BitDefender blockiert powershell.exe (berechtigt?)

[Wolfgang359]

Hallo,
ich verwende Win11Pro (Update 24H2 wird gerade automatisch gemacht).
Ich bin sehr gewissenhaft und surfe nicht wild durch die Gegend. Und Beilagen in Mails klicke ich nur an wenn sie absolut vertrauenswürdig sind und ich den Absender kenne. Was mich verwundert ist, dass aus heiterem Himmel plötzlich eine Aktion von BitDefender (Total Security) kommt, ohne dass ich zuvor etwas kritisches gemacht habe.
Das Bild zeigt die Aktion: powershell.exe wurde blockiert

Da ich gelegentlich auf der Konsole arbeite kann ich ein Blockieren natürlich nicht brauchen und muss die Sache klären.
Nach der BitDefender Meldung habe ich zum Test links unten ins Eingabefeld "Powershell" eingeben, er findet "Windows Power Shell" und beim Klick darauf startet es normal, also es kommt die schwarze Konsole. Was wurde also blockiert?
Oder hat das zufällig zu der Aktion geführt, weil das 24H2 Update gerade lief und etwas falsch interpretiert wurde?
Wie gesagt arbeite ich so vorsichtig, dass ich mir kaum vorstellen kann etwas reingezogen zu haben, aber man weiß ja nie.
Was ich vielleicht noch sagen sollte. Ich war viele Wochen (Monate?) nicht mehr auf dieser Windowspartition eingeloggt, sie war daher einige Monate veraltet, daher auch das automatische 24H2 Update welches Windiows startete. Ich weiß nicht ob das eine Ursache sein kann.

Hat jemand eine Info zum Bild? Es ist die gesamte Befehlszeile vorhanden die anscheinend zum Problem geführt hat.
Danke! Wolfgang

 

[xxOrdulu52xx]

Ich kenn mich nicht mit Powershell nicht ganz aus könnt mich auch verbessern
Aber gabs nicht ein Command die unsichere Scripts ausführen lässt bzw ein Vollzugriff gibt oder die Scripts aus Base64 besteht etc

oder blockiert es auch wenn du über Powershell Ping ausführst ?

 

[redjack1000]

Was wurde also blockiert?

Drück mal auf Quarantäne anzeigen

Cu
redjack

 

[stage]

Hab dazu was im Reddit gefunden:
https://www.reddit.com/r/antivirus/comments/1la55gb/bitdefender_flagged_powershell_as_malicious/

War wohl ein False-Positive, aber sollte eigentlich schon lange behoben worden sein.

 

[Smily]

ChatGPT schreibt dazu

Die Befehlszeile, die in der Meldung angezeigt wird, führt ein PowerShell-Skript aus, das darauf abzielt, die Registrierungseinträge von Windows zu manipulieren. Hier ist eine Zusammenfassung dessen, was das Skript tut:

1. Registrierungspfad festlegen: Es definiert den Pfad in der Windows-Registrierung, der bearbeitet werden soll. Der Pfad bezieht sich auf die MRU (Most Recently Used) Liste von Shell-Objekten.

2. GUID definieren: Es definiert eine spezifische GUID, die anscheinend mit MSGraphHome in Verbindung steht.

3. Eigenschaften abrufen: Es ruft Eigenschaften von einem bestimmten Registrierungspfad ab.

4. Eigenschaften durchlaufen: Es durchläuft die Eigenschaften und überprüft, ob der Typ der Eigenschaft ein Byte-Array ist.

5. Hex-String erstellen: Es erstellt einen Hex-String aus den Byte-Werten der Eigenschaft.

6. Vergleich durchführen: Es vergleicht den erstellten Hex-String mit einer vordefinierten GUID.

7. NodeSlot abrufen: Es ruft einen Wert namens NodeSlot aus der Registrierung ab.

8. Überprüfung: Es führt eine Überprüfung durch, ob bestimmte Bedingungen erfüllt sind und setzt den Wert von isBroken entsprechend.

9. Ergebnis schreiben: Es schreibt das finale Ergebnis von isBroken.

Das Skript scheint darauf ausgelegt zu sein, bestimmte Registrierungseinträge zu überprüfen und möglicherweise zu manipulieren, basierend auf den Bedingungen, die im Skript festgelegt sind. Es könnte potenziell schädlich sein, da es die Registrierung von Windows verändert, was zu unerwünschten Systemveränderungen führen kann.

Im Prinzip auch nichts konkretes, es wurden halt Registry Einträge geprüft/geändert.
Aber auf Reddit hat Bitdefender ja selbst geschrieben, es war ein Fehler.

