Recommended Posts

Langsam glaube ich das wirklich.

 

Oder bin`s vielleicht doch ich?

 

 

 

 

Hallo Leute,

 

 

meine Version von EAM (11.0.0.5911 / OS: W7) bzw. deren Dateiwächter kann Dinge, die nicht mal ich kann. Er findet nämlich Batch-Dateien, die es nicht gibt. Jedesfalls nicht im angezeigten Pfad. Und zwar in C:\Windows.

 

In diesem Ordner befinden sich definitiv keine Batch-Dateien. Nicht eine einzige. Laut Dateiwächter aber doch. Und der geht sogar noch einen Schritt weiter. Er scannt diese nicht-existenten Dateien immer wieder und mahnt dann auch noch die diesbezüglichen Regeln an (siehe Bild - Link unten). Und das, obwohl per Settings festgelegt ist, daß Dateien mit der Endung .bat nicht gescannt werden sollen (siehe Bild - Link unten). Und auch das jeweilige Aktualisieren der Regeln ist EAM scheinbar egal. Es passiert ja immer wieder. Wenigstens einmal pro Tag.

 

Batch-Dateien werden per Cmd über C:\Windows ausgeführt. Dennoch darf EAM nicht immer wieder die Settings respektive die vorgegebenen Regeln ignorieren. Sonst wäre die ganze Sache zwecklos.

 

Genau das macht aber EAM. Und das nervt.

 

Ist es irgendwie möglich, EAM diesen Quatsch abzugewöhnen?

 

Was ich gerade eben mal gemacht habe, ist, daß ich noch zusätzlich die Endung .cmd aus der Dateiendungsliste entfernte. Vielleicht bringt das ja was.

 

Falls aber nicht, was dann?

 

Im Voraus vielen Dank für hilfreiche und zielführende Antworten.

 

 

Schönen Tag noch...

 

 

 

 

 

Teddy

 

 

 

 

 

 

 

http://prntscr.com/95korl

 

http://prntscr.com/95kw36

Share this post


Link to post
Share on other sites

Sorry, also mir ist dieses Problem nicht bekannt. Bitte lade die betreffende Datei mal zu https://www.virustotal.com/de/ hoch und poste uns den Link (URL) mit Ergebnis. Teile uns zudem den kompletten Pfad mit dem Dateinamen mit, wo die Datei angeblich gefunden wurde. Möglicherweise sind versteckte Ordner und Dateien ausgeblendet und kannst sie deswegen nicht finden.

Share this post


Link to post
Share on other sites

Hallo Teddy,

 

helfen kann ich dir nicht, aber von ähnlichen Dingen berichten. Seit Version 11 wird das hier bei mir auch beanstandet (vorher nicht):

 

http://support.emsisoft.com/topic/19214-cprogram-files-sandboxie-rmdir/

 

Dann gibt es von der Verhaltensanalyse nicht reproduzierbare Meldungen, die es vor Version 11 nicht gab. So wurde irgendwann ab Version 11 das Löschen einer x-beliebigen Datei (mit einem Tool zum sicheren Löschen von Dateien) gemeldet. Ob das Verhaltensmodul verschärft wurde oder ob es ein Bug ist entzieht sich meiner Kenntnis.

 

Gruß

Share this post


Link to post
Share on other sites

Hey Leute,

 

 

zunächst mal Danke für eure Antworten.

 

In den letzten paar Tagen habe ich die Angelegenheit etwas genauer untersucht. Es ist nicht der Dateiwächter, der diese Meldungen produziert, sondern - Chris, Deine Idee zielt in die richtige Richtung - die Verhaltensanalyse. Genauer gesagt die Regel für die cmd.exe. Allerdings hierbei seltsamerweise nicht die, welche sich in System32 befindet, sondern diese hier: C:\Windows\SysWow64\cmd.exe (zur Veranschaulichung habe ich Bilder davon beigefügt).

 

Wenn ich die VA deaktiviere, erscheinen keine Meldungen bzgl. irgendeiner .bat Datei. Ist die VA hingegen aktiv, gibt es auch sofort wieder besagte Meldungen.

 

Ich habe versucht, die in der speziellen Regel für die Command.exe festgelegte Überwachung von Ja auf Nein zu ändern. Leider ist das nicht möglich. Auch die Erstellung einer gänzlich neuen Regel für cmd.exe ist nicht machbar (editiere ich in der vorhandenen den Pfad zu ...System32, wird er nicht akzeptiert. Und in einer neuen Regel wird nach dem Okay der Pfad wieder auf ... SysWow64 geändert).

