Werderforever

EIS/EAM sind über den Taskmanager zu beenden - Selbstschutz?

Recommended Posts

Hallo,

 

laut diesem Beitrag sollen für alle exe- und dll-Dateien bei der V11 DEP und ASLR genutzt werden: http://support.emsisoft.com/topic/19066-eam-1011-fragen-zum-selbstschutz/ 

 

Ich habe bei der EIS V11 Beta Build 5911 mal versucht die Prozesse durch den Taskamanager zu beenden. Die a2start.exe und a2guard.exe wurden sofort beendet. Danach hat Emsisoft die Eicar-Testviren nicht mehr gefunden, wahrscheinlich weil der Guard ja bereits beendet war.

Dann habe ich versucht die a2service.exe zu beenden. Beim ersten Versuch hat es nicht funktioniert. Aber nach 3 oder 4 Versuchen konnte ich auch die a2service.exe beenden.

Ich habe diese Versuche mehrfach probiert, jedesmal mit dem vorgenannten Ergebnis, und dabei zwei verschiedene Rechner verwendet. Die Selbstschutzoption war natürlich aktiviert.

 

Wenn es schon so einfach über den Taskmanager möglich ist EIS/EAM zu beenden, welche Möglichkeiten hat dann erst eine auf die Beendigung von Antimalwareprogrammen programmierte Software?

 

So mache ich mir schon Sorgen, inwieweit EIS/EAM in dieser Hinsicht (trotz DEP und ASLR) überhaupt ausreichenden Schutz bieten.

 

Über eine Stellungnahme bzw. Erläuterung würde ich mich sehr freuen.

 

Thomas

 

Share this post


Link to post
Share on other sites

Hallo,

 

ist hier nicht zu reproduzieren, weder unter WIN 10 und auch nicht unter WIN 7.

 

Gibt es eine aktive Ausnahme für den Taskmanager in der Ausnahmeliste unter Schutz->Dateiwächer->Ausnahmen bearbeiten? Ist die Verhaltensanalyse aktiv? Handelt es sich um den Windows Taskmanager?

Share this post


Link to post
Share on other sites

An meinem System kann ich das auch nicht nachvollziehen und eine Beendigung des Prozess "a2guard.exe" ist hier auch nicht möglich.

Share this post


Link to post
Share on other sites

Hallo Christian,

 

nein, es gibt keine Ausnahme in der Ausnahmeliste.

Ja, die Verhaltensanalyse ist aktiv.

Ja, es handelt sich um den Windows Taskmanager.

 

Betriebssystem ist Windows 10 x64.

 

Ich habe es gerade noch mal eben bei beiden Rechnern reproduzieren können. a2start.exe lässt sich bereits im ersten Versuch beenden, bei a2guard.exe sind manchmal auch 2 oder 3 Versuche notwendig, bis ich den Prozess beenden konnte. a2service.exe ist etwas hartnäckiger. Meist reichen 3 bis 4 Versuche, manchmal musste ich es aber auch 6 oder 7 mal versuchen den Task zu beenden. Danach war dann auch a2service.exe nicht mehr aktiv.

 

Hoffe, dass diese Infos helfen, wenn es bei der Analyse hilft, werde ich es gerne noch mal probieren. :)

 

Thomas

Share this post


Link to post
Share on other sites

Hallo,

 

bitte mal die Windowstaste + R gleichzeitig drücken, in das Eingabefeld cmd eintragen und OK anklicken. Es öffnet sich die Eingabeaufforderung.

 

Hier über cd in zum Beispiel den Downloadordner wechseln.

cd C:\Users\Benutzername\Downloads

und Enter drücken. Im Pfad den entsprechenden Benutzernamen anpassen.

 

In der Eingabeaufforderung nacheinander folgende Kommandos ausführen.

reg export HKLM\SYSTEM\CurrentControlSet\Services\EPP epp.reg

 

Enter drücken.

reg export HKLM\SYSTEM\CurrentControlSet\Services\EPP64 epp64.reg

Enter drücken.

 

Im Downloadordner befinden sich nun 1 oder 2 Dateien epp.reg und epp64.reg. Vermutlich aber nur die epp.reg wenn der Export der epp64 in der Eingabeaufforderung mit einem Fehler quittiert wurde. Diese Dateien bitte an das Topic anhängen.

Share this post


Link to post
Share on other sites

... und hier die epp.reg von PC2.

 

Wie von Ihnen bereits angekündigt, konnte die epp64.reg bei beiden Rechnern nicht erstellt werden. Warum ist das eigentlich nicht möglich? Der Zusatz "64" deutet ja darauf hin, dass es sich um eine 64-bit-Datei handelt.

Beide Rechner haben Win 10 x64.

 

Noch ein kleiner Hinweis: Nachdem ich erstmals die 3 Prozesse a2start.exe, a2guard.exe und a2service.exe über den Taskmanager abgeschossen hatte, wird beim Neustart nur noch a2service.exe automatisch wieder aktiv.

a2guard.exe muss ich seitdem durch das öffnen der Desktopverknüpfung von EIS manuell starten.

Dieses Verhalten habe ich bei beiden Rechnern beobachtet.

 

Es scheint so, als wenn durch das erstmalige abschießen der Prozesse etwas bei EIS beschädigt wird.

 

Thomas

Share this post


Link to post
Share on other sites

Hallo Thomas,

 

die Dateien sind über Ihre Mail angekommen und werden jetzt von unseren Entwicklern geprüft. Siehe auch meine Antwort auf Ihre Mail.

 

Den EPP64 Treiber gab es bei Version 10. Dieser wurde geändert in EPP mit Version 11.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.