Dunrell 0 Report post Posted November 22, 2015 Langsam glaube ich das wirklich. Oder bin`s vielleicht doch ich? Hallo Leute, meine Version von EAM (11.0.0.5911 / OS: W7) bzw. deren Dateiwächter kann Dinge, die nicht mal ich kann. Er findet nämlich Batch-Dateien, die es nicht gibt. Jedesfalls nicht im angezeigten Pfad. Und zwar in C:\Windows. In diesem Ordner befinden sich definitiv keine Batch-Dateien. Nicht eine einzige. Laut Dateiwächter aber doch. Und der geht sogar noch einen Schritt weiter. Er scannt diese nicht-existenten Dateien immer wieder und mahnt dann auch noch die diesbezüglichen Regeln an (siehe Bild - Link unten). Und das, obwohl per Settings festgelegt ist, daß Dateien mit der Endung .bat nicht gescannt werden sollen (siehe Bild - Link unten). Und auch das jeweilige Aktualisieren der Regeln ist EAM scheinbar egal. Es passiert ja immer wieder. Wenigstens einmal pro Tag. Batch-Dateien werden per Cmd über C:\Windows ausgeführt. Dennoch darf EAM nicht immer wieder die Settings respektive die vorgegebenen Regeln ignorieren. Sonst wäre die ganze Sache zwecklos. Genau das macht aber EAM. Und das nervt. Ist es irgendwie möglich, EAM diesen Quatsch abzugewöhnen? Was ich gerade eben mal gemacht habe, ist, daß ich noch zusätzlich die Endung .cmd aus der Dateiendungsliste entfernte. Vielleicht bringt das ja was. Falls aber nicht, was dann? Im Voraus vielen Dank für hilfreiche und zielführende Antworten. Schönen Tag noch... Teddy http://prntscr.com/95korl http://prntscr.com/95kw36 Quote Share this post Link to post Share on other sites
Icewolf 9 Report post Posted November 22, 2015 Sorry, also mir ist dieses Problem nicht bekannt. Bitte lade die betreffende Datei mal zu https://www.virustotal.com/de/ hoch und poste uns den Link (URL) mit Ergebnis. Teile uns zudem den kompletten Pfad mit dem Dateinamen mit, wo die Datei angeblich gefunden wurde. Möglicherweise sind versteckte Ordner und Dateien ausgeblendet und kannst sie deswegen nicht finden. Quote Share this post Link to post Share on other sites
kosmos 0 Report post Posted November 22, 2015 Hallo Teddy, helfen kann ich dir nicht, aber von ähnlichen Dingen berichten. Seit Version 11 wird das hier bei mir auch beanstandet (vorher nicht): http://support.emsisoft.com/topic/19214-cprogram-files-sandboxie-rmdir/ Dann gibt es von der Verhaltensanalyse nicht reproduzierbare Meldungen, die es vor Version 11 nicht gab. So wurde irgendwann ab Version 11 das Löschen einer x-beliebigen Datei (mit einem Tool zum sicheren Löschen von Dateien) gemeldet. Ob das Verhaltensmodul verschärft wurde oder ob es ein Bug ist entzieht sich meiner Kenntnis. Gruß Quote Share this post Link to post Share on other sites
Christian Peters 99 Report post Posted November 23, 2015 @Dunrell, bitte mal unter Protokolle -> Verhaltensanalyse das Protokoll exportieren, die Datei auf dem Rechner abspeichern und hier an das Topic anhängen über More Reply Options. Quote Share this post Link to post Share on other sites
Dunrell 0 Report post Posted November 25, 2015 Hey Leute, zunächst mal Danke für eure Antworten. In den letzten paar Tagen habe ich die Angelegenheit etwas genauer untersucht. Es ist nicht der Dateiwächter, der diese Meldungen produziert, sondern - Chris, Deine Idee zielt in die richtige Richtung - die Verhaltensanalyse. Genauer gesagt die Regel für die cmd.exe. Allerdings hierbei seltsamerweise nicht die, welche sich in System32 befindet, sondern diese hier: C:\Windows\SysWow64\cmd.exe (zur Veranschaulichung habe ich Bilder davon beigefügt). Wenn ich die VA deaktiviere, erscheinen keine Meldungen bzgl. irgendeiner .bat Datei. Ist die VA hingegen aktiv, gibt es auch sofort wieder besagte Meldungen. Ich habe versucht, die in der speziellen Regel für die Command.exe festgelegte Überwachung von Ja auf Nein zu ändern. Leider ist das nicht möglich. Auch die Erstellung einer gänzlich neuen Regel für cmd.exe ist nicht machbar (editiere