Letzte Anpassung: 03.2026
- Workaround für entzogene Rechte
Problem
Am 19.03.2026 kam es zu einem False-Positive Vorfall bei dem die cmd.exe und die powershell.exe fälschlicherweise als Bedrohung erkannt wurden. Die Falscherkennung konnte durch ein Virendatenbankupdate nach kurzer Zeit wieder behoben werden.
Bei Geräten, die von diesem Problem betroffen waren, gibt es teilweise Nachwirkungen, wodurch die Dateien in wenigen Fällen gelöscht und in den meisten Fällen die NTFS-Berechtigungen der Dateien entzogen wurden.
C:\Windows\System32\cmd.exeC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Dadurch lassen sich die Prozesse nicht mehr ausführen.
Problemlösung: Schritt für Schritt Anleitung
Als Lösung müssen die Rechte manuell wiederhergestellt werden:
- Schritt 1 Eigenschaften der betroffenen Prozesse per Rechtsklick öffnen
- Schritt 2 Reiter "Sicherheit", Option "Erweitert": Den aktuellen Benutzer als Besitzer der Datei angeben
- Schritt 3 "Hinzufügen" auswählen, "Prinzipal" auswählen anklicken und erneut den aktuellen Benutzer angeben
Schritt 4: Dem aktuellen Benutzer die Rechte für den Vollzugriff erteilen
Schritt 5: Im Anschluss folgende Befehle zum Wiederherstellen von allen Standardrechten in der jetzt verwendbaren cmd ausführen:
icacls "C:\Windows\System32\cmd.exe" /reset /c
icacls "C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe" /reset /c
Sollte dies nicht mit den Befehlen funktionieren, müssen die folgenden Benutzerrechte manuell für beide Prozesse eingetragen werden:
| Prinzipal | Zugriff |
|---|---|
| ALLE ANWENDUNGSPAKETE | Lesen, Ausführen Lesen |
| ALLE EINGESCHRÄNKTEN ANWENDUNGSPAKETE | Lesen, Ausführen Lesen |
| SYSTEM | Lesen, Ausführen Lesen |
| Administratoren | Lesen, Ausführen Lesen |
| Benutzer | Lesen, Ausführen Lesen |
| Trusted Installer | Vollzugriff Ändern |
- von einem Gerät mit gleicher Betriebssystemversion und Architektur übertragen
oder - das System aus einer Sicherung wiederhergestellt werden.