Oli

Nach Regel blockierte Anwendung protokolliert

Recommended Posts

Seit längerem habe ich für die Powershell bei mir eine Regel eingerichtet die diese Anwendung blockiert.

Nun sehe ich aber, dass es in den Protokollen dazu desöfteren Einträge gibt und das im fast sekündlichen Rhytmus.
Wieso?
Kann man das abstellen?

Andere Regeln dürfen von der Protokollierung aber nicht beeinflusst werden!

Blockierte Powershell Protokollierung.jpg
Download Image

Blockierte Powershell Protokollierung 09.08.2020.jpg
Download Image

Share this post


Link to post
Share on other sites

Hallo Oli,

Es sieht so aus, als ob Powershell blockiert ist. Sie können versuchen, das PowerShell Skript von der Überwachung auszuschließen und zu prüfen, ob dies funktioniert. Unter keinen Umständen sollten Sie Powershell selbst ausschließen, das wäre gefährlich.

Bitte geben Sie mir Bescheid ob das geklappt hat.

Claude Bader

Share this post


Link to post
Share on other sites

Nur von der Überwachung ausschließen (trotz blockierens) bringt leider nichts. Es kommen dennoch Protokollierungen - siehe Screeenshot.

457192347_BlockiertePowershellProtokollierung10_08_2020.thumb.jpg.5922f93f8f18b55a8f23762b79305c49.jpg
Download Image

Wieso sollte es gefährlich sein die Powershell zu blockieren?
Im Privatbereich wohl kein wirkliches Problem!

Share this post


Link to post
Share on other sites

Dann würde ich die Regel wieder löschen. Wenn das Problem damit nicht behoben ist, dann würde ich temporär in den "Einstellungen" die Werkseinstellung aktivieren.

Share this post


Link to post
Share on other sites

Hallo Oli,

Powershell selber scheint blockiert zu sein, wahrscheinlich durch etwas im Script selber. Bitte schicken Sie uns die FRST Protokolle:  https://help.emsisoft.com/de/1743/einen-scan-mit-frst-durchfuehren/

Falls der Computer eine nicht englische Standardsprache verwendet, benennen Sie die Datei vor dem Ausführen von FRST.exe oder FRST64.exe in "FRST-English.exe" um. Dadurch wird sichergestellt, dass Systeme, die mit nicht englischen Sprachen konfiguriert sind, FRST-Protokolle in Englisch darstellen, die auf unserer Seite leichter zu lesen sind.

Bitte schicken Sie die Protokolle an [email protected] z.H. Herrn Bader.

Claude

Share this post


Link to post
Share on other sites

Die FRST64.exe (umbenannt in "FRST-English.exe") wird selbst von Emsi als Schädling erkannt!

Sollte von euch behoben werden.;)

Quote

12.08.2020 17:33:53
Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\OLI1\Downloads\FRST-English.exe (SHA1: 9776B96507EFF6EEB62E02154C246BF70B4BF6AE)

12.08.2020 17:33:56
Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\OLI1\Downloads\FRST-English.exe" wurde angezeigt

12.08.2020 17:34:00
Benutzer "OLI-PC\SYSTEM" hat geklickt auf "Die Datei scheint sicher zu sein."

 

Share this post


Link to post
Share on other sites

Hallo,

Der Grund, das FRST von Emsisoft als mögliche Malware erkannt wird ist, dass FRST aus finanziellien Gründen nicht digital signiert ist und manchmal mehrfach am Tag neue Version rausbringt. Das heisst, wir können es nicht permanent whitelisten.

Claude

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.