ACMP-Auswertungstool CPUZ.a wird durch ESET gelöscht

Feedback und Verbesserungsvorschläge zu ACMP 4
Antworten
Meyre
Beiträge: 10
Registriert: Mo Jan 06, 2020 8:19 am

Hallo Aagon-Team,

seit geraumer Zeit löscht unser ESET Endpoint Antivirus 7.1 & > unter %temp%\UDD****.tmp, eine Variante von Win64/CPUZ.a . Hiervon Betroffen sind alle (+200 Stk.) Windows 10 Clients.
Ich sehe den Zusammenhang zwischen ACMP und dem CPUZ, da wir auf den Clients sonst keinerlei Auswertungstools laufen haben und vermutlich damit die Hardware / CPU der Clients ausgelesen wird.

Im Bereich %Temp% würde ich ungern eine globale Ausnahme für *.tmp im ESET definieren.

Ausnahmen im ESET sind bereits wie folgt aktiv:
Pfad:
%programdata%\Aagon\*
%localappdata%\Aagon\*
%localappdata%\Temp\ACMP_TMP\*
C:\Program Files (x86)\ACMPClient\*
C:\Program Files (x86)\Aagon

Prozesse:
C:\Program Files (x86)\ACMPClient\ACMPClientService.exe
C:\Program Files (x86)\ACMPClient\CCLTray.exe
C:\Program Files (x86)\Aagon\ACMP Console\AagonDownloader.exe
C:\Program Files (x86)\ACMPClient\CommandLauncher.exe
C:\Program Files (x86)\Aagon\ACMP Console\Bin\ACMPConsole.exe
C:\Program Files (x86)\Aagon\ACMP Console\Bin\Support\Legacy\ACMPConsole.exe

Gibt es bereits ähnliche Erfahrungen oder Anomalien?

Mit freundlichen Grüßen
Meyre
Meyre
Beiträge: 10
Registriert: Mo Jan 06, 2020 8:19 am

Hallo Aagon-Team.
Bei der Erstellung des Themas ist mir ein Fehler unterlaufen.
Die Problematik besteht in der aktuellen Version 5.4.8. Den Beitrag habe ich in Older versions 4.x gepostet. Bitte das Thema in das entsprechende Verzeichnis verschieben.
Mit freundlichen Grüßen
Meyre
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo,

zur 5.4.6 wurde letzmalig eine Aktualisierung vorgenommen.
Wir schauen uns das intern einmal an.
Zur Ausnahme kann C:\Windows\Temp\cpuz148 genutzt werden da hier beim Computerscanner teile von CPUZ abgelegt werden.
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Meyre
Beiträge: 10
Registriert: Mo Jan 06, 2020 8:19 am

Hallo Aagon-Team,

leider brachte die Ausnahme keine Abhilfe. Die Datei wird weiterhin gelöscht.

Mit freundlichen Grüßen
Meyre
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo,

ich habe einmal mit dem ProcessMonitor geschaut welche Dateien erzeugt werden. Hierbei konnte keine UDD****.tmp Dateien entdecken. Haben Sie noch mehr Informationen hierzu?
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Meyre
Beiträge: 10
Registriert: Mo Jan 06, 2020 8:19 am

Hallo Aagon-Team,

ich habe die Ausnahme C:\Windows\Temp\cpuz148 hinzugefügt, hatte aber anschließend ebenfalls dies Ereignis.

Aktuell ist die ESET-Übersicht ruhig. Ich arbeite noch an der Reproduzierung des Fehlerbilds. Folgende weitere Hinweise kann ich aus meinen ESET-Logs mitgeben:
Die Ursache ist immer: Win64/CPUZ.A
Betroffen ist der Prozess: C:\Windows\System32\svchost.exe
Überwiegend ist es eine Datei unter: C:/Windows/TEMP/
mit der Bezeichnung UDD****.tmp

Selten vereinzelnd war es, mit der gleichen Ursache, zeigend auf C:/Windows/temp/cpuz148/cpuz148_x64.sys mit dem Prozess C:\Program Files (x86)\ACMPClient\ACMPClientService.exe

Bei den betroffenen Clients gibt es kein zeitliches Muster, wann es passiert. Mal täglich hintereinander, dann liegen Wochen dazwischen.
Antworten