Virenscanner schlägt bei neuem Scan-Modus Alarm

Bereich für allgemeine Beiträge.
Antworten
HeikoAdamsFlyerwire
Beiträge: 17
Registriert: Fr 15. Dez 2017, 09:41

Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von HeikoAdamsFlyerwire »

Hallo,
wenn wir den neuen Scan-Modus von rxInventory 3.10 verwenden, schlägt AVG Business auf jedem Rechner, der gescannt wird, Alarm, das eine Bedrohung entdeckt wurde.
Was muss ich als Ausnahme in den Virenscanner eintragen, damit das nicht mehr passiert?
WernerB
Beiträge: 112
Registriert: Mo 20. Jul 2009, 07:41

Re: Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von WernerB »

Hallo,

gibt es einen Hinweis vom Virenscanner, warum dieser den Scan für eine Bedrohung hält? Mit der freien AVG-Version konnten wir das Problem leider nicht nachstellen.

rxInventory kopiert mit dem neuen Scan-Modus den Scanner auf den Client nach c:\Windows\rxInventoryAgent.exe und startet diesen dort. Nach erfolgtem Scan wird die Datei wieder gelöscht. Eine Ausnahme auf diese Datei sollte also genügen.

Mit dem nächsten Update werden wir die rxInventoryAgent.exe mit einem offiziellen Herausgeberzertifikat (Rubinox GmbH) signieren. Möglicherweise lässt sich im AVG-Virenscanner konfigurieren, dass diesem Herausgeber grundsätzlich vertraut wird.

Gruß
Werner
WernerB
Beiträge: 112
Registriert: Mo 20. Jul 2009, 07:41

Re: Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von WernerB »

Noch ein Nachtrag:

Der neue Scanmodus lässt sich deaktivieren in den Einstellungen der Scangruppe unter Erweitert mit der Option Klassischer Remote-Scan. Dann werden die Clients wieder ausschließlich über Remote-WMI/Registryzugriff ohne Zuhilfenahme eines Agent gescannt. In dem Fall fehlen dann einige nicht alleine darüber ermittelbare Informationen wie z.B. die Windows-Apps.
HeikoAdamsFlyerwire
Beiträge: 17
Registriert: Fr 15. Dez 2017, 09:41

Re: Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von HeikoAdamsFlyerwire »

WernerB hat geschrieben: Do 28. Feb 2019, 10:18 gibt es einen Hinweis vom Virenscanner, warum dieser den Scan für eine Bedrohung hält? Mit der freien AVG-Version konnten wir das Problem leider nicht nachstellen.
Nein, AVG Business meldet komischerweise die Powershell.exe als Bedrohung, sobald der neue Modus aktiviert ist und man einen PC scannt.
avg.png
avg.png (56.69 KiB) 37026 mal betrachtet
Edit: Vielleicht hilft das weiter: https://forum.avast.com/index.php?topic=222632.0
WernerB
Beiträge: 112
Registriert: Mo 20. Jul 2009, 07:41

Re: Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von WernerB »

Man findet einige Forumseinträge zu diesem Verhalten des AVG-Scanners. Malware nutzt oft die Powershell.exe, um "unauffällig" Code auszuführen. Somit ist dieser Alarm zumindest nachvollziehbar. Der rxInventory-Agent ruft die Powershell auf, um dort Cmdlets/APIs zu nutzen, die nur dort existieren. Das Aufzählen von Windows Apps zählt z.B. dazu.

Im Moment können wir keine andere Lösung vorschlagen, als für die Powershell.exe im AVG-Scanner eine Ausnahme zu definieren. Der externe Aufruf der Powershell.exe ist nicht optimal. Es ist gut möglich, dass wir in Zukunft einen eigenen Powershell-Host verwenden.
WernerB
Beiträge: 112
Registriert: Mo 20. Jul 2009, 07:41

Re: Virenscanner schlägt bei neuem Scan-Modus Alarm

Beitrag von WernerB »

Mit der aktuellen Version 3.10.15 auf der Webseite sollte das Problem mit dem Virenalarm behoben sein. (Diese Version ist im Moment noch nicht über die integrierte Updatefunktion verfügbar.)

Statt die vorinstallierte powershell.exe nutzt rxInventory jetzt ein eigenes kleines Programm (rxPsHost.exe), welches die Powershell-Runtime hostet.

Gruß
Werner
Antworten