Oli 0 Report post Posted August 9 Seit längerem habe ich für die Powershell bei mir eine Regel eingerichtet die diese Anwendung blockiert. Nun sehe ich aber, dass es in den Protokollen dazu desöfteren Einträge gibt und das im fast sekündlichen Rhytmus. Wieso? Kann man das abstellen? Andere Regeln dürfen von der Protokollierung aber nicht beeinflusst werden! Download Image Download Image Quote Share this post Link to post Share on other sites
Claude Bader 10 Report post Posted August 9 Hallo Oli, Danke für die Frage. Ich kläre das gerne ab und werde mich wieder melden. Claude Bader Quote Share this post Link to post Share on other sites
Claude Bader 10 Report post Posted August 10 Hallo Oli, Es sieht so aus, als ob Powershell blockiert ist. Sie können versuchen, das PowerShell Skript von der Überwachung auszuschließen und zu prüfen, ob dies funktioniert. Unter keinen Umständen sollten Sie Powershell selbst ausschließen, das wäre gefährlich. Bitte geben Sie mir Bescheid ob das geklappt hat. Claude Bader Quote Share this post Link to post Share on other sites
Oli 0 Report post Posted August 11 Nur von der Überwachung ausschließen (trotz blockierens) bringt leider nichts. Es kommen dennoch Protokollierungen - siehe Screeenshot. Download Image Wieso sollte es gefährlich sein die Powershell zu blockieren? Im Privatbereich wohl kein wirkliches Problem! Quote Share this post Link to post Share on other sites
Claude Bader 10 Report post Posted August 11 Hallo Oli, Danke, kläre das weiter ab. Claude Quote Share this post Link to post Share on other sites
Icewolf 9 Report post Posted August 11 Dann würde ich die Regel wieder löschen. Wenn das Problem damit nicht behoben ist, dann würde ich temporär in den "Einstellungen" die Werkseinstellung aktivieren. Quote Share this post Link to post Share on other sites
Claude Bader 10 Report post Posted August 12 Hallo Oli, Powershell selber scheint blockiert zu sein, wahrscheinlich durch etwas im Script selber. Bitte schicken Sie uns die FRST Protokolle: https://help.emsisoft.com/de/1743/einen-scan-mit-frst-durchfuehren/ Falls der Computer eine nicht englische Standardsprache verwendet, benennen Sie die Datei vor dem Ausführen von FRST.exe oder FRST64.exe in "FRST-English.exe" um. Dadurch wird sichergestellt, dass Systeme, die mit nicht englischen Sprachen konfiguriert sind, FRST-Protokolle in Englisch darstellen, die auf unserer Seite leichter zu lesen sind. Bitte schicken Sie die Protokolle an [email protected] z.H. Herrn Bader. Claude Quote Share this post Link to post Share on other sites
Oli 0 Report post Posted August 12 Die FRST64.exe (umbenannt in "FRST-English.exe") wird selbst von Emsi als Schädling erkannt! Sollte von euch behoben werden. Quote 12.08.2020 17:33:53 Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\OLI1\Downloads\FRST-English.exe (SHA1: 9776B96507EFF6EEB62E02154C246BF70B4BF6AE) 12.08.2020 17:33:56 Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\OLI1\Downloads\FRST-English.exe" wurde angezeigt 12.08.2020 17:34:00 Benutzer "OLI-PC\SYSTEM" hat geklickt auf "Die Datei scheint sicher zu sein." Quote Share this post Link to post Share on other sites
Claude Bader 10 Report post Posted August 14 Hallo, Der Grund, das FRST von Emsisoft als mögliche Malware erkannt wird ist, dass FRST aus finanziellien Gründen nicht digital signiert ist und manchmal mehrfach am Tag neue Version rausbringt. Das heisst, wir können es nicht permanent whitelisten. Claude Quote Share this post Link to post Share on other sites
