derwowusste
19.07.2021, aktualisiert um 16:28:08 Uhr
view3985
view5
1
Goto Top

Windows Defender verhindert vssadmin delete shadows

TippSicherheitViren, Trojaner
Kurze Info:

Seit 3 Tagen "erkennt" der Defender die Ausführung des Befehls

vssadmin.exe delete shadows /all /quiet

als Angriff und verhindert sie. Wer also per Skript seine Shadowcopies absichtlich löscht und den Defender benutzt, muss eine Ausnahme setzen.

Siehe https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ...

Pikant ist dabei, dass der Defender die Ausführung durchaus nicht immer verhindert, sondern nur manchmal 🙄
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1049287696

Url: https://administrator.de/contentid/1049287696

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Looser27
Looser27 19.07.2021 um 14:28:02 Uhr
Goto Top
Moin,

Kann das auch bei Snapshots passieren?
In der letzten Woche hat Veeam hin und wieder Probleme mit den Snapshots. Auch hier nur sporadisch....
DerWoWusste
DerWoWusste 19.07.2021 aktualisiert um 14:37:43 Uhr
Goto Top
MS versucht seit 3 Tagen auf diese Weise gegen Ransomware, welche Shadowcopies per Skript löscht, vorzugehen. Dass Sie auch gegen die Erstellung von Schattenkopien vorgehen würden, klingt unlogisch.
Looser27
Looser27 19.07.2021 um 14:54:21 Uhr
Goto Top
Veeam löscht die Kopien nach dem Backup. Tritt im Moment nur sporadisch an einer VM auf. Eine Erklärung habe ich dafür noch nicht gefunden....(VM wird runter gefahren oder nicht gesichert).
Schaue ich mir nach meinem Urlaub genauer an.
Coreknabe
Coreknabe 20.07.2021 um 10:16:40 Uhr
Goto Top
Wir haben mit Veeam aktuell keine Probleme diesbezüglich. Wenn es bei Dir an einer VM hängt, dürfte das ein Einzelfall sein.
Welche Fehlermeldung schmeißt Veeam aus? 32768?

Gruß
Lochkartenstanzer
Lochkartenstanzer 22.07.2021 aktualisiert um 17:00:44 Uhr
Goto Top
Moin,

Der Defender macht noch mehr Mist. Der löscht einfach Dateien, die MS nicht genehm sind:

https://www.arch13.com/ms-windows-defender-decss/

lks

PS: Natürlich kann an sich darüber streiten ob die (uralten) Programme rechtlich o.k. sind oder nicht, aber es ist nicht die Aufgabe von MS, darüber zu entscheiden.
TippSicherheitViren, Trojaner
Mehr von DerWoWussteDerWoWussteExcelstart bringt neuerdings FehlerDerWoWusste - 4 KommentareDerWoWussteWindows Server 2025 und Windows 11 24H2 - Remote Credential Guard erneut defektDerWoWusste - 6 KommentareDerWoWussteWin11 23H2 - Pin to start weg, "move to front" stattdessenDerWoWusste - 8 KommentareDerWoWussteAdobe Reader - Revocationcheck von Signaturen misslingtDerWoWusste - 15 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare