software emulation. On Intel 7th gen. CPU or newer, there is almost no to zero impact of HVCI on performance. You cannot even measure it in synthetic benchmarks anymore. I also measured this on my PCs during evaluation of this feature. It's impossible to measure any different performance/behavior even under heavy workloads. You don't even loose a single fps anymore when you do gaming. This is why I doubt that HVCI is the cause of my slowdown issue. Otherwise, EAM would be the very first and only software where I notice any effect of HVCI on performance - which would also point more towards EAM being the issue here But I will disable HVCI later today and do the measurement again, then we will know.
  4. I would like to add something to this topic, because I made the same observation. I have a 1 Gbit/s connection, and for some downloads it's limited to 500-700 Mbits because of huge CPU load, only when Emsisoft Web Protection is enabled. You pointed out the huge load on the MS process "System" and not necessarily on the Emsisoft processes themselves. Thats right, but I noticed this CPU load on "System" is completely gone when Emsisoft Web Protection is disabled! So it's not the Emsisoft process itself pushing the CPU, but something related to Emsisoft causing the System process to do something bad. To sum it up: My speed test reports 950 Mbits (limited by wired GBit ethernet) downstream when Emsisoft Web Protection is disabled (~40% CPU load coming from the browser process only) and only ~550 Mbits with Web Protection enabled (~90-100% CPU from browser, "System" and Emisoft Protection Service together). I noticed the same behavior from Adguard (but right now it is uninstalled because of that!), also when Emsisoft is not installed. So my conclusion so far is, that somehow it has to be related to the WFP driver. Whenever one of these (either only Emsisoft, only adguard, or both) is enabled, the "System" process in addition to the filtering application (EAM or Adguard) goes rampage on heavy data transfers, which causes a slowdown. Windows Defenders own network inspection service does not seem to be affected (I also tried that in comparison), this only gives me a few percent CPU load on the defender process. I am running Windows 10 2004 btw. Only other changes I made to the default configuration is that I have HVCI enabled. I.e. the feature which was introduced by MS to personal customers as "Memory integrity". Maybe it's related to that? Could the WFP driver cause some extensive overhead because it's not 100% compatible to HVCI, leading to this strange "System" CPU load? Also it depends a lot on the actual type of data transfer. I noticed a few speed tests which run in my browser without ANY CPU load from Emsisoft or System. While others, like the speedtest of my internet provider (Vodafone) and stuff thats not a browser (e.g., Steam, Origin, Battle net launcher) causes high CPU activity on Emsisoft and System. @pkolasa Do you have by chance HVCI or any other Hyper-V utilizing feature enabled?
  5. Nein, das ist die Erweiterung für den alten Edge. Am 15.01.2020 hat Microsoft den neuen Edge released, der auf Chromium basiert. Auf diesem laufen auch Google Chrome Erweiterung direkt. Momentan muss man sich für den neuen Edge Chromium die Emsisoft Erweiterung aus dem Google Webstore installieren. Im neuen Edge-Store ist Emsisoft noch nicht vertreten: https://microsoftedge.microsoft.com/addons/category/Edge-Extensions
  6. Hi! I have a question regarding surf protection. From as far as I understood, it intercepts DNS requests using a WFP driver. What happens if I enable the DNS-over-HTTPS features of Firefox or Chrome (via flag) and how does it influence the capabilities of surf protection? Wouldn't making secure DNS requests "tunnel" Emsisofts WFP driver because it doesn't do any man-in-the-middle attack to look into encrypted traffic? However, I already tried out DNS-over-HTTPS using Cloudflare DNS and their status page indeed confirmed that I was using DoH. But when I tried surfing "phishingtest.emsisoft.com", EAM instantly blocked the connection. So obviously DoH does not bypass EAM, but then my question would be: How is that possible? How does Emsisoft know that the browser wants to resolve "phishingtest.emsisoft.com" when the browser is sending an encrypted DNS request via HTTPS to Cloudflare?
