Komplierte AutoIt-Scripts werden als Trojaner gemeldet und gelöscht

[MarcWinter]

Hallo,

wir verwenden in der Firma einige als EXE kompilierte AutoIt-Scripts für verschiedene Managementaufgaben. Leider meldet Kaspersky Endpoint Security die so erzeugten EXE-Dateien als Trojaner und löscht sie.
 

Event "Ein schädliches Objekt wurde gefunden." has occurred on device PCNBxx in Windows domain xxxx on Wednesday, October 23, 2019 1:54:38 PM (GMT+00:00)

Ergebnis:     Gefunden: HEUR:Trojan.Win32.Generic

Benutzer:     xxxx (Aktiver Benutzer)

Objekt:     C:\jakatools\ScreenHelp.exe

Grund:     Maschinelles Lernen

Datenbanken vom:     23.10.2019 12:30:00

Hash:     7aec9fcbb28e5e6b3a725104ade49f6109a71b428a6deac2ca9415df06feed8d

 

Da die Scripts immer wieder von uns ergänzt und angepasst werden, hilft es nicht, sie als Muster für False Positives an Kaspersky zu melden. Gibt es einen anderen Weg bestimmte Files vom Scan auszuschließen?

[alexcad]

...

Ergebnis:     Gefunden: HEUR:Trojan.Win32.Generic

Objekt:     C:\jakatools\ScreenHelp.exe

Grund:     Maschinelles Lernen

 

... Gibt es einen anderen Weg bestimmte Files vom Scan auszuschließen?

 

Hallo MarcWinter,

bitte mache immer möglichst genaue Angaben zu den eingesetzten/betroffenen Produkten/Systemen (Version KES/KSC/Agent, Patchlevel, ...).

Zu deiner Frage: 
Der Grund “Maschinelles Lernen” gibt den Hinweis, dass hier die Verhaltensanalyse angeschlagen hat. Da die Scripte ständig aktualisiert werden, ändert sich jedesmal der Hashwert. Du solltest daher versuchen eine Ausnahme auf Dateiname und/oder Pfad, vielleicht noch in Kombination mit Objektname (HEUR:Trojan.Win32.Generic) zu finden. Die Einstellungen findest du in der Richtlinie:
 

 

Oft ist es effektiver diese Einstellungen auf einem betroffenen Client zu erstellen, anschließend zu testen und dann -bei Erfolg- in die Richtlinie zu importieren. 

Grüße
Alex