Oli 0 Posted August 9, 2020 Report Share Posted August 9, 2020 Seit längerem habe ich für die Powershell bei mir eine Regel eingerichtet die diese Anwendung blockiert. Nun sehe ich aber, dass es in den Protokollen dazu desöfteren Einträge gibt und das im fast sekündlichen Rhytmus. Wieso? Kann man das abstellen? Andere Regeln dürfen von der Protokollierung aber nicht beeinflusst werden! Quote Link to post Share on other sites
Claude Bader 10 Posted August 9, 2020 Report Share Posted August 9, 2020 Hallo Oli, Danke für die Frage. Ich kläre das gerne ab und werde mich wieder melden. Claude Bader Quote Link to post Share on other sites
Claude Bader 10 Posted August 10, 2020 Report Share Posted August 10, 2020 Hallo Oli, Es sieht so aus, als ob Powershell blockiert ist. Sie können versuchen, das PowerShell Skript von der Überwachung auszuschließen und zu prüfen, ob dies funktioniert. Unter keinen Umständen sollten Sie Powershell selbst ausschließen, das wäre gefährlich. Bitte geben Sie mir Bescheid ob das geklappt hat. Claude Bader Quote Link to post Share on other sites
Oli 0 Posted August 11, 2020 Author Report Share Posted August 11, 2020 Nur von der Überwachung ausschließen (trotz blockierens) bringt leider nichts. Es kommen dennoch Protokollierungen - siehe Screeenshot. Wieso sollte es gefährlich sein die Powershell zu blockieren? Im Privatbereich wohl kein wirkliches Problem! Quote Link to post Share on other sites
Claude Bader 10 Posted August 11, 2020 Report Share Posted August 11, 2020 Hallo Oli, Danke, kläre das weiter ab. Claude Quote Link to post Share on other sites
Icewolf 9 Posted August 11, 2020 Report Share Posted August 11, 2020 Dann würde ich die Regel wieder löschen. Wenn das Problem damit nicht behoben ist, dann würde ich temporär in den "Einstellungen" die Werkseinstellung aktivieren. Quote Link to post Share on other sites
Claude Bader 10 Posted August 12, 2020 Report Share Posted August 12, 2020 Hallo Oli, Powershell selber scheint blockiert zu sein, wahrscheinlich durch etwas im Script selber. Bitte schicken Sie uns die FRST Protokolle: https://help.emsisoft.com/de/1743/einen-scan-mit-frst-durchfuehren/ Falls der Computer eine nicht englische Standardsprache verwendet, benennen Sie die Datei vor dem Ausführen von FRST.exe oder FRST64.exe in "FRST-English.exe" um. Dadurch wird sichergestellt, dass Systeme, die mit nicht englischen Sprachen konfiguriert sind, FRST-Protokolle in Englisch darstellen, die auf unserer Seite leichter zu lesen sind. Bitte schicken Sie die Protokolle an [email protected] z.H. Herrn Bader. Claude Quote Link to post Share on other sites
Oli 0 Posted August 12, 2020 Author Report Share Posted August 12, 2020 Die FRST64.exe (umbenannt in "FRST-English.exe") wird selbst von Emsi als Schädling erkannt! Sollte von euch behoben werden. Quote 12.08.2020 17:33:53 Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\OLI1\Downloads\FRST-English.exe (SHA1: 9776B96507EFF6EEB62E02154C246BF70B4BF6AE) 12.08.2020 17:33:56 Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\OLI1\Downloads\FRST-English.exe" wurde angezeigt 12.08.2020 17:34:00 Benutzer "OLI-PC\SYSTEM" hat geklickt auf "Die Datei scheint sicher zu sein." Quote Link to post Share on other sites
Claude Bader 10 Posted August 14, 2020 Report Share Posted August 14, 2020 Hallo, Der Grund, das FRST von Emsisoft als mögliche Malware erkannt wird ist, dass FRST aus finanziellien Gründen nicht digital signiert ist und manchmal mehrfach am Tag neue Version rausbringt. Das heisst, wir können es nicht permanent whitelisten. Claude Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.