alte winexe als infiziert erkannt

[Rzpertt]

Hallo,

mein Virenkiller hat in einem alten opsi-client Ordne die winiexe als infiziet erkannt.

Ich habe auch bei 3 neu installierten meldungen das die poweshell aktiviert wude,
das steht dann sowas: Illusion.Boxter.782.24BCC23D.1B.3020

Kann ich das ignoieren?


diese Vorfälle listet er:

Schweregradbewertung:
79
Vorfalls-Auslöser:
powershell.exe(PID:11016)
Illusion.Boxter.782.24BCC23D.1B.3020200
MasqueradingWindowsUtilitary
FileDirectoryDiscoveryAPICall
MaliciousSignedFile
AccessTokenModified
SystemInformationDiscoveryAPICall
CryptApiUsed
PatrPrivileges
DebugPrivilegesEnabled
WindowsDiscoveryApiUsed
NamedPipeCreate
Verdächtig lange Befehlszeile
SuspiciousDropScript
RegSigModifyInternetZonemap
LaunchProcessSuspiciousCommandLine

[Rzpertt]

niemand, ich würde das ungern ignorieren?
Die googlesuche zu dem Problem hat mir bis jetzt keine Antwort gebracht.

[ThomasT]

Hallo,

der opsi-client-agent verwendet ab 4.2.0.37 nicht mehr die winexe zur Verteilung.
Ob sich auf deinem Rechner eine mit einem Virus infizierte Datei befindet, lässt sich so nicht beantworten.

[Rzpertt]

es geht ja um die alten Dateien, auf ein paar clients liegen die Dateien noch.

Wie ist das mit den Meldungen zum ausführen der Powershell bei der opsi-client installation?

Code: Alles auswählen

HyperDetect hat powershell.exe auf Ihrem System gefunden. Das könnte ein Hinweis auf eine Sicherheitspanne sein.

Als Virus scheint er Illusion.Boxter. zu erkennen, sind aber alles scripte die während der opsi-client Installation ausgeführt wurden.

[wolfbardo]

Ja, bei der Installation des opsi-client-agent und auch bei anderen opsi-scripten wird die Powershell verwendet.

Gruss
Bardo Wolf