Windows # Überwachter Ordnerzugriff: Pfad zur EXE, die geblockt wurde, herausfinden

Windows 10's Defender bietet mit "Überwachter Ordnerzugriff" eine nützliche Funktion an, die Änderungen an Dateien blockiert, wenn das Programm nicht explizit per Whitelist zugelassen wurde. Leider ist das GUI unzureichend implementiert, der Dateipfad zur blockierten EXE-Datei wird dort nicht angezeigt.

(Bild) (Bild)

Wie in meinem Fall wurde ein Prozess svchost.exe blockiert. Es gibt bekanntlich einige Trojaner, die sich mit dem Dateinamen dieses Windows-Prozesses tarnen. Deshalb ist es wichtig zu wissen, wo diese blockierte EXE-Datei wirklich liegt. Dazu muss man den Event-Viewer verwenden.

Vorgefertigte Ansicht in die Ereignisanzeige importieren

Laden Sie meine benutzerdefinierte Ansicht Ordnerzugriff.rar herunter.
Klicken Sie mit der rechten Maustaste auf den Startbutton und wählen Sie "Ereignisanzeige".
(Bild)
Mit einem Rechtsklick im Verzeichnisbaum wählen Sie "Benutzerdefinierte Ansicht importieren" und wählen die XML-Datei aus meinem Archiv aus.
(Bild)
Nach dem Import können Sie unter den benutzerdefinierten Ansichten die Ansicht "Überwachter Ordnerzugriff" auswählen und unter Ereignis-ID 1123 den vollständigen Pfad zur blockierten EXE-Datei ablesen.
(Bild)

Eigene Ansicht in der Ereignisanzeige erstellen

Open Event Viewer
Right click Custom views and choose Create custom view.
Choose this in the By log Event logs: section:
Application and services logs > Microsoft > Windows > Windows Defender > Operational
and
Application and services logs > Microsoft > Windows > Windows Defender > WHC
In the event ID section include these IDs: 1123,1124,5007
Press OK to set the filter
Name the view. Mine is named Controlled Folder Access view
Press OK to create.

Diesen Beitrag auf der neuen Seite lesen. »

Bisher gab es 625.226 Besucher.

< Zurück | = Nach oben | > Neue Seite