Sign in to follow this  
Oli

WSUS Offline Update Batch-Dateien - Fehlalarme

Recommended Posts

Hallo,

könntet ihr euch bitte http://wsusoffline.net/ anschauen und die darin enthaltenenen Batch-Dateien (.cmd im Ordner client) auf die Whiteliste setzen?
Hab gestern wsusoffline verwendet um die aktuellen Windows-Update herunterzuladen und zu installieren - gut, dass ich beim Installieren dabei geblieben bin, denn es poppte ein Fenster bei einer der Batch-Dateien auf (sonst hätte er nichts installieren können).

Die Batch-Datei liegt während der gesamten Update-Installation (wohl) in "C:\Windows\Temp\WOURecall\RecallStub.cmd", obwohl ich wsusoffline (komplett) auf einem anderen Laufwerk ausführe.

Da ich die Datei erlaubt habe: Anwendungsregel erstellt für "C:\Windows\Temp\WOURecall\RecallStub.cmd"

 

 

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank dass Sie unseren Support kontaktiert haben.

Danke für die Zeit den Vorfall zu melden. Gerne werde ich mir wsusoffline ansehen und über meine Kollegen in Erfahrung bringen ob wir von unserer Seite etwas gegen die Erkennung unternehmen können.

Ich melde mich auch noch einmal hier zurück sobald ich die Gelegenheit hatte die Situation mit meinen Kollegen zu besprechen.

Zwischenzeitlich stehe ich für Ihre Anliegen gerne weiter zur Verfügung.

Share this post


Link to post
Share on other sites
Am 18.3.2019 um 17:59 schrieb Thomas Ott:

Ich melde mich auch noch einmal hier zurück sobald ich die Gelegenheit hatte die Situation mit meinen Kollegen zu besprechen.

Sind die Whitelist-Signaturen schon veröffentlicht?🤔

Bis zum nächsten Windows-Update (Di. 09.04.) wäre noch etwas Zeit.

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für den Hinweis.

Es tut mir Leid, ich sehe gerade dass ich es versäumt habe mich noch einmal zurückzumelden.

Für die besagte BAT-Datei welche im letzte Post erwähnt wurde ist nun auf einem Testsystem keine Warnung mehr angezeigt worden.

Sollte das Problem beim erneuten Versuch bei Ihnen wieder auftreten würde ich Sie bitte uns kurz noch einmal mit dem SHA1 Wert der mit der Erkennung von Emsisoft Anti-Malware angezeigt wird Bescheid zu geben damit man sich die Angelegenheit noch einmal genauer ansehen kann.

Für weitere Fragen stehe ich gerne zur Verfügung. Ich wünsche Ihnen ein schönes Rest-Wochenende!

 

Share this post


Link to post
Share on other sites

Bitte überprüft noch einmal WsusOffline in der aktuellsten Version (11.7.2), da ich diesmal eine Meldung von wget.exe (im bin-Verzeichnis) erhalte und er einen Download von Windows-Updates verhindert!

14.06.2019 18:18:54


Verhaltensanalyse-Fund: verdächtiges verhalten "TrojanDownloader" von N/A (SHA1: 18A870960334BE784ABD9E3AAB9329040B49FBEA)

14.06.2019 18:31:40
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: N/A" wurde angezeigt

14.06.2019 18:31:46
Benutzer "OLI-PC\Oli" hat geklickt auf "OK"

Deaktiviere ich Emsisoft AntiMalware dann kann ich die Windows-Updates mit WsusOffline laden!

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für deine Nachricht.

Falsch-Positiv Meldungen können am schnellsten über [email protected] gemeldet werden.

Gerne gebe ich die Information an meine Kollegen weiter damit man die gemeldete Datei überprüfen und die Falschmeldung beheben kann.

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für Ihre Rückmeldung.

Die Datei wget.exe wurde laut unseren Malware-Analysten digital signiert und sollte daher nicht von Emsisoft Anti-Malware blockiert werden.

Möglicherweise gab es zu dem Zeitpunkt ein Verbindungsproblem so dass die Verhaltensanalyse die Datei dann doch gemeldet hat.

