Jump to content

Nach Regel blockierte Anwendung protokolliert


Recommended Posts

Seit längerem habe ich für die Powershell bei mir eine Regel eingerichtet die diese Anwendung blockiert.

Nun sehe ich aber, dass es in den Protokollen dazu desöfteren Einträge gibt und das im fast sekündlichen Rhytmus.
Wieso?
Kann man das abstellen?

Andere Regeln dürfen von der Protokollierung aber nicht beeinflusst werden!

Blockierte Powershell Protokollierung.jpg

Blockierte Powershell Protokollierung 09.08.2020.jpg

Link to comment
Share on other sites

Hallo Oli,

Es sieht so aus, als ob Powershell blockiert ist. Sie können versuchen, das PowerShell Skript von der Überwachung auszuschließen und zu prüfen, ob dies funktioniert. Unter keinen Umständen sollten Sie Powershell selbst ausschließen, das wäre gefährlich.

Bitte geben Sie mir Bescheid ob das geklappt hat.

Claude Bader

Link to comment
Share on other sites

Nur von der Überwachung ausschließen (trotz blockierens) bringt leider nichts. Es kommen dennoch Protokollierungen - siehe Screeenshot.

457192347_BlockiertePowershellProtokollierung10_08_2020.thumb.jpg.5922f93f8f18b55a8f23762b79305c49.jpg

Wieso sollte es gefährlich sein die Powershell zu blockieren?
Im Privatbereich wohl kein wirkliches Problem!

Link to comment
Share on other sites

Hallo Oli,

Powershell selber scheint blockiert zu sein, wahrscheinlich durch etwas im Script selber. Bitte schicken Sie uns die FRST Protokolle:  https://help.emsisoft.com/de/1743/einen-scan-mit-frst-durchfuehren/

Falls der Computer eine nicht englische Standardsprache verwendet, benennen Sie die Datei vor dem Ausführen von FRST.exe oder FRST64.exe in "FRST-English.exe" um. Dadurch wird sichergestellt, dass Systeme, die mit nicht englischen Sprachen konfiguriert sind, FRST-Protokolle in Englisch darstellen, die auf unserer Seite leichter zu lesen sind.

Bitte schicken Sie die Protokolle an [email protected] z.H. Herrn Bader.

Claude

Link to comment
Share on other sites

Die FRST64.exe (umbenannt in "FRST-English.exe") wird selbst von Emsi als Schädling erkannt!

Sollte von euch behoben werden.;)

Quote

12.08.2020 17:33:53
Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\OLI1\Downloads\FRST-English.exe (SHA1: 9776B96507EFF6EEB62E02154C246BF70B4BF6AE)

12.08.2020 17:33:56
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\OLI1\Downloads\FRST-English.exe" wurde angezeigt

12.08.2020 17:34:00
Benutzer "OLI-PC\SYSTEM" hat geklickt auf "Die Datei scheint sicher zu sein."

 

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...