Recommended Posts

Hallo, auf der Seite www.edencity.de ist ein BitCoin-Miner tätig, der bisher von EAM immer erkannt, gestoppt und in Quarantäne gesteckt wurde. Heute habe ich festgestellt, dass er lt. Protokoll zwar erkannt wird und auch in die Quarantänne gesteckt worden sein soll. Tatsächlich ist in der Quarantäne aber kein Eintrag zu finden und Microsoft Edge verursacht eine hohe CPU-Auslastung (zeitweise über 80 %). Ich gehe daher davon aus, dass der BitCoin-Miner tätig ist und nicht gestoppt worden ist.

Share this post


Link to post
Share on other sites

Guten Tag Optimist,

Nutzen Sie immer Edge oder haben Sie davor einen anderen Browser benutzt?

Ich habe mir die Seite einmal angeschaut und konnte darauf erstmal keine Miner erkennen. Welche Seite wird denn von Emsisoft erkannt und blockiert?

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Hallo Kathrin,

ich habe zwischenzeitlich ein System-Image zurückgespielt und daher keine genauen Daten mehr. Ich habe aber jetzt die Seite https://www.edencity.de/  mit Firefox ESR 52.7.3 (64Bit) aufgerufen. Auf Firefox habe ich No Coin als Add-on installiert. No Coin reagiert sofort und blockiert den Miner.  EAM wird daher auch nicht mehr tätig. Mit Edge möchte ich das Experiment nicht wiederholen, da dort kein No Coin installiert ist und ich befürchte, dass der Miner dann wieder unkontrolliert tätig wird, weil EAM ihn nicht - wie vor dem Rückspielen des System-Image - stoppt und in die Quarantäne verschiebt.

Ich habe Edge eigentlich nur für den edencity-chat verwendet, weil dieser Chat bei mir unter Firefox Probleme macht. In der Vergangenheit hat EAM in Edge den Miner immer zuverlässig blockiert und in die Quarantäne verschoben. Nur gestern funktionierte das nicht mehr. Es ist mir klar, dass es jetzt ohne genaue Daten schwierig ist, das Verhalten von EAM aufzuklären. Ich wundere mich allerdings, dass Sie auf der Chat-Site keinen Miner feststellen, denn unter Firefox wird er auf jeden Fall auch jetzt noch von No Coin bemerkt und blockiert.

Mit freundlichen Grüße

Optimist

 

Share this post


Link to post
Share on other sites

Guten Tag,

In dem Fall handelt es sich wahrscheinlich um ein Problem mit Edge.

Unser Surfschutz blockiert aufgerufene Webseiten in dem er die Windows-internen DNSAPI-Aufrufe abfragt und bei einem Treffer die Anfrage blockiert. Die DNSApi ist der von Windows offiziell vorgegebene Weg eine Web-Adresse in die dazugehörige IP-Adresse umzuwandeln. Wenn Edge diese API nicht nutzt, dann ist auch unser Surfschutz in dem Programm ineffektiv. Wir sind uns dieses Problems bewusst und arbeiten daran, das Problem zu beheben. Interessant ist in der Hinsicht, dass Emsisoft vorher in der Lage war den Miner bei Edge zu blockieren. Das kann ich Ihnen leider nicht erklären.

 

Mit freundlichen Grüßen

Kathrin

 

Share this post


Link to post
Share on other sites

Hallo Kathrin,

nach meinen Beobachtungen war in der Vergangenheit einige Male der Suftschutz von EAM aktiv, es wurde dann auch keine Malware gemeldet und in die Quarantäne verschoben. Es erfolgte lediglich eine entsprechende Meldung. In der In der Mehrzahl der Fälle wurde aber der Dateinwächter aktiv und hat die entsprechende Datei blockiert und in die Quarantäne verschoben.

Ich sehe die Angelegenheit als erledigt an. Danke für Deine Erläuterungen.

Mit freundlichen Grüßen

Optimist

 

Nachtrag: Ich habe noch einen alten Protokolleintrag gefunden!

Protokoll.jpg
Download Image

Share this post


Link to post
Share on other sites

Hallo Kathrin,

mir hat die Sache doch keine Ruhe gelassen und ich habe Edencity.de nochmal mit dem Edge-Browser aufgerufen. Nachfolgende Screenshots der Reaktionen von EAM:

Bild 1: EAM findet Malware

Bild 2: EAM teilt mit, dass die Malware in die Quarantäne verschoben wird

Bild 3: Die Quarantäne bleibt leer

Bild 3: Edge beansprucht über 90 % CPU, der CoinMiner ist offensichtlich aktiv

Bild1.jpg
Download Image

Bild2.jpg
Download Image

Bild3.jpg
Download Image

Bild4.jpg
Download Image

Share this post


Link to post
Share on other sites

Hallo Optimist,

 

Vielen Dank für die Erklärung, dann verstehe ich besser was passiert ist. Das sieht in der Tat nach einem Fehler in unserer Engine aus (und hat erstmal nichts mit dem Surfschutz zu tun). Besonders auffällig ist, dass der Dateiname fehlt.

 

Könnten Sie bitte einmal unsere Beta-Updates aktivieren und schauen ob das Problem da auch auftritt? Sie können dies tun indem Sie Emsisoft Anti-Malware öffnen, dort auf Einstellungen und anschließend auf Updates klicken. Klicken Sie dort unten rechts auf den Update-Feed und wählen Sie Beta aus. Klicken Sie danach auf jetzt aktualisieren.
Starten Sie anschließend den Rechner neu und testen Sie ob das Problem weiterhin auftritt. Falls das Problem weiterhin auftritt, würde ich Sie bitten mir nochmal einen Screenshot der Meldung vom Dateiwächter zu kommen zu lassen.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Hallo Kathrin,

ich stelle gerade ein neues Systemimage her. Sobald das fertig ist, werde ich mal einen neuen Versuch mit der Beta-Version von EAM machen und dann berichten. Das wird vermutlich aber erst morgen möglich sein.

Mit freundlichen Grüßen

Optimist

Share this post


Link to post
Share on other sites

Hallo Kathrin,

ich habe EAM mit dem Update der Betaversion versehen und edencity.de dann mit Edge aufgerufen. Der Coin-Miner wurde entdeckt, angeblich in die Quarantäne verschoben, tatsächlich lief der Coin-Miner aber weiter und die Quarantäne blieb leer (siehe Screenshots). Es erschien auch kein Meldungsfenster über den Fund der Malware.

Ich habe dann versucht EAM zu deinstallieren und neu zu installieren, um zu prüfen ob die aktuelle Version evtl. beschädigt ist. Beim Neustart nach der Deinstallation blieb der PC mit einer Fehlermeldung hängen und die automatische Reparatur von Windows verlief erfolglos. Im Moment versuche ich gerade, mein ältestes System-Image zurückzuspielen, um den Computer wieder zum Laufen zu bringen. Ich bitte um Verständnis, dass ich für weitere Experimente unter diesen Umständen nicht mehr zur Verfügung stehe. Ich hoffe, dass meine bisherigen Versuche dazu beitragen, den evtl. Fehler in EAM zu beseitigen.

Mit freundlichen Grüßen

Optimist (im Moment eher Pessimist) :wacko:

Bild1A.jpg
Download Image

Bild2A.jpg
Download Image

Bild3A.jpg
Download Image

Bild4A.jpg
Download Image

Bild5A.jpg
Download Image

Bild6A.jpg
Download Image

Share this post


Link to post
Share on other sites

Entschuldigung, dass du einen so schlechten Tag hast :(


Kann ich Sie fragen, ob Sie Fast Startup aktiviert haben?