  7. Hallo! Aus aktuellem Anlass würde ich gerne eine Sache anregen, die ich vollkommen unintuitiv finde. Gelegentlich, wenn die Verhaltenserkennung zuschlägt, man aber sicher ist, dass es ein False Positive ist und die Anwendung sicher ist (z.B. gerade neu erschienenes Spiel oder Programm eines renommierten Entwicklers), kann man ja auf "Diese Datei scheint sicher zu sein" klicken und somit die Quarantäne vermeiden. Danach steht im Protokoll "Anwendungsregel erstellt" und man wird in Zukunft nicht mehr belästigt. Ich habe jetzt schon ein paar Mal versucht, irgendwo in EAM eine Auflistung der auf diese Weise erstellten Anwendungsregeln zu finden, jedoch ohne Erfolg. Intuitiv würde ich davon ausgehen, dass diese unter Einstellungen -> Ausnahmen zu finden sind bei "Von Überwachung ausschließen". Dort ist aber bei mir alles leer, obwohl ich schon ein paar Mal auf "Diese Datei scheint sicher zu sein" geklickt habe, und im Protokoll auch beim Ausführen der jeweiligen Anwendung steht "Zulassende Regel vorhanden, Prozess daher vertrauenswürdig". Nur wo sehe ich aufgelistet, welche solcher "Zulassenden Regeln" ich bisher erstellt habe und viel wichtiger, wo könnte ich diese wieder entfernen? Dabei habe ich auch das Szenario vor Augen, dass man sich mal verklickt hat und versehentlich eine solche Anwendungsregel erstellt wird für eine Anwendung, bei der man sich im Nachhinein doch nicht sicher ist, ob sie wirklich vertrauenswürdig ist. Die einzige Möglichkeit, dieses Regel wieder rauszunehmen, ist meines Wissens nach wenn der Prozess tatsächlich ausgeführt wird, unter "Verhaltensanalyse" einen Rechtsklick drauf zu machen und "Regel löschen". Das klappt jedoch natürlich nur, wenn man den fraglichen Prozess gerade ausführt. Eine einsehbare Liste mit sämtlichen existierenden Anwendungsregeln scheint jedoch nicht zu existieren oder?
  8. Hallo! Im neuen Windows 10 Update halten nun auch für Endkunden Features zur virtualisierungsbasierten Sicherheit ein, die vorher den Enterprise-Editionen vorbehalten waren. Dazu gehört die Kernisolierung/Speicherintegrität, die man im Sicherheitscenter aktivieren kann (siehe Screenshot). Laut Entwicklerblog von Microsoft soll das bei Neuinstallationen von Windows 10 künftig auch zur Standardeinstellung werden (Quelle: https://techcommunity.microsoft.com/t5/Windows-Insider-Program/Windows-Defender-System-Guard-Making-a-leap-forward-in-platform/td-p/167303 ) und entspricht dem, was auf Businessplattformen als HVCI (hypervisor protected code integrity) bekannt ist. Bei mir schlägt die Aktivierung dieser Einstellung jedoch fehl, weil Windows Kompatibilitätsprobleme findet, leider ohne diese zu benennen. Ich verfüge jedoch über eine sehr neue Hardwareplattform verfüge (Z370-Chipsatz, UEFI Secure Boot an, TPM 2.0, Hardwarevirtualisierung aktiviert), die laut Windows 10 eigtl. alle Voraussetzungen für die Hardwaresicherheit erfüllt. Ich habe dazu in einem Forum nach Erfahrungen von anderen gefragt mit dem Ergebnis, dass die meisten das Speicherintegrität-Feature ohne Problem einschalten konnten - allerdings mit dem Unterschied, dass diese allesamt den Windows Defender nutzen und ich der einzige mit Drittanbieter-Sicherheitslösung (EAM) war. Daher meine Frage: Kann es sein, dass EAM zu diesem Feature nicht kompatibel ist, Windows das beim Versuch es zu aktivieren feststellt und die Aktivierung daher nicht zulässt?
  9. Ok, das probier ich vielleicht nochmal. Ansonsten lasse ich den Defender einfach per Gruppenrichtlinie ausgeschaltet, damit es nicht dazu kommen kann, dass dieser gleichzeitig mitläuft. Es könnte natürlich auch sein, dass der Fehler durch das neuste Windows 10 - Update verursacht wurde (ich bin im Insider Release Preview Ring), was ja dann kommenden Dienstag auch für die Nicht-Insider kommt.
