0
MSERT-Scanner und msacm32.drv
Liebe Community,
ich möchte hier einen Erfahrungsbericht von gestern posten, mit der Frage, ob jemand ähnliche Erfahrungen gemacht hat.
Im Zuge von Hafnium habe ich mit dem Skript HealthChecker.ps1 und Test-LogonProxy.ps1 gearbeitet und frühzeitig den Server absichern können.
Zusätzlich zu unserem eigenem AV-Scanner, der täglich die Systempartition prüft, wollte ich nun einen Fullscan mit dem MSERT fahren. Bis dahin hatte das EOMT-Skript nur Quickscans ausgelöst. Auf unseren zwei Exchange-Servern ist mir Folgendes aufgefallen:
- der Scan blieb bei der Datei msacm32.drv stehen, erst nach mehr als 25 Minuten Wartezeit ging der Suchlauf weiter.
- während des laufenden Scans ging der Counter bei "infizierte Dateien" hoch auf 13. Entsprechend hoch auch mein Puls ....
- in der Zusammenfassung (und im Logfile) blieb davon nur eine Datei übrig, das Skript detect_webshells.ps1, das ich selbst auf den Server kopiert hatte
Diese Beobachtung beziehen sich auf diese MSERT-Version:
Microsoft Safety Scanner v1.333, (build 1.333.1074.0)
Engine: 1.1.17900.7
Signatures: 1.333.1074.0
MpGear: 1.1.16330.1
(der tagesaktuelle Build von heute meldet sich mit 1.333.1167.0)
Hat jemand eine Idee, warum der Scanner sich gerade bei der msacm32.drv festgebissen hat?
Viele Grüße,
uocnma.
ich möchte hier einen Erfahrungsbericht von gestern posten, mit der Frage, ob jemand ähnliche Erfahrungen gemacht hat.
Im Zuge von Hafnium habe ich mit dem Skript HealthChecker.ps1 und Test-LogonProxy.ps1 gearbeitet und frühzeitig den Server absichern können.
Zusätzlich zu unserem eigenem AV-Scanner, der täglich die Systempartition prüft, wollte ich nun einen Fullscan mit dem MSERT fahren. Bis dahin hatte das EOMT-Skript nur Quickscans ausgelöst. Auf unseren zwei Exchange-Servern ist mir Folgendes aufgefallen:
- der Scan blieb bei der Datei msacm32.drv stehen, erst nach mehr als 25 Minuten Wartezeit ging der Suchlauf weiter.
- während des laufenden Scans ging der Counter bei "infizierte Dateien" hoch auf 13. Entsprechend hoch auch mein Puls ....
- in der Zusammenfassung (und im Logfile) blieb davon nur eine Datei übrig, das Skript detect_webshells.ps1, das ich selbst auf den Server kopiert hatte
Diese Beobachtung beziehen sich auf diese MSERT-Version:
Microsoft Safety Scanner v1.333, (build 1.333.1074.0)
Engine: 1.1.17900.7
Signatures: 1.333.1074.0
MpGear: 1.1.16330.1
(der tagesaktuelle Build von heute meldet sich mit 1.333.1167.0)
Hat jemand eine Idee, warum der Scanner sich gerade bei der msacm32.drv festgebissen hat?
Viele Grüße,
uocnma.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665071
Url: https://administrator.de/contentid/665071
Printed on: April 25, 2024 at 13:04 o'clock
