Diesen Beitrag auf der neuen Seite lesen
Windows 10's Defender bietet mit "Überwachter Ordnerzugriff" eine nützliche Funktion an, die Änderungen an Dateien blockiert, wenn das Programm nicht explizit per Whitelist zugelassen wurde. Leider ist das GUI unzureichend implementiert, der Dateipfad zur blockierten EXE-Datei wird dort nicht angezeigt.
![Bild ohne Beschreibung Bild ohne Beschreibung](./upload/files/thumbs/1_40a51e6a6387497e6076597ff124fe05.png.png)
Wie in meinem Fall wurde ein Prozess svchost.exe blockiert. Es gibt bekanntlich einige Trojaner, die sich mit dem Dateinamen dieses Windows-Prozesses tarnen. Deshalb ist es wichtig zu wissen, wo diese blockierte EXE-Datei wirklich liegt. Dazu muss man den Event-Viewer verwenden.
Vorgefertigte Ansicht in die Ereignisanzeige importieren
![----------------------------------------------------------------------------- -----------------------------------------------------------------------------](images/dividor.gif)
- Laden Sie meine benutzerdefinierte Ansicht Ordnerzugriff.rar herunter.
- Klicken Sie mit der rechten Maustaste auf den Startbutton und wählen Sie "Ereignisanzeige".
- Mit einem Rechtsklick im Verzeichnisbaum wählen Sie "Benutzerdefinierte Ansicht importieren" und wählen die XML-Datei aus meinem Archiv aus.
![Bild ohne Beschreibung Bild ohne Beschreibung](./upload/files/thumbs/1_unbenannt1.png.png)
- Nach dem Import können Sie unter den benutzerdefinierten Ansichten die Ansicht "Überwachter Ordnerzugriff" auswählen und unter Ereignis-ID 1123 den vollständigen Pfad zur blockierten EXE-Datei ablesen.
![Bild ohne Beschreibung Bild ohne Beschreibung](./upload/files/thumbs/1_unbenannt2.png.png)
Eigene Ansicht in der Ereignisanzeige erstellen
![----------------------------------------------------------------------------- -----------------------------------------------------------------------------](images/dividor.gif)
- Open Event Viewer
- Right click Custom views and choose Create custom view.
- Choose this in the By log Event logs: section:
Application and services logs > Microsoft > Windows > Windows Defender > Operational
and
Application and services logs > Microsoft > Windows > Windows Defender > WHC
- In the event ID section include these IDs: 1123,1124,5007
- Press OK to set the filter
- Name the view. Mine is named Controlled Folder Access view
- Press OK to create.