  10. Hallo! Ansonsten ist kein AV-Programm installiert! Eigtl. ist der Rechner ziemlich schnell, das Hochfahren vom Drücken des Netzschalters bis der Desktop und alle Symbole im Tray komplett geladen sind dauert dank SSD keine 30 Sekunden. Die CPU-Aktivität liegt dann deutlich unter 10%. Der grüne Emsisoft-Schild ist auch sofort da und es laufen von Anfang an 2 Prozesse (a2guard.exe, a2service.exe), kurze Zeit danach kommt dann noch a2start.exe dazu. Was mir aufgefallen ist: Im Windows-Sicherheitscenter wird ja normalerweise eine Übersicht gezeigt zum Status von "Virenschutz", "Netzwerkfirewall", "Smartscreen" usw., wo dann auch steht, welches Produkt das übernimmt, z.B. "Emsisoft Anti-Malware ist aktiviert". Direkt nach dem Hochfahren, wenn eigtl. alles fertig ist, fehlen bei mir im Sicherheitscenter die Bereiche "Virenschutz" und "Netzwerkfirewall" vollständig, d.h. im Sicherheitscenter wird nichts davon angezeigt. Erst nach dieser etwa 1 Minute, aktualisiert sich das Sicherheitscenter und die Übersicht wird um Virenschutz und Firewall ergänzt, dann steht da "Windows-Defender und Emsisoft Anti-Malware sind aktiviert" und ein paar Sekunden wird der Defender ausgeknipst und es steht nur noch "Emsisoft Anti-Malware ist aktiviert". Edit: Ich habe gesehen, dass hier im englischen Forum noch jemand das gleiche Problem gemeldet hat. Leider endet der Thread nach zwei Posts und man sieht nicht, was dabei rausgekommen ist. Sieht ja fast nach einem Windows-Bug aus. Ich nehme mal an, wenn die Emsisoft-Oberfläche anzeigt, dass der Schutz komplett an ist, dann ist er das auch oder? Das tut sie nämlich direkt nach dem Hochfahren ohne Verzögerung. Nur Windows "bekommt es nicht mit".
  11. Hallo! Ich habe vor kurzem EAM 12 als 30-Tage-Testversion installiert und an sich funktioniert soweit eigtl. auch alles zu meiner Zufriedenheit, nur eine Sache ist merkwürdig: Nach jedem Neustart taucht zunächst das Windows Defender - Symbol im Tray wieder auf ("PC-Status: Geschützt") und der Echtzeitschutz vom Defender läuft (MsMpEng.exe läuft bei den Prozessen und zieht auch ordentlich CPU-Last). Laut Defender und Windows-Einstellungen ist der Defender aktiv als wäre kein Drittanbieterprodukt installiert. Allerdings sind die Emsisoft-Prozesse ebenfalls alle aktiv. Nach etwa 1-2 Minuten ändert sich dann der Status vom Windows Defender zu "DEAKTIVIERT" und wenn ich den Defender bzw. dessen Einstellungen aufmache steht dort völlig korrekt, dass der Defender aufgrund eines Drittanbieterprodukts deaktiviert wurde. Ab diesem Zeitpunkt wird EAM auch im Sicherheitscenter von Windows als alleinige aktive Virenschutz-Software angezeigt (vorher stehen dort beide, mit dem Hinweis, dass mehrere gleichzeitig installierte Virenschutzprodukte Probleme bereiten können). Das Problem ist also, dass Windows beim Hochfahren offenbar zunächst nicht erkennt, dass ein Drittanbieter-Virenschutz aktiv ist, und somit den Defender startet. Nach 1-2 Minuten scheint die Erkennung dann zu laufen und Windows deaktiviert folgerichtig den Defender. Das hatte ich allerdings noch bei keiner AV-Software zuvor. Bislang kannte ich das immer so, dass der Defender dauerhaft deaktiviert wird, solange das Drittanbieterprodukt installiert ist. Als Workaround habe ich den Windows Defender jetzt einfach in den Gruppenrichtlinien ausgeknipst (gpedit -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Endpoint Protection -> "Endpoint Protection deaktivieren"). Dadurch startet jetzt nur noch EAM beim Hochfahren und der Defender bleibt dauerhaft aus. Jetzt frage ich mich allerdings, ob diese "Lösung" empfehlenswert ist, oder ob das Anspringen vom Defender bei jedem Windows-Start auf ein Problem mit EAM hindeutet, dass dieses vielleicht doch nicht gleich von Anfang an beim Hochfahren aktiv ist? Weiß jemand, woran das liegen könnte?