fsamsi64.dll Spammaus vain yhdellä koneella kahdesta.

Tosa
Tosa Viestejä: 2 New Member

Terve.

Olen tietoinen fsamsi64.dll tilanteesta; kyseinen filu liittyy Antimalware Scan Interface (AMSI) API (ohjelmointirajapinta) windowsissa.


Mutta oma ongelma onkin se että toisella koneella (WIn11) kyseinen Event (5038) kerääntyy jatkuvasti joka toinen sekunti päivästä toiseen.


Muilta foorumeita vastauksia katsellessa tiedän että kyseisen eventin voi ignoroida, mutta hämmennystä aiheuttaa vain tuo jatkuva eventin ilmaantuminen, minulla on toinen kone (Win10) jossa on vain muutama kyseinen event joita tulee sillontällön lisää.


Eli minkä takia windows tuottaa jatkuvasti tuota eventtiä vain toiseen koneeseen, voiko siihen vaikuttaa, vai onko täysin windowsin systeemien varassa?

Vastausvaihtoehdot

  • Tosa
    Tosa Viestejä: 2 New Member

    Lisäpäivitys:

    Ja tietysti kun on laittanut tämän kysymyksen foorumille, kyseinen spammaus loppuukin 3h sen jälkeen. 😐️

    Mutta jälkikäteen haluasin kyllä tietää jos vastaus löytyy; miksi windows kehitti kymmeniä tuhansia kertoja kyseisen eventin. Ymmärrän kyllä että kyseinen systeemi ei ole mikään ongelma, mutta kummallinen.

  • Firmy
    Firmy Viestejä: 1,590 Community Manager

    Hei @Tosa

    Tervetuloa F-Secure-yhteisöön. Ja kiitos viestistäsi.

    Olemme iloisia voidessamme ilmoittaa F-Secure Totalin uusimman version, 19.3, julkaisusta. Varmistamalla, että olet asentanut tämän uusimman päivityksen, voit optimoida sovelluksen suorituskyvyn ja tehokkuuden.

    Antimalware Scan Interface (AMSI) toimii rajapintana, jonka avulla sovellukset voivat pyytää tietokoneelle asennettuja haittaohjelmien torjuntaohjelmia skannaamaan niiden tietoja haitalliselle sisällölle, edellyttäen että nämä haittaohjelmien torjuntaohjelmat ovat altistaneet skannaustensa palvelun AMSI:n kautta.

    Uusimmat F-Securen tuotteet tarjoavat nyt tämän skannausrajapinnan sovelluksille.

    Yksi tällainen rajapintaa käyttävä sovellus on Microsoft Defender. Sen manuaalisen skannauksen ominaisuus hyödyntää AMSI:a, ladataksensa AMSI-moduulit, jotka on rekisteröity järjestelmään sen prosesseihin.

    Kuitenkin Defender toteuttaa turvatoimenpiteen, joka estää minkä tahansa Microsoftin allekirjoittamattoman DLL:n lataamisen sen prosesseihin. Näin ollen, jos ei-Microsoftin AMSI-palveluntarjoaja on rekisteröity järjestelmään, Defender yrittää ladata sen, mutta hylkää sen, koska siitä puuttuu Microsoftin allekirjoitus. Tämän seurauksena tapahtuu virhe, joka kirjataan tapahtumalokiin.

    Tämä käyttäytyminen näyttää olevan tarkoituksellinen suunnitteluratkaisu Defenderissa, joka sallii ainoastaan Microsoftin omaa AMSI-DLL:ää käytettäväksi. Tästä suunnittelusta johtuva tapahtumalokiin kirjattu virhe voidaan asiakkaiden osalta sivuuttaa.

    https://community.f-secure.com/en/discussion/123032/win-10-event-log-fsamsi64-dll-image-hash-of-a-file-is-not-valid

    Jos tarvitset lisäapua, älä epäröi ottaa yhteyttä.

    Kiitos, ja toivotamme sinulle mukavaa päivää.