Jump to content
AndyPipkin

Kaspersky Application Activity Analyzer schlägt an trotz Trusted applications

Recommended Posts

Hallo,

 

ich verwende ab und zu psexec um auf rechnern remote etwas zu erledigen. Dazu rufe ich psexec folgendermaßen auf: psexec \\rechnername -s cmd

Dies startet mir eine cmd auf dem rechner.

 

Jetzt haben wir in den Richtlinien unter "Proactive Defense" den "Application Activity Analyzer" aktiviert.

 

Unter Protection habe ich dann in den "Trusted zone" --> "Trusted applications" die exe Datei psexesvc.exe eingetragen. Diese befindet sich bei uns auf jedem Rechner im Windowsverzeichnis.

Ich habe sowohl %windir%\psexesvc.exe, c:\windows\psexesvc.exe als auch nur die psexesvc.exe eingetragen.

 

Bei den Actions habe ich alles aktiviert, d.h alles ist erlaubt und kaspersky soll nichts von dieser exe überwachen, auch nicht die application activity.

 

Wenn ich mich aber nun mit psexec auf einem Rechner verbinde bekommt dieser eine Kaspersky Warnung "Suspicious Activity" mit der psexesvc.exe

 

Warum schlägt Kaspersky hier trotzdem noch an?

 

 

gruss A.P.

Share this post


Link to post

Welche 6er Version setzt Du ein?

 

Schau mal in dem lokalem Bericht von Kaspersky, was dort gefunden wird.

 

Kannst Du die Richtlinie exportieren.

 

 

Share this post


Link to post
Welche 6er Version setzt Du ein?

 

Schau mal in dem lokalem Bericht von Kaspersky, was dort gefunden wird.

 

Kannst Du die Richtlinie exportieren.

 

 

Wir setzen Version 6.0.4.1424 ein. Das Adminkit ist Version 8.0.2163

 

Im Eventlog des Clients kommt Event ID:4660

Process C:\WINDOWS\PSEXESVC.EXE (PID: 2804): Process is trying to redirect data input/output. Probably it is attempt of remote access to your computer (RootShell)

 

Export geht nicht (firmeninterne Daten)

Ich habe mal 2 screenshots der Einstellungen angehängt

post-225654-1331562870_thumb.jpg

post-225654-1331562881_thumb.jpg

Share this post


Link to post

Ich meine nicht die Ereignisanzeige sondernd den Bericht im Kaspersky.

 

Hast Du die Datei auch unter "Exclusion rules" eingetragen und dort den Proaktiven Schutz ausgewählt?

Share this post


Link to post
Ich meine nicht die Ereignisanzeige sondernd den Bericht im Kaspersky.

 

Hast Du die Datei auch unter "Exclusion rules" eingetragen und dort den Proaktiven Schutz ausgewählt?

 

 

Im Windows Event Log --> Kaspersky Event Log steht nichts.

Im Adminkit unter Events sehe ich auch nichts das diesen PC betrifft den ich zum testen nehme.

 

Unter "Exclusion rules" war es nicht eingetragen, habe ich jetzt gemacjht hat aber nichts geändert. Warnung kommt immernoch.

 

gruss A.P.

Share this post


Link to post

Nicht die Ereignisanzeige.

 

Rechte Maustaste auf das Symbol im Systray. Kaspersky .... öffnen. Dort findest Du den Punkt "Berichte", der kann als Text-Datei gespeichert werden.

Share this post


Link to post
Nicht die Ereignisanzeige.

 

Rechte Maustaste auf das Symbol im Systray. Kaspersky .... öffnen. Dort findest Du den Punkt "Berichte", der kann als Text-Datei gespeichert werden.

 

 

AAAhhhh jetzt bin ich bei dir.

 

Allerdings steht da ich nicht mehr, Hier was in dem bericht zu Proactive Defense steht:

 

Proactive Defense

-----------------

Events monitored: 7

Registry calls: 206264

Blocked: 7

Start time: 12.03.2012 14:56:50

Duration: 02:06:31

 

 

Detected

--------

Status Object

------ ------

detected: riskware RootShell process: C:\WINDOWS\PSEXESVC.EXE

 

 

Events

------

Time Name Events

---- ---- ------

12.03.2012 17:02:54 C:\WINDOWS\PSEXESVC.EXE Process is trying to redirect data input/output. Probably it is attempt of remote access to your computer (RootShell)

12.03.2012 17:02:54 C:\WINDOWS\PSEXESVC.EXE "Terminate" action is selected

12.03.2012 17:02:54 C:\WINDOWS\PSEXESVC.EXE Forced to terminate the process.

 

Share this post


Link to post

Wie ist bei Dir die Einstellung im Proaktivem Schutz - Aktivitätenanalysy - Umleitung der Eingabe/Ausgabe?

 

Schalte diese mal aus.

Share this post


Link to post
Wie ist bei Dir die Einstellung im Proaktivem Schutz - Aktivitätenanalysy - Umleitung der Eingabe/Ausgabe?

 

Schalte diese mal aus.

 

 

Hi, dies ist eingeschaltet und das ist das Setting das diese Warnung verursacht. Aber es ging mir ja darum diese Einstellung zu setzen, dann aber Ausnahmen zu definieren die nicht davon betroffen sein sollen.

 

Hintergrund ist das wir einige Benutzer hatten die sich einen Virus eingefangen haben trotz Kaspersky und vermuten das der Virus automatisiert die Warnung mit Allow bestätigt. Und das möchten wir verhindern.

 

gruss

Share this post


Link to post

Dann schau sie Dir nochmal an. Beide zeigen "Trusted Application".

 

Exclusion Rule hast Du erst später konfiguriert.

Share this post


Link to post
Dann schau sie Dir nochmal an. Beide zeigen "Trusted Application".

 

Exclusion Rule hast Du erst später konfiguriert.

 

Sorry das hatte ich falsch verstanden.

Hier mein Exclusion Rule

post-225654-1331638161_thumb.jpg

post-225654-1331638166_thumb.jpg

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.