Wir haben die Datei nun in die Whitelist aufgenommen. Bitte lassen Sie mich wissen wenn wir Ihnen noch behilflich sein können.

Share this post


Link to post
Share on other sites

Habt ihr Wsusoffline einmal ausprobiert während Emsisoft - mit allen Schzumechanismen - aktiviert ist?:unsure:
Also bei mir klappt dann nichts!<_<
Das wäre für mich jetzt der Supergau, weil es am Dienstag kommender Woche ja wieder Window-Updates gibt.:rolleyes:

Nur mit komplett beendeter Emsisoft klappt's bei mir mit Wsusoffline!:wacko:

Leider gibt es in dem Emsisoft Protokoll keine Hinweise.

Share this post


Link to post
Share on other sites

Hallo Oli,

Ich bitte um Verzeihung für meine späte Rückmeldung.

Wenn eine Datei ordnungsgemäß digital signiert wurde dann sollte es von Emsisoft Anti-Malware auch keine Meldung geben.

Das letzte Mal bezog sich der Alarm welcher auf Ihrem Rechner angezeigt wurde auf "wget.exe"; die Datei war aber ordnungsgemäß signiert und ein Alarm hätte von Emsisoft Anti-Malware eventuell nur ausgelöst werden sollen wenn vielleicht ein Verbindungsproblem bestanden hat.

Wenn bereits bekannt ist dass mit den aktuellen Einstellungen von Emsisoft Anti-Malware auf Ihrem System Probleme mit Wsusoffline auftreten dann empfiehlt es sich insofern der Quelle vertraut wird Emsisoft Anti-Malware temporär zu deaktivieren. Ansonsten könnten man versuchen die Standardeinstellungen von Emsisoft Anti-Malware wiederherzustellen bzw. prüfen ob die Situation nach einer Neuinstallation noch immer die Selbe ist.

Von unserer Seite werden vorher keine Tests explizit für Wsusoffline durchgeführt aber es sind auch keine Probleme bekannt.

Für weitere Fragen stehe ich gerne zur Verfügung.

Share this post


Link to post
Share on other sites
On 7/8/2019 at 2:15 PM, Thomas Ott said:

Wenn bereits bekannt ist dass mit den aktuellen Einstellungen von Emsisoft Anti-Malware auf Ihrem System Probleme mit Wsusoffline auftreten dann empfiehlt es sich insofern der Quelle vertraut wird Emsisoft Anti-Malware temporär zu deaktivieren.

Sollte aber nicht Sinn und Zweck sein.
Wie geschrieben: Mit komplett deaktiviertem Emsisoft kann Wsusoffline sich mit den MS-Servern verbinden und die Updates laden.

On 7/8/2019 at 2:15 PM, Thomas Ott said:

Ansonsten könnten man versuchen die Standardeinstellungen von Emsisoft Anti-Malware wiederherzustellen bzw. prüfen ob die Situation nach einer Neuinstallation noch immer die Selbe ist.

Ungern... weder auf Standardeinstellungen zurücksetzen noch Neuinstallation von Emsisoft. Letzters hatte ich in der Vergangenheit ja schon das ein oder andere mal tun müssen.

On 7/8/2019 at 2:15 PM, Thomas Ott said:

Von unserer Seite werden vorher keine Tests explizit für Wsusoffline durchgeführt aber es sind auch keine Probleme bekannt.

Tja, wäre aber mal interessant, wenn ihr das mal testen würdet, ob ihr auf dasselbe Ergebnis kommt wie ich.;)

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für Ihre Rückmeldung.

Wenn Sie sagen dass während Emsisoft Anti-Malware aktiviert ist mit dem WSUS Update nichts funktioniert, so nehme ich an dass dies nur der Fall ist wenn eine Warnung die bei dem Vorgang verursacht wird nicht vom Nutzer beantwortet wird.

