Valvontavirhe fsamsi64.dll

sinusbeh

Tapahtumienvalvonnassa Windows-lokeissa (Security-osassa) esiintyy jatkuvasti valvontavirhe (Tapahtuma 5038, Microsoft Windows security auditing).

Yleiset-kohdassa:

Koodin eheyden tarkistustoiminto määritti, että tiedoston näköistiedoston hajautusarvo ei ole kelvollinen. Tiedosto voi olla vioittunut luvattomien muutosten vuoksi, tai levylaite voi olla viallinen.

Tiedostonimi:   \Device\HarddiskVolume2\Program Files (x86)\F-Secure\apps\Ultralight\ulcore\1592476117\fsamsi64.dll   

Liittyykö levyasemaan? Koneessa on Samsung 860 EVO SSD

[Deleted User]

Hei @sinusbeh !

Pahoittelut, että olet joutunut odottamaan vastausta näin kauan!

Pyrin selventämään alle, mistä tämä johtuu.

Antimalware Scan Interface (AMSI) on API (ohjelmointirajapinta), jonka avulla sovellukset voivat pyytää tietokoneelle asennettuja Anti-Virus tuotteita tarkistamaan haitallisen sisällön. Tämä edellyttää, että Anti-Virus torjuntatuotteet ovat "paljastaneet" skannauspalvelunsa AMSI:n kautta.

Uusimmat F-Securen tuotteet tarjoavat tämän skannausliittymän sovelluksille.

Yksi sellaisista sovelluksista on Microsoft Defender. Sen manuaalinen skannausominaisuus hyödyntää AMSI:a lataamalla järjestelmään rekisteröidyt AMSI-moduulit prosesseihinsa. Defenderillä itsessään on kuitenkin tietoturvatoimenpide, joka estää DLL-tiedostojen joita Microsoft ei ole allekirjoittanut, lataamista sen prosesseihin. Tämä tarkoittaa, että mikäli muu kuin Microsoft AMSI -toimittaja on rekisteröity järjestelmään, Defender yrittää ladata sen, mutta hylkää sen koska sillä ei ole Microsoftin allekirjoitusta = tapahtumalokiin kirjoitetaan virhe.

Tämä näyttää olevan tarkoituksellinen muotoilu Defenderissä ja tämä sallii vain Microsoftin omien AMSI DLL-tiedostojen käyttämisen sen kanssa. Tapahtumalokin virhe johtuu siis tästä ja tämän voi jättää huomioimatta.

Toivottavasti tämä vastasi kysymykseesi!