Hallo,
wenn wir den neuen Scan-Modus von rxInventory 3.10 verwenden, schlägt AVG Business auf jedem Rechner, der gescannt wird, Alarm, das eine Bedrohung entdeckt wurde.
Was muss ich als Ausnahme in den Virenscanner eintragen, damit das nicht mehr passiert?
Virenscanner schlägt bei neuem Scan-Modus Alarm
-
- Beiträge: 17
- Registriert: Fr 15. Dez 2017, 09:41
Re: Virenscanner schlägt bei neuem Scan-Modus Alarm
Hallo,
gibt es einen Hinweis vom Virenscanner, warum dieser den Scan für eine Bedrohung hält? Mit der freien AVG-Version konnten wir das Problem leider nicht nachstellen.
rxInventory kopiert mit dem neuen Scan-Modus den Scanner auf den Client nach c:\Windows\rxInventoryAgent.exe und startet diesen dort. Nach erfolgtem Scan wird die Datei wieder gelöscht. Eine Ausnahme auf diese Datei sollte also genügen.
Mit dem nächsten Update werden wir die rxInventoryAgent.exe mit einem offiziellen Herausgeberzertifikat (Rubinox GmbH) signieren. Möglicherweise lässt sich im AVG-Virenscanner konfigurieren, dass diesem Herausgeber grundsätzlich vertraut wird.
Gruß
Werner
gibt es einen Hinweis vom Virenscanner, warum dieser den Scan für eine Bedrohung hält? Mit der freien AVG-Version konnten wir das Problem leider nicht nachstellen.
rxInventory kopiert mit dem neuen Scan-Modus den Scanner auf den Client nach c:\Windows\rxInventoryAgent.exe und startet diesen dort. Nach erfolgtem Scan wird die Datei wieder gelöscht. Eine Ausnahme auf diese Datei sollte also genügen.
Mit dem nächsten Update werden wir die rxInventoryAgent.exe mit einem offiziellen Herausgeberzertifikat (Rubinox GmbH) signieren. Möglicherweise lässt sich im AVG-Virenscanner konfigurieren, dass diesem Herausgeber grundsätzlich vertraut wird.
Gruß
Werner
Re: Virenscanner schlägt bei neuem Scan-Modus Alarm
Noch ein Nachtrag:
Der neue Scanmodus lässt sich deaktivieren in den Einstellungen der Scangruppe unter Erweitert mit der Option Klassischer Remote-Scan. Dann werden die Clients wieder ausschließlich über Remote-WMI/Registryzugriff ohne Zuhilfenahme eines Agent gescannt. In dem Fall fehlen dann einige nicht alleine darüber ermittelbare Informationen wie z.B. die Windows-Apps.
Der neue Scanmodus lässt sich deaktivieren in den Einstellungen der Scangruppe unter Erweitert mit der Option Klassischer Remote-Scan. Dann werden die Clients wieder ausschließlich über Remote-WMI/Registryzugriff ohne Zuhilfenahme eines Agent gescannt. In dem Fall fehlen dann einige nicht alleine darüber ermittelbare Informationen wie z.B. die Windows-Apps.
-
- Beiträge: 17
- Registriert: Fr 15. Dez 2017, 09:41
Re: Virenscanner schlägt bei neuem Scan-Modus Alarm
Nein, AVG Business meldet komischerweise die Powershell.exe als Bedrohung, sobald der neue Modus aktiviert ist und man einen PC scannt. Edit: Vielleicht hilft das weiter: https://forum.avast.com/index.php?topic=222632.0
Re: Virenscanner schlägt bei neuem Scan-Modus Alarm
Man findet einige Forumseinträge zu diesem Verhalten des AVG-Scanners. Malware nutzt oft die Powershell.exe, um "unauffällig" Code auszuführen. Somit ist dieser Alarm zumindest nachvollziehbar. Der rxInventory-Agent ruft die Powershell auf, um dort Cmdlets/APIs zu nutzen, die nur dort existieren. Das Aufzählen von Windows Apps zählt z.B. dazu.
Im Moment können wir keine andere Lösung vorschlagen, als für die Powershell.exe im AVG-Scanner eine Ausnahme zu definieren. Der externe Aufruf der Powershell.exe ist nicht optimal. Es ist gut möglich, dass wir in Zukunft einen eigenen Powershell-Host verwenden.
Im Moment können wir keine andere Lösung vorschlagen, als für die Powershell.exe im AVG-Scanner eine Ausnahme zu definieren. Der externe Aufruf der Powershell.exe ist nicht optimal. Es ist gut möglich, dass wir in Zukunft einen eigenen Powershell-Host verwenden.
Re: Virenscanner schlägt bei neuem Scan-Modus Alarm
Mit der aktuellen Version 3.10.15 auf der Webseite sollte das Problem mit dem Virenalarm behoben sein. (Diese Version ist im Moment noch nicht über die integrierte Updatefunktion verfügbar.)
Statt die vorinstallierte powershell.exe nutzt rxInventory jetzt ein eigenes kleines Programm (rxPsHost.exe), welches die Powershell-Runtime hostet.
Gruß
Werner
Statt die vorinstallierte powershell.exe nutzt rxInventory jetzt ein eigenes kleines Programm (rxPsHost.exe), welches die Powershell-Runtime hostet.
Gruß
Werner