Oli Posted August 9, 2020 Report Share Posted August 9, 2020 Seit längerem habe ich für die Powershell bei mir eine Regel eingerichtet die diese Anwendung blockiert. Nun sehe ich aber, dass es in den Protokollen dazu desöfteren Einträge gibt und das im fast sekündlichen Rhytmus. Wieso? Kann man das abstellen? Andere Regeln dürfen von der Protokollierung aber nicht beeinflusst werden! Link to comment Share on other sites More sharing options...
Claude Bader Posted August 9, 2020 Report Share Posted August 9, 2020 Hallo Oli, Danke für die Frage. Ich kläre das gerne ab und werde mich wieder melden. Claude Bader Link to comment Share on other sites More sharing options...
Claude Bader Posted August 10, 2020 Report Share Posted August 10, 2020 Hallo Oli, Es sieht so aus, als ob Powershell blockiert ist. Sie können versuchen, das PowerShell Skript von der Überwachung auszuschließen und zu prüfen, ob dies funktioniert. Unter keinen Umständen sollten Sie Powershell selbst ausschließen, das wäre gefährlich. Bitte geben Sie mir Bescheid ob das geklappt hat. Claude Bader Link to comment Share on other sites More sharing options...
Oli Posted August 11, 2020 Author Report Share Posted August 11, 2020 Nur von der Überwachung ausschließen (trotz blockierens) bringt leider nichts. Es kommen dennoch Protokollierungen - siehe Screeenshot. Wieso sollte es gefährlich sein die Powershell zu blockieren? Im Privatbereich wohl kein wirkliches Problem! Link to comment Share on other sites More sharing options...
Claude Bader Posted August 11, 2020 Report Share Posted August 11, 2020 Hallo Oli, Danke, kläre das weiter ab. Claude Link to comment Share on other sites More sharing options...
Icewolf Posted August 11, 2020 Report Share Posted August 11, 2020 Dann würde ich die Regel wieder löschen. Wenn das Problem damit nicht behoben ist, dann würde ich temporär in den "Einstellungen" die Werkseinstellung aktivieren. Link to comment Share on other sites More sharing options...
Claude Bader Posted August 12, 2020 Report Share Posted August 12, 2020 Hallo Oli, Powershell selber scheint blockiert zu sein, wahrscheinlich durch etwas im Script selber. Bitte schicken Sie uns die FRST Protokolle: https://help.emsisoft.com/de/1743/einen-scan-mit-frst-durchfuehren/ Falls der Computer eine nicht englische Standardsprache verwendet, benennen Sie die Datei vor dem Ausführen von FRST.exe oder FRST64.exe in "FRST-English.exe" um. Dadurch wird sichergestellt, dass Systeme, die mit nicht englischen Sprachen konfiguriert sind, FRST-Protokolle in Englisch darstellen, die auf unserer Seite leichter zu lesen sind. Bitte schicken Sie die Protokolle an [email protected] z.H. Herrn Bader. Claude Link to comment Share on other sites More sharing options...
Oli Posted August 12, 2020 Author Report Share Posted August 12, 2020 Die FRST64.exe (umbenannt in "FRST-English.exe") wird selbst von Emsi als Schädling erkannt! Sollte von euch behoben werden. Quote 12.08.2020 17:33:53 Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\OLI1\Downloads\FRST-English.exe (SHA1: 9776B96507EFF6EEB62E02154C246BF70B4BF6AE) 12.08.2020 17:33:56 Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\OLI1\Downloads\FRST-English.exe" wurde angezeigt 12.08.2020 17:34:00 Benutzer "OLI-PC\SYSTEM" hat geklickt auf "Die Datei scheint sicher zu sein." Link to comment Share on other sites More sharing options...
Claude Bader Posted August 14, 2020 Report Share Posted August 14, 2020 Hallo, Der Grund, das FRST von Emsisoft als mögliche Malware erkannt wird ist, dass FRST aus finanziellien Gründen nicht digital signiert ist und manchmal mehrfach am Tag neue Version rausbringt. Das heisst, wir können es nicht permanent whitelisten. Claude Link to comment Share on other sites More sharing options...
Recommended Posts