Windows Defender - Ausschlussliste zieht nicht

Mitglied: DerWoWusste
Hallo Kollegen,

wir lassen im Netzwerk ein Skript laufen, das Volumenschattenkopien löscht.
Seit dieser Woche verhindert das der Windows Defender, weil er es für einen Angriff hält.
Setze ich nun per GPO eine Exclusion für den Prozess vssadmin bzw. für den Pfad c:\windows\system32\vssadmin.exe, dann bewirken diese nichts, weiter wird der Aufruf geblockt. Andere Exclusions hingegen wirken.

Wer kann mir sagen, was Microsoft da für einen XXX macht? Wie soll man denn sowas unterbinden?
Sie haben also eine bestimmte commandline gesperrt nur mit diesen Parametern:
C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
bieten aber keine Möglichkeit, das auszuschließen. Da die Nutzer anfingen mich zu nerven, ist die Skriptzeile zunächst mal auskommentiert.

Kennt jemand dieses Problem und weiß, wie man "Path: CmdLine:..." korrekt in der Ausschlussliste angegeben werden muss?
Logeintrag:

Microsoft Defender Antivirus has taken action to protect this machine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Shad ...
Name: Trojan:Win32/ShadowCopyDelQuiet.A
ID: 2147785319
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Action: Not Applicable
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.343.1268.0, AS: 1.343.1268.0, NIS: 1.343.1268.0
Engine Version: AM: 1.1.18300.4, NIS: 1.1.18300.4

Testen kann ich hier auch nichts, weil dieser verpennte Scanner es manchmal auch gar nicht erkennt!

Content-Key: 1060209053

Url: https://administrator.de/contentid/1060209053

Ausgedruckt am: 23.07.2021 um 13:07 Uhr

Mitglied: emeriks
emeriks 20.07.2021 um 16:00:35 Uhr
Goto Top
Hi,
ich weiß es nicht.
Mir ist nur das "_" in
Path: CmdLine:_C:\Windows\System32\vssadmin.exe delete shadows /all /quiet
aufgefallen. Soll das so sein?

E.
Mitglied: DerWoWusste
DerWoWusste 20.07.2021 um 16:21:38 Uhr
Goto Top
Frag mich nicht, das ist nicht von mir, sondern MS speak.
Mitglied: DerWoWusste
DerWoWusste 20.07.2021 um 22:13:08 Uhr
Goto Top
Übrigens:
mit diesem Kommando kann man hivenightmare abwehren... also nicht unwichtig, dass es überall läuft!
Heiß diskutierte Beiträge
general
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSAStefanKittelVor 1 TagAllgemeinViren und Trojaner17 Kommentare

Hallo, in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss. Warum ist das ein Problem? "Die Umsetzung der ...

question
Exchange direkt in das Internet?leon123Vor 1 TagFrageExchange Server20 Kommentare

Hi zusammen, darf euer Exchange direkt in das Internet? Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ...

question
LAN patchenNxtrexVor 1 TagFrageSwitche und Hubs9 Kommentare

Hallo, ich habe im Serverraum der Firma einen Router, dessen Signal per LAN an einen Serverschrank in der Halle geleitet werden soll. Der Switch in ...

question
ISOs von Microsoft - einheitlich oder nicht?DerWoWussteVor 1 TagFrageMicrosoft9 Kommentare

Ich grüße Euch. Wenn wir ISO-Dateien runterladen, dann nehmen wir sie aus dem VLSC. Da legt man Sprache fest, Architektur, Edition und natürlich auch den ...

question
Unifi VPN soll nicht den ganzen Traffic über das Lokale Netzwerk routen gelöst Dino47Vor 1 TagFrageNetzwerke34 Kommentare

Hallo, ich habe eine Frage bezüglich eines VPN Problems. Es bestehen sogar zwei Probleme, aber als erstes einmal einige Informationen: Wir haben eine VPN umstellung ...

question
PFSense HardwareBosnigelVor 1 TagFrageRouter & Routing29 Kommentare

Moin! Ich will mich in das Thema PFSense einarbeiten. Das Tutorial von aqui hab ich mir natürlich schon angeschaut. Danke aqui dafür. Nur die dort ...

question
PC zusammenbauen PC Zusammenstellung (IT Praktikant)nachgefragtVor 1 TagFrageHardware12 Kommentare

Guten Morgen Zusammen, die Tage bekommen wir einen Praktikanten, damit dieser mal das Innenleben einen PCs kennenlernt würde ich ihn gern mit Hilfe von YouTube ...

info
Ein böser Bube in freier Wildbahn (hier .IMG Datei)wolfbleVor 16 StundenInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...