Schulte

Hello @dantheman, Welcome. With your posts in the two German forums you have unfortunately received little support. Do you (or your friend) use a Kaspersky product? Then a request to the support might be helpful. Your ransomware is still relatively new, it probably belongs to the STOP/DJVU family. In any case, you should also contact 'No More Ransom' project, where, with a lot of luck, a decryption tool will be available at some point.

Hi @Nullchecker, gehen wir mal vom bestmöglichen Fall aus: TB oder Kaspersky haben das Script blockiert und es ist nichts passiert. Eventuell findest Du etwas in den Kaspersky-Logs, blockierte Downloads werden in der Regel vermerkt. Mir fehlt leider gerade die Zeit, das Script aufzudröseln. Auch die URL-Fragmente geben keinen Hinweis, die wahre URL wird erst zur Laufzeit mit Hilfe der unleserlich gemachten Funktionen erstellt. Um sicherzugehen kannst Du Dich gerne an den Support wenden. Dieser fordert dann ein GSI-Log an (dürfen wir nicht), in dem nahezu jede Malware erkennbar ist.

Hi @Wallaby53, Du kannst jederzeit mit einem Verbesserungsvorschlag an den Support herantreten. Die andere Möglichkeit wäre die Teilnahme am Betatest, manchmal findet ein Wunsch Gehör. Oder in der neuesten Beta (21.13.X.X) wurde das bereits hinzugefügt. Bin da nicht auf dem Laufenden, vielleicht kann @Jowi etwas dazu sagen. Eine Auflistung der gefundenen "Fehler" wäre jedenfalls wünschenswert.

Hi @Wallaby53, wir haben da die selben Bedenken. Bei Registry-Optimierern empfehle ich schon seit Ewigkeiten, nur das ändern zu lassen, wovon man selbst etwas versteht. Hier kann man das (wie Du festgestellt hast) nicht beurteilen. Es gibt keine nähere Erklärung, die Korrektur wird ohne weitere Rückfrage ausgeführt. Weder gibt es ein Protokoll der Änderungen, noch die Möglichkeit zum Rückgängig machen. Für Standardsysteme von Standardusern sicher geeignet und sinnvoll. Für erfahrene User und deren Systeme wahrscheinlich nicht schädlich, aber zu undurchsichtig.

Hallo @Nullchecker, willkommen. In einem anderen Forum hast Du ja bereits einige Hinweise erhalten. Die wichtigste Frage wurde dort allerdings nicht gestellt: welches Mailprogramm verwendest Du, ist die HTML-Ansicht und die Ausführung von Scripts erlaubt? Mit anderen Worten: wäre das Nachladen des externen Scripts möglich gewesen?

Hallo @Wallaby53, ein neues GUI ist für "Altgediente" natürlich eine Herausforderung, ich kann Deine Probleme bestätigen. Auch die bisherigen Supportseiten sind noch verbesserungsfähig, das braucht noch seine Zeit. Ich behelfe mir mit der Onlinehilfe und hab mir die wichtigste Seite als Lesezeichen gespeichert: https://support.kaspersky.com/help/Kaspersky/Win21.9/de-DE/226944.htm Dort kannst Du auch nach Begriffen suchen, z, B, nach "Quarantäne". Ein Suchergebnis ist diese Seite: So stellen Sie eine gelöschte oder desinfizierte Datei wieder her Natürlich wird nicht auf jedes Problem eingegangen, dazu hast Du uns. Vielleicht wurde schon jemand fündig. Und keine Sorge: dumme Fragen gibt es nicht.

Hello @skn8700, welcome. All Kaspersky products for home users include protection against ransomware, so does KTS. However, there is almost no ransomware that becomes active without any action on the part of the user. So it is also up to you to prevent an infection. Always think for a few seconds before opening an unknown object. Does it come from a trustworthy sender? Does it ask for additional rights? This is how you can unburden your AV. None of them is 100% perfect.

Der Support ist immer eine gute Anlaufstelle, aber leider oft nicht die schnellste. @Frank_S: Es gibt noch eine weitere Möglichkeit. Öffne "Einstellungen->Sicherheitseinstellungen->Programm-Überwachung". Wähle "Programme verwalten". Etwas schwieriger ist dann, die .exe bzw den zuständigen client von Anydesk zu finden. Ist das gelungen, Programm markieren und per Mausrechtsklick darauf "Details und Regeln" auswählen (Beispiel 'dummy.exe'). Es öffnet sich ein weiteres Fenster, dort den Reiter "Ausnahmen" wählen. Eventuell reicht dann schon die Aktivierung der Option "Interaktion mit der Oberfläche [...] zulassen" aus (muss natürlich auf dem ferngesteuerten Rechner erfolgen).