Wenn Sie sich mutig fühlen und es erneut versuchen möchten, versuchen Sie es bei der Deinstallation von EAM im abgesicherten Modus

Share this post


Link to post
Share on other sites

Hallo stapp,

ich habe ein altes System-Image installiert und mein Notebook läuft wieder. :) Ich muss nur noch einige Programme wieder neu installieren. Fast Startup (ich vermute, die Schnellstart-Funktion ist gemeint) ist bei mir aktiviert. Zur Zeit fühle ich mich aber nicht mutig genug für neue Experimente. Aber Sie dürfen gerne mein Experiment mit Edge und edencity.de selbst einmal wiederholen. ;)

Viele Grüße

Optimist

Share this post


Link to post
Share on other sites

Guten Tag Optimist,

 

Es tut mir sehr Leid zu hören, dass es zu derartigen Problemen gekommen ist. Es hilft jetzt zwar nicht mehr, aber sollten Sie in der Zukunft nochmal Probleme mit Emsisoft Anti-Malware haben, können Sie in den abgesicherten Modus booten und dort versuchen die Überreste zu entfernen. Emsisoft Anti-Malware startet im abgesicherten Modus nicht und kann es daher auch nicht behindern oder zum Absturz bringen.

 

Ich hatte selbst bereits versucht mit Edge bei edencity die entsprechende Warnung zu verursachen. Habe diese jedoch nicht erhalten. Tritt die Warnung erst bei einer bestimmten Aktion auf? Ich kann bestätigen, dass der Surfschutz bei Edge nicht funktioniert, auch bei mir nicht.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Hallo kathrin,

die Probleme betrafen einen Rechner, der nicht so wichtig ist und von mir häufig für das Ausprobieren und Testen von Programmen benutzt wird. Der zeitweise Ausfall war also nicht so schlimm und ich hatte ja ausreichend System-Images für die Wiederherstellung zur Verfügung.

Es ist sehr seltsam, dass bei Ihnen kein Coin-Miner beim Aufruf der Edencity-Webseite tätig wird. Bei mir funktionierte das sehr "zuverlässig". :) Es reicht bei mir der Aufruf der Chat-Website und sofort wird der Coin-Miner tätig und EAM verzeichnet auch im Protokoll den entsprechenden Fund. Hier sind meine Daten für Windows und Edge:

Lokales Admin-Konto

Windows 10 Home Vers. 1709, Betriebssystembuild 16299.334

Microsoft Edge 41.16299.334.0   Microsoft EdgeHTML 16.16299

Ist bei Ihnen evtl. außer EAM noch ein Programm oder ein Browser-Add-On tätig, das den Coin-Miner vor dem Tätigwerden von EAM schon blockiert? Im Firefox ESR habe ich NoCoin aktiviert, da bekomme ich dann von EAM auch keine Reaktion mehr.  Oder könnte es eine Rolle spielen, von welchem Land aus die Website aufgerufen wird? Ich rufe sie von Deutschland aus auf.

Viele Grüße

Optimist

Share this post


Link to post
Share on other sites

Guten Tag Optimist,

 

Da habe ich mich schlecht ausgedrückt. Der Miner wird in der Tat bei mir aktiv und von dem Surfschutz bei Edge nicht blockiert. Das Problem  des Surfschutze ist bekannt und unsere Entwickler arbeiten an einer Lösung.

Ich habe mittlerweile aber auch das Problem mit dem Dateiwächter reproduzieren können: Die PUP-Erkennungen waren bei mir nicht aktiviert, weswegen ich die Quarantäne-Meldung nicht erhalten habe. Es scheint als ob die Mining-Webseite Ihre Skripte abgeändert hat und wir diese daher nicht mehr komplett erkennen.

Unsere Analysten arbeiten an einer neuen Erkennung, die das Problem behebt. Es ist jedoch schwer vorherzusagen, wie lange das vorhält. Sobald die Miner merken, dass Sie von Antivirenprogrammen blockiert werden, werden sie das Skript wahrscheinlich erneut verändern.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Hallo kathrin,

danke für die Informationen. Jetzt ist mir auch klar, warum der Schutz bis vor einiger Zeit funktioniert hat und dann plötzlich nicht mehr. Dann hoffe ich mal, das EAM den ewigen Wettlauf mit den Minern möglichst häufig gewinnt. :)

Viele Grüße

Optimist

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.