forum.opsi.org

opsi support forum
https://forum.opsi.org/

alte winexe als infiziert erkannt

https://forum.opsi.org/viewtopic.php?t=13585

Seite 1 von 1

alte winexe als infiziert erkannt

Verfasst: 31 Jul 2023, 12:34
von Rzpertt
Hallo,

mein Virenkiller hat in einem alten opsi-client Ordne die winiexe als infiziet erkannt.

Ich habe auch bei 3 neu installierten meldungen das die poweshell aktiviert wude,
das steht dann sowas: Illusion.Boxter.782.24BCC23D.1B.3020

Kann ich das ignoieren?


diese Vorfälle listet er:
Schweregradbewertung:
79
Vorfalls-Auslöser:
powershell.exe(PID:11016)
Illusion.Boxter.782.24BCC23D.1B.3020200
MasqueradingWindowsUtilitary
FileDirectoryDiscoveryAPICall
MaliciousSignedFile
AccessTokenModified
SystemInformationDiscoveryAPICall
CryptApiUsed
PatrPrivileges
DebugPrivilegesEnabled
WindowsDiscoveryApiUsed
NamedPipeCreate
Verdächtig lange Befehlszeile
SuspiciousDropScript
RegSigModifyInternetZonemap
LaunchProcessSuspiciousCommandLine

Re: alte winexe als infiziert erkannt

Verfasst: 04 Aug 2023, 08:50
von Rzpertt
niemand, ich würde das ungern ignorieren?
Die googlesuche zu dem Problem hat mir bis jetzt keine Antwort gebracht.

Re: alte winexe als infiziert erkannt

Verfasst: 04 Aug 2023, 09:43
von ThomasT
Hallo,

der opsi-client-agent verwendet ab 4.2.0.37 nicht mehr die winexe zur Verteilung.
Ob sich auf deinem Rechner eine mit einem Virus infizierte Datei befindet, lässt sich so nicht beantworten.

Re: alte winexe als infiziert erkannt

Verfasst: 04 Aug 2023, 11:51
von Rzpertt
es geht ja um die alten Dateien, auf ein paar clients liegen die Dateien noch.

Wie ist das mit den Meldungen zum ausführen der Powershell bei der opsi-client installation?

Code: Alles auswählen

HyperDetect hat powershell.exe auf Ihrem System gefunden. Das könnte ein Hinweis auf eine Sicherheitspanne sein.
Als Virus scheint er Illusion.Boxter. zu erkennen, sind aber alles scripte die während der opsi-client Installation ausgeführt wurden.

Re: alte winexe als infiziert erkannt

Verfasst: 04 Aug 2023, 13:40
von wolfbardo
Ja, bei der Installation des opsi-client-agent und auch bei anderen opsi-scripten wird die Powershell verwendet.

Gruss
Bardo Wolf
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de