Hallo @Frank_S, willkommen. Es gibt eine Option, die Du vielleicht noch nicht entdeckt hast. In der aktuellen Version ist sie leider etwas versteckt. Gehe in "Einstellungen->Leistungseinstellungen->PC-Ressourcenverbrauch. Dort findest Du unten die Option "Verwaltung der Einstellungen [...] per Fernzugriff erlauben". Hast Du diese auf dem ferngesteuerten Rechner aktiviert?

Hallo @AntiFreak, es wäre auch möglich, dass nur eine temporäre Erlaubnis erteilt wurde, kommt immer auf die Situation an. Diese wird nur in den Protokollen erwähnt, in den Einstellungen ist sie nicht zu finden. Durch einen Rechner-/Produktneustart wird sie automatisch aufgehoben, beim nächsten (versehentlichen) Besuch der Seite sollte wieder die Abfrage kommen. PS: wir verwenden hier ein kollegiales "Du", macht vieles einfacher.

Hallo @Reiner, willkommen. Der Fehler beim Mailempfang kann verschiedene Ursachen haben. Wir können mal versuchen, uns ans Problem heranzutasten. Versuch 1: Gehe dazu bitte in die Plus-Einstellungen, wähle "Sicherheitseinstellungen->Erweiterte Einstellungen (unten)->Netzwerkeinstellungen". Dort bitte testweise die Option "Verschlüsselte Verbindungen nicht untersuchen" auswählen. Speichern und Mailempfang testen. Sollte es funktionieren. suchen wir weiter. Dies ist nur als Näherung gedacht, nicht als Lösung!

Hab' inzwischen mal getestet. Vorab: der Autor des Blogs hat trotz seiner anerkannten Expertise den Exploit schlecht beschrieben oder nicht gänzlich verstanden. Es geht nicht darum, ob sich das "Optionale Features"-Fenster öffnet oder nicht, sondern dass mit dessen Hilfe Programme mit Admin-Rechten gestartet werden können. Im Test wird CMD als Beispiel benutzt. Vielen Dank an MS für dieses "Feature", das zum Missbrauch einlädt. Zum Test: Es soll eine Anwendung mit Admin-Rechten gestartet werden. Ein Test unter einem Admin-Konto ist also überflüssig, eine UAC-Nachfrage wäre Unfug. Dennoch sperrt KIS (im manuellen Modus) den Zugriff auf die Registry, der Start der .exe bliebe ohne Folgen. Beim Test unter einem Anwenderkonto erhielt ich verschiedene Ergebnisse. Rechner 1 (W10, kein Internet, uralte Signaturen): Im Automatik-Modus wurden die Registry-Einträge gesetzt, die .exe wurde durch die UAC-Abfrage blockiert. Im manuellen Modus wurde vor dem Setzen der Registry-Einträge gewarnt, sollte man blockieren. Danach kam die UAC-Abfrage. Rechner 2 (W10, Internet, alles aktuell): Batch wurde als Trojaner erkannt und blockiert. In meinen Tests war es also nicht möglich, die UAC wie beabsichtigt zu umgehen. Aber es sind auch nur zwei Rechner von Millionen...

Hallo @Sonnschein11, willkommen. Interessante mögliche Schwachstelle, darauf muss man erst mal kommen... Hat sich bei Deinem Test die Windows-Einstellungsseite "Optionale Features" geöffnet? Laut Comment #1 und dem von Dir verlinkten scheint das nicht der Fall zu sein. Somit ist der Schutz wohl weitestgehend da. Kannst Du aus Deinem Test noch ein paar Infos beisteuern? Ich prüfe das morgen auch selbst mal...

Hallo @AntiFreak, willkommen. Gehe bitte zu "Einstellungen->Schutz". Dort klickst Du auf "Web-Anti-Virus". Scrolle dann das Fenster nach unten und öffne "Erweiterte Einstellungen". Wiederum ganz unten ist dann die Option "Web-Datenverkehr nicht untersuchen von vertrauenswürdigen Webadressen nicht untersuchen" (sic!) Mit Klick auf das "vertrauenswürdige Webadressen" müsstest Du die Liste der Ausnahmen sehen und Du kannst sie einzeln deaktivieren/löschen.

Hallo @Kollosbjoern, willkommen. Bei Deinem Fund handelt es sich um eine Erkennung über die Cloud (UDS:xxxxx). Das Erstellen einer Ausnahme ist hier nicht möglich. Ich kann Dich nur bitten, Dich mit dem Support in Verbindung zu setzen. Üblicherweise werden UDS-Erkennungen durch die Analysten untersucht, das kann aber dauern. Mit einer Meldung kannst Du den Vorgang beschleunigen. Bitte halte uns auf dem Laufenden.