ich in der vorhandenen den Pfad zu ...System32, wird er nicht akzeptiert. Und in einer neuen Regel wird nach dem Okay der Pfad wieder auf ... SysWow64 geändert). Somit bleibt mir also nichts anderes übrig - sofern nicht jemand eine wirklich gute Idee hat, wie der Sache doch noch beizukommen ist - jedesmal, bevor ich eine .bat Datei ausführe, die VA zu deaktivieren. Und das ist irgendwie nicht im Sinne des Erfinders, oder? Btw, diese .bat Dateien, von denen ich spreche, sind 1. schon sehr alt (liefen jahrelang auf meinem XP Rechner - ohne jegliche Probleme zu verursachen), und 2. von mir selbst geschrieben, demzufolge sind sie also auch nicht kontaminiert oder sonstiges. Und was den Pfad anbelangt, der in den Meldungen aufgeführt wird - der lautet (siehe hierzu nochmals http://prntscr.com/95kw36 ) C:\Windows\"Name-der-jeweiligen-Batschdatei". So, das war`s soweit von mir. Nun sind die Ekschbärtn gefragt. Vielleicht würde es ja schon reichen, wenn ich die Überwachung innerhalb der Command-Regel (siehe oben) abschalten könnte? Geht das doch irgendwie? Bis denn... Teddy Download Image Download Image Quote Share this post Link to post Share on other sites
Christian Peters 99 Report post Posted November 25, 2015 Hallo, SysWow64\ ist eine Übersetzungsschicht zur Schaffung einer 32 Bit Umgebung. Siehe auch: https://de.wikipedia.org/wiki/WOW64 Vermutlich wird es helfen Ausnahmen direkt über Ausnahmen verwalten unter Schutz -> Dateiwächter für die cmd.exe anzulegen. Wenn Sie möchten kann ich Ihnen dabei gerne per TeamViewer helfen. Wenn das gewünscht ist schreiben Sie mich bitte per PM (Personal Message) an. Quote Share this post Link to post Share on other sites
Dunrell 0 Report post Posted November 25, 2015 Hallo Chris, das mit SysWow64 hatte ich mir auch schon mal angesehen. Macht Sinn, würde ich sagen. Ich hatte schon vor ein paar Tagen die Idee mit der Ausnahmenverwaltung. Leider konnte ich dort nichts weiter machen als innerhalb der "Ausnahmen" per Pop-Up-Menü Datei, Ordner, Prozess oder Name auszuwählen. Mehr tat sich leider nicht. Bis eben. Anleitung von Emsisoft gefunden. Man sollte wirklich öfter mal in die Hilfe der verwendeten Software schauen. Da kann man so einiges finden. Es heißt ja nicht umsonst: Wer lesen kann, ist klar im Vorteil. Danke für das Angebot mit TeamViewer. Ich denke, ich werde es alleine hinkriegen. Allerdings müßte ich noch eines wissen. Reicht es, die Datei cmd.exe aus der Überwachung zu nehmen oder sollte das nicht besser als Prozess gekennzeichnet sein? Und wenn die Datei cmd.exe ausgeschlossen ist, sollte dann nicht auch bei >Nur bestimmte Dateiendungen scannen< .bat und .cmd entfernt werden? Ich habe vorerst bis zur nächsten Antwort die Datei (als Datei, nicht als Prozess) cmd.exe in die Ausnahmen aufgenommen und dort den Haken bei "Verhaltensanalyse" gesetzt. Somit wird sie noch gescannt und vom Dateiwächter überwacht. Nochmals Thx für die bisherigen Antworten, Chris. Bis dann... Teddy Quote Share this post Link to post Share on other sites
Christian Peters 99 Report post Posted November 25, 2015 Hallo, ihr Problem ist vom Dateiwächter völlig getrennt. Es betrifft nur die Verhaltensanalyse. Bitte die cmd.exe als Prozess in die Ausnagmeliste hinzufügen und es reicht den Haken bei Verhaltensanalyse zu setzen. Auch in der Verwaltung für die Dateiendungen muss nichts geändert werden da diese Einstellungen nur den Dateiwächter betreffen und nicht die Verhaltensanalyse. Quote Share this post Link to post Share on other sites
Dunrell 0 Report post Posted November 25, 2015 Hallo Chris, alles klar. Es funktioniert. Keine Meldungen mehr von EAM. Vielen Dank für die Hilfe. Dieser Thread kann geschlossen werden. Thx. Teddy Quote Share this post Link to post Share on other sites
Christian Peters 99 Report post Posted November 25, 2015 Hallo, ok und vielen Dank für die Rückmeldung. Quote Share this post Link to post Share on other sites