Also ... Sache erledigt. Gute Gelegenheit Bitdefender runter zu werfen .

Ergänzung (10. Juli 2025)

aber sollte eigentlich schon lange behoben worden sein

Aber sein Rechner war lange aus. Dann war Bitdefender vielleicht auch noch nicht auf dem neuesten Stand.

 

[Wolfgang359]

Ich danke euch. Ja der Rechner war viele Wochen, wenn nicht gar Monate aus. (Es ist eine zweite Windows Partition die ich nur selten für spezifische Anwendungen verwende.) BitDefender war daher etwas veraltet, hat sich aber mittlerweile ein Update geholt.

Folgende Bilder noch von BitDefender.
(eines wo Malware gefunden wird und eines wo dann doch nichts in Quaratäne ist)

Anscheinend ist die Sache mit der Quarantäne wieder von BitDefender beseitigt worden.
Ich vermute stark "false positive".
Danke für eure Unterstützung!

 

[chrigu]

Ich vermute auch das die Windows Version und die bitdefender Version sich gegenseitig in popo beissen,darum diese meldung

 

[Wolfgang359]

Danke für deine Info, aber ich verstehe gerade den Satz nicht.
Ein aktuelles Win11Pro und ein aktuelles BitDefender beißen sich?
Das schließe ich zwar aus. Aber du meinst vielleicht, dass beim Einloggen auf die veraltete Partition sowohl Win11Pro als auch BitDefender nicht aktuell waren. Eines davon war wohl schneller mit seinem Update fertig und dann hat es sich in den popo gebissen, wie du schreibst. Ja das kann sein.

Ist halt auch blöd, wenn Microsoft irgendwas ändert, was dann nach Malware aussieht und der Virenscanner erst im Nachhinein mit einem Update drauf reagieren kann, weil es keine aktive Vorabinformation gibt. "False Positiv" wird es wohl immer geben, aber dann helfen einem die Kollegen hier weiter. Danke!

Ich habe BitDefender auf vielen unterschiedlichen (alten und neuen) Systemen laufen und bin höchst zufrieden. Läuft seit Jahren überall problemlos und schützt auch jene Anwender die schnell irgendwo herumklicken. Passt alles.
Hier war ich anscheinend selbst Schuld (Schande über mein Haupt).

Die Sache wurde oben schon geklärt, dass es aufgrund eines länger nicht mehr gemachten BitDefender-Updates ein "false positiv" war und mit dem BD-Update wurde das Problem von BitDefender selbst wieder bereinigt. Vielleicht ging das oben nicht so klar hervor, daher schreibe ich es sicherheitshalber nochmal.

Ich klinke mich an dieser Stelle aus, weil Problem von BD automatisch von selbst behoben wurde.
Danke für eure Infos.

 

[andy_m4]

Ist halt auch blöd, wenn Microsoft irgendwas ändert, was dann nach Malware aussieht und der Virenscanner erst im Nachhinein mit einem Update drauf reagieren kann, weil es keine aktive Vorabinformation gibt.

Mal ehrlich: Warum soll Microsoft sich um irgendwelche AV-Programme kümmern? Das ist doch nicht deren Verantwortung.
btw.: Es gibt ja Vorabversionen von Windows extra für den Zweck, das Hersteller auf Kompatibilität testen können. Ich sehe das Versäumnis dann eher bei Bitdefender als bei Microsoft.

 

[chrigu]

Ja der Rechner war viele Wochen, wenn nicht gar Monate aus.

Du wiedersprichst dich

Ein aktuelles Win11Pro und ein aktuelles BitDefender beißen sich?

 

[Goldsmith]

Es Stellt sich die Frage, ob du den Bitdefender wirklich brauchst und dir deinen Rechner sicherer macht.

Wenn man sich die ganzen Tests ansieht, dann spielt der System eigene Windows Defender immer ganz vorne mit, aus diesem Grund würde ich keinen weiteren Virenscanner installieren.

 

[PC295]

Folgende Bilder noch von BitDefender.
(eines wo Malware gefunden wird und eines wo dann doch nichts in Quaratäne ist)

Hier wird nur ein Befehl über Powershell ausgeführt, deswegen liegt nichts in der Quarantäne.
CompatTelRunner.exe ist eine Spy-Komponente von Windows, welche Telemetriedaten sammelt und an Microsoft übermittelt.
Da kann es durchaus vorkommen, dass AV-Programme überreagieren.

 

[andy_m4]

Da kann es durchaus vorkommen, dass AV-Programme überreagieren.

Und in dem Fall ja auch nicht mal zu Unrecht. :-)