Danke Dir, @jens.pechmann. Die Erklärung leuchtet ein und es bleibt wirklich nur das Warten auf die nächste Version.

Hi @jens.pechmann, als Grund für Dein Problem kann ich mir die zu neue Android-Versision nicht vorstellen. Ich würde dann eher erwarten, dass der PM selbst nicht läuft. Mit der "Premium" hast Du auch den Premium-Support eingekauft. Den solltest Du nutzen (und uns mitteilen, ob er wirklich wie versprochen funktioniert). Schönes Restwochenende

Hello @SteveDo, allow me to ask a question: Can you please check the IP range of your and the other network? For example, if both are running with 192.168.1.1/24, the SNM may not be able to differentiate them.

Hallo @jens.pechmann, ein nachträgliches "schön, Dich mal wiederzusehen". Direkt helfen kann ich leider nicht, das muss ein anderer User (oder der Support) übernehmen. Die Onlinehilfe hast Du gelesen? Funktioniert es so nicht bzw was meinst Du genau mit "läuft ins Leere"? https://support.kaspersky.com/help/KPM/AndroidTR85/de-DE/216441.htm

Hi @Wallaby53, Dein Kasperskyprodukt sorgt selbst für die optimale Startreihenfolge. Die ersten Systemtreiber werden frühestmöglich geladen, exakt: sobald Windows das erlaubt. Sie laufen mit Systemrechten und können dadurch die noch zu ladenden Windowskomponenten, Anwendersoftware und deren Treiber überwachen und zur Not blockieren. Was erst relativ spät geladen wird ist die Benutzeroberfläche, die dann auch das Icon im Systray bereitstellt. Der Schutz ist jedoch schon vor dem Laden des GUI aktiv. Ich bin mir sicher, dass die Entwickler in Sachen "frühes Laden" schon alles herausgeholt haben. Gleich nach dem BIOS geht leider nicht, ein wenig Windows wird benötigt. Eine Verbesserung eines AVs per "Optimierungstipps" sehe ich nicht, eher das Gegenteil.

Hallo @Wallaby53, hast Du schon mal im Profil die Verbindung gelöscht und danach wieder hergestellt? Du solltest Deine Zugangsdaten zur Hand haben, es wird ohne Rückfrage gelöscht. Beim erneuten Verbinden Mailadresse und Paswort bitte Zeichen für Zeichen eingeben, kein Copy&Paste verwenden! (Kann in seltenen Fällen zu einem Fehler führen.)

Hallo @DnSpyexe, ein nachträgliches Willkommen. Schön, dass Du die Lösung selbst gefunden hast. Sandboxie kannst Du wieder installieren, das stört nicht.

Hi @Tschekker, Du hast die Möglichkeit, das vorige Ergebnis zurückzusetzen. Hast Du die Option genutzt und nochmals suchen lassen?

Hallo @Wallaby53, um ein automatisches Upgrade zu simulieren habe ich damals Kaspersky Standard einfach über meine bestehende KIS drüberinstalliert. Danach war ich erstaunt, dass alle meine Einstellungen (Programmkontrolle, Firewall, sogar die Betaupdatequellen) übernommen wurden, ebenso die KIS-Einstellungen (nicht)genutzter Module, Zeitpläne. Scaneinstellungen,... Über Anti-Spam, Web-AV und SZV kann ich keine Aussage machen, nutze ich nicht. Ich denke aber, das funktioniert ebenfalls (mal @Longlifefragen). Nach meinem Wissen gibt es für KAV/KIS/KTS kein automatisches Upgrade, solange noch ein KAV/KIS/KTS Lizenzkey aktiv ist. Erst wenn diese Versionen mit einem neuen "Kaspersky"-Key verlängert werden, gibt es das Auto-Upgrade. Wer vorher auf eine neue Version umsteigen möchte, muss das manuell anstoßen.

Hallo @kschaec, die Updateprozedur wurde geändert. Die neue Version wird nicht mehr drübergebügelt, es findet eine Deinstallation mit anschließender Installation der neuen Version statt. Fehler beim Upgrade wurden lange keine mehr gemeldet, auch bei mir waren die letzten Aktualisierungen problemlos. Nur den Hinweis, dass demnächst ein Download erfolgt, vermisse ich nach wie vor. Mal sehen, ob beim demnächst erfolgenden Auto-Upgrade auf MR9 was kommt.