Wir können zwar nicht pro-aktiv im Vorfeld jedes mal die neuen File-Signaturen von WSUS in Erfahrung bringen und es könnte bis es Erfahrungswerte vom Anti-Malware Netzwerk für neuere Dateiversionen gibt welche verursacht werden; aber als Sie uns Mitte Juni wegen einer Falschmeldung bezüglich WSUS kontaktiert haben hätte es für die konkrete Datei mit der Signatur "18A870960334BE784ABD9E3AAB9329040B49FBEA" eigentlich von Emsisoft Anti-Malware keine Warnung geben sollen.

Das spricht dafür dass man sich die bestehende Installation von Emsisoft Anti-Malware ansehen sollte bzw. die verwendeten Regeln und Einstellungen; wurde auch getestet und war dann auf unserer Seite nicht nachvollziehbar. Um zu sehen ob sich Emsisoft Anti-Malware mit Standardeinstellungen auf Ihrem System anders verhält könnten die Einstellungen vorher exportiert werden, so dass diese danach wiederhergestellt werden können.

Ich habe den WSUS Offline Updater nun gerade in einer virtuellen Maschine mit Windows 10 x64 Bit getestet und bisher werden die Updates wie vorgesehen heruntergeladen.

Share this post


Link to post
Share on other sites

Habe es 2 mal mit zurückgesetzter Emsisoft probiert (einmal gestern, einmal heute) aber kein Erfolg!

Wsusoffline bleibt gleich zu Anfang "hängen". Habe dann abgebrochen (2x gestern, 1x heute) und das Laufwerk (jeweils) entfernt (auf dem Wsusoffline liegt) und dann kam jeweils folgende Meldung von Emsisoft:

Quote

12.07.2019 14:40:00
Verhaltensanalyse-Fund: verdächtiges verhalten "TrojanDownloader" von N/A (SHA1: DC33EAAF30C520B61FA1DAF69BB70ED9AEB8833D)

12.07.2019 14:40:33
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: N/A" wurde angezeigt

12.07.2019 14:40:42
Benutzer "OLI-PC\OLI" hat geklickt auf "Die Datei scheint sicher zu sein."

 

Quote

12.07.2019 14:41:28
Verhaltensanalyse-Fund: verdächtiges verhalten "TrojanDownloader" von N/A (SHA1: DC33EAAF30C520B61FA1DAF69BB70ED9AEB8833D)

12.07.2019 14:41:48
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: N/A" wurde angezeigt

12.07.2019 14:41:50
Benutzer "OLI-PC\OLI" hat geklickt auf "Die Datei scheint sicher zu sein."

Quote

13.07.2019 09:40:03
Verhaltensanalyse-Fund: verdächtiges verhalten "TrojanDownloader" von N/A (SHA1: DC33EAAF30C520B61FA1DAF69BB70ED9AEB8833D)

13.07.2019 09:40:47
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: N/A" wurde angezeigt

13.07.2019 09:40:50
Benutzer "OLI-PC\OLI" hat geklickt auf "Die Datei scheint sicher zu sein."

Und die Datei mit dem SHA1-Hash (DC33...) ist die wget64.exe.
Das Laufwerk ist schon in den Ausnahmen aufgenommen und es hat in der Vergangenheit ja auch alles funktioniert!

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für Ihre Rückmeldung.

Bitte entschuldigen Sie die Umstände. Es ist zwar normal dass die Verhaltensanalyse in diesem Fall anschlägt, allerdings sollte die Meldung automatisch von Emsisoft Anti-Malware abgearbeitet werden.

Für die Signatur der gemeldeten Datei wurde zuletzt wenige Stunden bevor Sie das Update mit WSUS Offline Update durchgeführt haben auf der Seite VirusTotal eine Analyse durchgeführt die bestätigt dass Emsisoft Anti-Malware unter normalen Bedingungen mit Standardeinstellungen kein Fund gemeldet werden sollte: https://www.virustotal.com/gui/file/c0e27b7f6698327ff63b03fccc0e45eff1dc69a571c1c3f6c934ef7273b1562f/detection

Wenn eine Verbindung zu unseren Servern aufgebaut werden kann und in den Einstellungen von Emsisoft Anti-Malware die Optionen "Ruf von Programmen überprüfen" und "Automatisch zulassen bei gutem Ruf" aktiviert sind sollte es zu keinem Zwischenfall kommen.