 

Somit bleibt mir also nichts anderes übrig - sofern nicht jemand eine wirklich gute Idee hat, wie der Sache doch noch beizukommen ist - jedesmal, bevor ich eine .bat Datei ausführe, die VA zu deaktivieren. Und das ist irgendwie nicht im Sinne des Erfinders, oder?

 

Btw, diese .bat Dateien, von denen ich spreche, sind 1. schon sehr alt (liefen jahrelang auf meinem XP Rechner - ohne jegliche Probleme zu verursachen), und 2. von mir selbst geschrieben, demzufolge sind sie also auch nicht kontaminiert oder sonstiges. Und was den Pfad anbelangt, der in den Meldungen aufgeführt wird - der lautet (siehe hierzu nochmals http://prntscr.com/95kw36 ) C:\Windows\"Name-der-jeweiligen-Batschdatei".

 

So, das war`s soweit von mir. Nun sind die Ekschbärtn gefragt.

 

;)

 

Vielleicht würde es ja schon reichen, wenn ich die Überwachung innerhalb der Command-Regel (siehe oben) abschalten könnte?

 

Geht das doch irgendwie?

 

 

Bis denn...

 

 

 

 

Teddy

post-1479-0-16220400-1448453431_thumb.jpg
Download Image

post-1479-0-10521400-1448453439_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Hallo,

 

SysWow64\ ist eine Übersetzungsschicht zur Schaffung einer 32 Bit Umgebung.

 

Siehe auch: https://de.wikipedia.org/wiki/WOW64

 

Vermutlich wird es helfen Ausnahmen direkt über Ausnahmen verwalten unter Schutz -> Dateiwächter für die cmd.exe anzulegen. Wenn Sie möchten kann ich Ihnen dabei gerne per TeamViewer helfen. Wenn das gewünscht ist schreiben Sie mich bitte per PM (Personal Message) an.

Share this post


Link to post
Share on other sites

Hallo Chris,

 

 

das mit SysWow64 hatte ich mir auch schon mal angesehen. Macht Sinn, würde ich sagen.

 

Ich hatte schon vor ein paar Tagen die Idee mit der Ausnahmenverwaltung. Leider konnte ich dort nichts weiter machen als innerhalb der "Ausnahmen" per Pop-Up-Menü Datei, Ordner, Prozess oder Name auszuwählen. Mehr tat sich leider nicht. Bis eben.

 

Anleitung von Emsisoft gefunden.

 

:)

 

Man sollte wirklich öfter mal in die Hilfe der verwendeten Software schauen. Da kann man so einiges finden.

 

Es heißt ja nicht umsonst: Wer lesen kann, ist klar im Vorteil.

 

;)

 

Danke für das Angebot mit TeamViewer.

 

Ich denke, ich werde es alleine hinkriegen.

 

Allerdings müßte ich noch eines wissen. Reicht es, die Datei cmd.exe aus der Überwachung zu nehmen oder sollte das nicht besser als Prozess gekennzeichnet sein? Und wenn die Datei cmd.exe ausgeschlossen ist, sollte dann nicht auch bei >Nur bestimmte Dateiendungen scannen< .bat und .cmd entfernt werden?

 

Ich habe vorerst bis zur nächsten Antwort die Datei (als Datei, nicht als Prozess) cmd.exe in die Ausnahmen aufgenommen und dort den Haken bei "Verhaltensanalyse" gesetzt. Somit wird sie noch gescannt und vom Dateiwächter überwacht.

 

Nochmals Thx für die bisherigen Antworten, Chris.

 

 

Bis dann...

 

 

 

 

Teddy

Share this post


Link to post
Share on other sites

Hallo,

 

ihr Problem ist vom Dateiwächter völlig getrennt. Es betrifft nur die Verhaltensanalyse. Bitte die cmd.exe als Prozess in die Ausnagmeliste hinzufügen und es reicht den Haken bei Verhaltensanalyse zu setzen. Auch in der Verwaltung für die Dateiendungen muss nichts geändert werden da diese Einstellungen nur den Dateiwächter betreffen und nicht die Verhaltensanalyse.

Share this post


Link to post
Share on other sites

Hallo Chris,

 

 

alles klar.

 

Es funktioniert. Keine Meldungen mehr von EAM.

 

Vielen Dank für die Hilfe.

 

:)

 

Dieser Thread kann geschlossen werden.

 

 

Thx.

 

 

 

 

Teddy

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.