Beantwoord

Audit failure in Windows Event Viewer

  • 28 June 2023
  • 3 reacties
  • 65 keer bekeken
G
Rank

Ik heb KPN Veilig op mijn PC geïnstalleerd en zie in de Windows Event Viewer onderstaande melding(en) inzake Audit Failure. Moet ik mij zorgen maken of dit product wel correct werkt?

Code integrity determined that the image hash of a file is not valid.  The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name:    \Device\HarddiskVolume6\Program Files (x86)\KPN Veilig\Ultralight\ulcore\1686575593\fsamsi64.dll    

 

Wat is hiervan de oorzaak, en wat moet er gedaan worden om deze meldingen niet meer te krijgen?

icon

Beste antwoord door GeSp 29 June 2023, 13:40

Bekijk origineel
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

3 reacties

GeSp
Rank
Reputatie 7
Badge +18

Hallo @GHP58 

 

KPN Veilig is eigenlijk gewoon F-Secure, op hun forum heb ik onderstaande antwoord gevonden, het gaat over hetzelfde dll bestand.
De oorzaak van de melding is dus bekend en je kan de melding negeren, de melding is blijkbaar niet uit te schakelen.

Please see the following Statement from our developers:

Antimalware Scan Interface (AMSI) is an API that allows applications to request antimalware products installed on the computer to scan their data for harmful content, provided that such antimalware products have exposed their scanning services via AMSI.

Latest F-Secure products provide this scanning interface to the applications.

One of such applications is Microsoft Defender. Its manual scanning feature makes use of AMSI, loading the AMSI modules registered with the system into its processes.

However, Defender itself has a security measure that prevents any DLLs which are not signed by Microsoft from being loaded into its processes. This means that in case a non-Microsoft AMSI provider is registered to the system, Defender will try to load it, but will reject it because it does not have a Microsoft signature, and an error will be written to the event log.

This appears to be an intentional design in Defender to only allow Microsoft's own AMSI DLLs to be used with it. The event log error is a result of this design and can be ignored by the customers.

Bron:

https://community.f-secure.com/en/discussion/123032/win-10-event-log-fsamsi64-dll-image-hash-of-a-file-is-not-valid

 

G
Rank

Dank voor de reactie!

Wel opmerkelijk dat software die je installeerd om je computer veilig te kunnen gebruiken een foutmelding in het Windows log schrijft. Je krijgt dan toch het gevoel dat er iets niet in de haak is.

Nog vreemder vind ik het dat de ontwikkelaar van de software daar vanaf weet, en er vervolgens niets aan doet om dat te herstellen.

GeSp
Rank
Reputatie 7
Badge +18

Het is niet KPN Veilig die de melding in de log schrijft maar Windows Defender.

Wat ik opmaak uit het verhaal is dat Defender alleen dll's accepteert die ondertekend zijn door Microsoft zelf, F-Secure kan dat niet (want ze zijn geen Microsoft) en kan het probleem daarom niet verhelpen.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden