https://wiki.securepoint.de/index.php?action=history&feed=atom&title=AV%2FFalse-Positive-cmd-powershell.langAV/False-Positive-cmd-powershell.lang - Versionsgeschichte2026-04-08T23:33:55ZVersionsgeschichte dieser Seite in Securepoint WikiMediaWiki 1.43.5https://wiki.securepoint.de/index.php?title=AV/False-Positive-cmd-powershell.lang&diff=102166&oldid=prevLauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | False Positive cmd.exe und powershell.exe | False Positive with cmd.exe and powershell.exe | Fałszywie pozytywne wykrycie cmd.exe i powershell.exe }} {{var | head | False Positive durch Virendatenbankupdate | False positive due to virus database update | Fałszywie pozytywne wykrycie spowodowane aktualizacją bazy danych wirusów }} {{var | Erweiterte Sicherheitseinstellungen--B…“2026-03-30T10:01:20Z<p>Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | False Positive cmd.exe und powershell.exe | False Positive with cmd.exe and powershell.exe | Fałszywie pozytywne wykrycie cmd.exe i powershell.exe }} {{var | head | False Positive durch Virendatenbankupdate | False positive due to virus database update | Fałszywie pozytywne wykrycie spowodowane aktualizacją bazy danych wirusów }} {{var | Erweiterte Sicherheitseinstellungen--B…“</p>
<p><b>Neue Seite</b></p><div>{{Lang}}<br />
{{#vardefine:headerIcon|spicon-utm}}<br />
<br />
{{var | display<br />
| False Positive cmd.exe und powershell.exe<br />
| False Positive with cmd.exe and powershell.exe<br />
| Fałszywie pozytywne wykrycie cmd.exe i powershell.exe }}<br />
{{var | head<br />
| False Positive durch Virendatenbankupdate<br />
| False positive due to virus database update<br />
| Fałszywie pozytywne wykrycie spowodowane aktualizacją bazy danych wirusów }}<br />
{{var | Erweiterte Sicherheitseinstellungen--Bild<br />
| cmd Erweiterte Sicherheitseinstellungen.png<br />
|<br />
| }}<br />
{{var | cmd Eigenschaften--Bild<br />
| cmd Eigenschaften.png<br />
|<br />
| }}<br />
{{var | Benutzer waehlen--Bild<br />
| cmd Benutzer waehlen.png<br />
|<br />
| }}<br />
{{var | Uebersicht Standardrechte--Bild<br />
| cmd Uebersicht Standardrechte.png<br />
|<br />
| }}<br />
{{var | Problem<br />
| Problem<br />
| Problem<br />
| Problem }}<br />
{{var | Intro<br />
| <p>Am 19.03.2026 kam es zu einem False-Positive Vorfall bei dem die ''cmd.exe'' und die ''powershell.exe'' '''fälschlicherweise als Bedrohung erkannt wurden.''' Die Falscherkennung konnte durch ein '''Virendatenbankupdate nach kurzer Zeit wieder behoben werden.'''</p><br />
<p>Bei Geräten, die von diesem Problem betroffen waren, gibt es teilweise Nachwirkungen, wodurch die Dateien in wenigen Fällen gelöscht und in den meisten Fällen die NTFS-Berechtigungen der Dateien entzogen wurden.</p><br />
* <code>C:\Windows\System32\cmd.exe</code><br><br />
* <code>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</code><br />
<p>Dadurch lassen sich die Prozesse nicht mehr ausführen.</p><br />
| <p>On March 19, 2026, there was a false positive incident where ''cmd.exe'' and ''powershell.exe'' were '''incorrectly identified as threats.''' The false detection was resolved shortly after with a '''virus database update.'''</p><br />
<p>On affected devices, there are some aftereffects: in a few cases, the files were deleted, and in most cases, the NTFS permissions of the files were revoked.</p><br />
* <code>C:\Windows\System32\cmd.exe</code><br><br />
* <code>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</code><br />
<p>As a result, these processes can no longer be executed.</p><br />
| <p>19.03.2026 doszło do fałszywie pozytywnego incydentu, w którym ''cmd.exe'' i ''powershell.exe'' zostały '''błędnie zidentyfikowane jako zagrożenie.''' Fałszywe wykrycie zostało usunięte po krótkim czasie dzięki '''aktualizacji bazy danych wirusów.'''</p><br />
<p>Na urządzeniach dotkniętych tym problemem występują częściowe skutki uboczne: w niektórych przypadkach pliki zostały usunięte, a w większości przypadków cofnięto uprawnienia NTFS do plików.</p><br />
* <code>C:\Windows\System32\cmd.exe</code><br><br />
* <code>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</code><br />
<p>W wyniku tego procesy te nie mogą być już wykonywane.</p> }}<br />
{{var | Rechtsklick<br />
| Eigenschaften der betroffenen Prozesse per Rechtsklick öffnen<br />
| Open the properties of the affected processes by right-clicking<br />
| Otwórz właściwości dotkniętych procesów, klikając prawym przyciskiem myszy }}<br />
{{var | Problemlösung Schritt für Schritt Anleitung<br />
| Problemlösung: Schritt für Schritt Anleitung<br />
| Troubleshooting: Step-by-step guide<br />
| Rozwiązywanie problemów: przewodnik krok po kroku }}<br />
{{var | Rechte wiederherstellen<br />
| Als Lösung müssen die Rechte manuell wiederhergestellt werden:<br />
| As a solution, the permissions must be manually restored:<br />
