4
Windows Defender - Ausschlussliste zieht nicht
Hallo Kollegen,
wir lassen im Netzwerk ein Skript laufen, das Volumenschattenkopien löscht.
Seit dieser Woche verhindert das der Windows Defender, weil er es für einen Angriff hält.
Setze ich nun per GPO eine Exclusion für den Prozess vssadmin bzw. für den Pfad c:\windows\system32\vssadmin.exe, dann bewirken diese nichts, weiter wird der Aufruf geblockt. Andere Exclusions hingegen wirken.
Wer kann mir sagen, was Microsoft da für einen XXX macht? Wie soll man denn sowas unterbinden?
Sie haben also eine bestimmte commandline gesperrt nur mit diesen Parametern:
Kennt jemand dieses Problem und weiß, wie man "Path: CmdLine:..." korrekt in der Ausschlussliste angegeben werden muss?
Logeintrag:
Testen kann ich hier auch nichts, weil dieser verpennte Scanner es manchmal auch gar nicht erkennt!
wir lassen im Netzwerk ein Skript laufen, das Volumenschattenkopien löscht.
Seit dieser Woche verhindert das der Windows Defender, weil er es für einen Angriff hält.
Setze ich nun per GPO eine Exclusion für den Prozess vssadmin bzw. für den Pfad c:\windows\system32\vssadmin.exe, dann bewirken diese nichts, weiter wird der Aufruf geblockt. Andere Exclusions hingegen wirken.
Wer kann mir sagen, was Microsoft da für einen XXX macht? Wie soll man denn sowas unterbinden?
Sie haben also eine bestimmte commandline gesperrt nur mit diesen Parametern:
C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
bieten aber keine Möglichkeit, das auszuschließen. Da die Nutzer anfingen mich zu nerven, ist die Skriptzeile zunächst mal auskommentiert.Kennt jemand dieses Problem und weiß, wie man "Path: CmdLine:..." korrekt in der Ausschlussliste angegeben werden muss?
Logeintrag:
Microsoft Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Shad ...
Name: Trojan:Win32/ShadowCopyDelQuiet.A
ID: 2147785319
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.343.1268.0, AS: 1.343.1268.0, NIS: 1.343.1268.0
Engine Version: AM: 1.1.18300.4, NIS: 1.1.18300.4
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Shad ...
Name: Trojan:Win32/ShadowCopyDelQuiet.A
ID: 2147785319
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.343.1268.0, AS: 1.343.1268.0, NIS: 1.343.1268.0
Engine Version: AM: 1.1.18300.4, NIS: 1.1.18300.4
Testen kann ich hier auch nichts, weil dieser verpennte Scanner es manchmal auch gar nicht erkennt!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1060209053
Url: https://administrator.de/contentid/1060209053
Printed on: May 4, 2024 at 16:05 o'clock
4 Comments
Latest comment
Hi,
ich weiß es nicht.
Mir ist nur das "_" in
E.
ich weiß es nicht.
Mir ist nur das "_" in
Path: CmdLine:_C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
aufgefallen. Soll das so sein?E.
Frag mich nicht, das ist nicht von mir, sondern MS speak.
Übrigens:
mit diesem Kommando kann man hivenightmare abwehren... also nicht unwichtig, dass es überall läuft!
mit diesem Kommando kann man hivenightmare abwehren... also nicht unwichtig, dass es überall läuft!