Ich kann Ihnen in dem Fall gerne anbieten dass wir einen genaueren Blick auf die bestehende Installation von Emsisoft Anti-Malware auf Ihrem System werfen. Könnten Sie dazu bitte eine Log Datei mit Hilfe unseres Emsisoft-Diagnose-Tools erstellen und mir diese Datei in einer privaten Nachricht hier im Forum oder auch per E-Mail an [email protected] zukommen lassen? 

Sie können unser Diagnose-Tool von folgenden Link herunterladen: http://cdn.emsisoft.com/EmsiDiagTool.exe

Eine Anleitung dafür können Sie auf der folgenden Seite finden: https://help.emsisoft.com/de/1736/emsisoft-diagnostic-tool-ausfuehren/

Bitte senden Sie zusätzlich auch die Datei "logs.db3" welche Sie im Installationsverzeichnis von Emsisoft Anti-Malware auf Ihrer Festplatte finden können.

Zwischenzeitlich stehe ich für Ihre Anliegen gerne weiter zur Verfügung.

Share this post


Link to post
Share on other sites

Was, wenn mir das EmsiDiagTool keine Datei auf dem Desktop anlegt? 2x durchlaufen lassen, keine Datei auf dem Desktop angelegt.
Was, wenn es im Installationsverezichnis keine logs.db3 gibt?

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für Ihre Rückmeldung.

Ich bitte um Verzeihung für meine äußerst späte Rückmeldung.

Wenn das Emsisoft Diagnostic Tool ausgeführt wird, ist dann ganz oben in der Leiste des Programm-Fensters Version "v1.4" eingeblendet?

Könnten Sie bitte nach der Ausführung vom Diagnose-Tool eine system-weite Suche nach "EmsisoftDiagLog.txt" starten und prüfen ob die Datei so lokalisiert werden kann?

Die Datei logs.db3 sollte sich nicht direkt im Installationsverzeichnis von Emsisoft Anti-Malware befinden, aber im Installationsverzeichnis sollte ein Ordner "Logs" zu finden sein.

Im Ordner "Logs" im Installationsverzeichnis von Emsisoft Anti-Malware befindet sich dann die logs.db3 Datei. Lässt sich die Datei dort auffinden?

 

Share this post


Link to post
Share on other sites
35 minutes ago, Thomas Ott said:

Wenn das Emsisoft Diagnostic Tool ausgeführt wird, ist dann ganz oben in der Leiste des Programm-Fensters Version "v1.4" eingeblendet?

Könnten Sie bitte nach der Ausführung vom Diagnose-Tool eine system-weite Suche nach "EmsisoftDiagLog.txt" starten und prüfen ob die Datei so lokalisiert werden kann?

Die Datei logs.db3 sollte sich nicht direkt im Installationsverzeichnis von Emsisoft Anti-Malware befinden, aber im Installationsverzeichnis sollte ein Ordner "Logs" zu finden sein.

Im Ordner "Logs" im Installationsverzeichnis von Emsisoft Anti-Malware befindet sich dann die logs.db3 Datei. Lässt sich die Datei dort auffinden?

 

Version 1.4 wird angezeigt.

EmsisoftDiagLog.txt... jetzt klar(!):rolleyes:
Ich hatte mit dem normalen Benutzer meinen Desktop durchsucht und die Suche bemüht, statt den des Admin-Kontos.:blush:

logs.db3 nun lokalisiert.

Wird alles per Mail - mit Hinweis auf den Thread - verschickt.;)

Danke!:thumbs:

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank, ich kann den Erhalt bestätigen.

Ich werde die Situation und Log-Informationen nun gemeinsam mit meinen Kollegen besprechen.

Ich melde mich wieder sobald ich weiteres in Erfahrung bringen konnte.

Share this post


Link to post
Share on other sites

Hallo Oli,

vielen Dank für die Rückmeldung hier im Forum.

Gut dass WSUS Offline nun ohne Zwischenfälle verwendet werden kann.

Ich wünsche Ihnen einen guten Start in die neue Woche! :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.