| Jako rozwiązanie uprawnienia muszą zostać przywrócone ręcznie: }}<br />
{{var | Besitzer<br />
| Reiter "Sicherheit", Option "Erweitert": Den aktuellen Benutzer als Besitzer der Datei angeben<br />
| Select the "Security" tab and the "Advanced" option, then specify the current user as the owner of the file<br />
| Przejdź do zakładki „Zabezpieczenia”, wybierz opcję „Zaawansowane”, a następnie ustaw bieżącego użytkownika jako właściciela pliku }}<br />
{{var | Prinzipal Hinzufügen<br />
| "Hinzufügen" auswählen, "Prinzipal" auswählen anklicken und erneut den aktuellen Benutzer angeben<br />
| Select "Add", click "Select Principal" and enter the current user again<br />
| Wybierz „Dodaj”, kliknij „Wybierz podmiot”, a następnie ponownie wprowadź bieżącego użytkownika }}<br />
{{var | Schritt4 - Vollzugriff<br />
| Dem aktuellen Benutzer die Rechte für den Vollzugriff erteilen<br />
| Grant the current user full access permissions<br />
| Przyznaj bieżącemu użytkownikowi pełne uprawnienia dostępu }}<br />
{{var | 1=Befehle<br />
| 2=Im Anschluss folgende Befehle zum Wiederherstellen von allen Standardrechten in der jetzt verwendbaren cmd ausführen:<br><br />
<code>icacls "C:\Windows\System32\cmd.exe" /reset /c</code><br><br />
<code>icacls "C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe" /reset /c</code><br />
Sollte dies nicht mit den Befehlen funktionieren, müssen die folgenden Benutzerrechte manuell für beide Prozesse eingetragen werden:<br />
| 3=Next, run the following commands to restore all default permissions in the now-available cmd:<br><br />
<code>icacls "C:\Windows\System32\cmd.exe" /reset /c</code><br><br />
<code>icacls "C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe" /reset /c</code><br />
If this does not work using the commands, the following user permissions must be manually assigned to both processes:<br />
| 4=Następnie uruchom następujące polecenia, aby przywrócić wszystkie domyślne uprawnienia w dostępnym cmd:<br><br />
<code>icacls "C:\Windows\System32\cmd.exe" /reset /c</code><br><br />
<code>icacls "C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe" /reset /c</code><br />
Jeśli to nie zadziała za pomocą poleceń, następujące uprawnienia użytkowników muszą zostać przypisane ręcznie do obu procesów: }}<br />
{{var | Schritt<br />
| Schritt<br />
| Step<br />
| Krok }}<br />
{{var | Prinzipal<br />
| Prinzipal<br />
| Principal<br />
| Podmiot }}<br />
{{var | Zugriff<br />
| Zugriff<br />
| Access<br />
| Dostęp }}<br />
{{var | ALLE ANWENDUNGSPAKETE<br />
| ALLE ANWENDUNGSPAKETE<br />
| ALL APPLICATION PACKAGES<br />
| WSZYSTKIE PAKIETY APLIKACJI }}<br />
{{var | ALLE EINGESCHRÄNKTEN ANWENDUNGSPAKETE<br />
| ALLE EINGESCHRÄNKTEN ANWENDUNGSPAKETE<br />
| ALL RESTRICTED APPLICATION PACKAGES<br />
| WSZYSTKIE OGRANICZONE PAKIETY APLIKACJI }}<br />
{{var | SYSTEM<br />
| SYSTEM<br />
| SYSTEM<br />
| SYSTEM }}<br />
{{var | Administratoren<br />
| Administratoren<br />
| Administrators<br />
| Administratorzy }}<br />
{{var | Benutzer<br />
| Benutzer<br />
| Users<br />
| Użytkownicy }}<br />
{{var | Trusted Installer<br />
| Trusted Installer<br />
| Trusted Installer<br />
| Trusted Installer }}<br />
{{var | Lesen, Ausführen<br />
| Lesen, Ausführen<br />
| Read, Execute<br />
| Odczyt, Wykonywanie }}<br />
{{var | Lesen<br />
| Lesen<br />
| Read<br />
| Odczyt }}<br />
{{var | Vollzugriff<br />
| Vollzugriff<br />
| Full Control<br />
| Pełna kontrola }}<br />
{{var | Ändern<br />
| Ändern<br />
| Modify<br />
| Modyfikacja }}<br />
{{var | Schreiben<br />
| Schreiben<br />
| Write<br />
| Zapis }}<br />
{{var | Hinweis Datei gelöscht<br />
| Wenn die Dateien auf den betroffenen Geräten gelöscht wurden, müssen die Dateien<br />
* von einem Gerät mit <u>gleicher Betriebssystemversion und Architektur</u> übertragen<br>oder<br />
* das System aus einer Sicherung wiederhergestellt werden.<br />
| If the files on your affected devices have been deleted, you will need to transfer the files<br />
* from a device with the <u>same operating system version and architecture</u><br>or<br />
* restore the system from a backup.<br />
| Jeśli pliki na dotkniętych urządzeniach zostały usunięte, należy przenieść pliki<br />
* z urządzenia z <u>tą samą wersją systemu operacyjnego i architekturą</u><br>lub<br />
* przywrócić system z kopii zapasowej. }}<br />
{{var | Abschluss<br />
| Abschluss<br />
| Conclusion<br />
| Zakończenie }}<br />
{{var | Abschluss--desc<br />
| Wenn diese Schritte durchgeführt wurden, sollten ''cmd.exe'' und ''powershell.exe'' wieder ordnungsgemäß funktionieren.<br />
| After completing these steps, ''cmd.exe'' and ''powershell.exe'' should work properly again.<br />
| Po wykonaniu tych kroków ''cmd.exe'' i ''powershell.exe'' powinny ponownie działać poprawnie. }}<br />
</div></div>Lauritzl