Windows 11: Zugriff auf geschützten Speicher blockiert

[Jack2]

Hallo zusammen,
ich habe auf meinem Windows 11-PC eine Meldung im Schutzverlauf erhalten: „Zugriff auf geschützten Speicher blockiert“. Leider gibt es im Schutzverlauf keine „Details“- oder „Aktion anzeigen“-Option, die mir die blockierte App oder den Prozess nennt.

Ich habe schon Folgendes versucht:

1. Ereignisanzeige durchsucht (Sicherheit, System und Anwendung), konnte aber keinen klaren Eintrag dazu finden.
2. Die Speicherintegrität (unter Gerätesicherheit → Kernisolierung) überprüft – diese ist aktiviert, aber ich möchte sie nur ungern deaktivieren.
3. Treiber und installierte Programme aktualisiert, aber der Fehler tritt weiterhin auf.
4. ChatGTP kann leider keine .evtx Ereignissedatein logs anschauen.

Hat jemand eine Idee, wie ich die genaue App oder den Prozess herausfinden kann, der blockiert wurde?

 

[PC295]

Hast du den "überwachten Ordnerzugriff" aktiv?
Schau unter "Viren- und Bedrohungsschutz" -> Ransomwareschutz

Dort kannst du Ordner schützen und Programme ausnehmen.
Eventuell siehst du dort im "Blockierungsverlauf" was wo blockiert wurde.

 

[Jack2]

Unter "Viren- und Bedrohungsschutz" -> Ransomwareschutz -> Blockierungsverlauf
Dort sehe ich nur die Ereignisse, aber keine Details. Wenn ich darauf klicke, werde ich lediglich gefragt, ob die Blockade aufgehoben werden soll, ohne dass mir weitere Informationen angezeigt werden.

 

[PC295]

Normalerweise klappt sich jeder Eintrag auf, wenn man drauf klickt.

keine .evtx Ereignissedatein logs anschauen

hier kannst du in der Ereignisanzeige schauen unter
Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Windows Defender -> Operational
ob es dort Details gibt

Ansonsten kannst du auch den überwachten Ordnerzugriff komplett deaktivieren.
Die Funktion dient nur zur Schadensbegrenzung und kann nicht zwischen guten und gefährlichen Programmen unterscheiden. Mit der Deaktivierung hast du letztendlich keine Einschränkungen im Virenschutz.

Erstelle dir stattdessen mehrfache Backups von wichtigen Dateien um einen Schutz vor Verlust oder Manipulation zu haben.

 

[Jack2]

Controlled Folder Access blocked C:\Windows\UUS\Packages\Preview\amd64\MoUsoCoreWorker.exe from making changes to memory.
Detection time: 2024-12-11T22:38:18.349Z
User: NT AUTHORITY\SYSTEM
Path: \Device\HarddiskVolume3
Process Name: C:\Windows\UUS\Packages\Preview\amd64\MoUsoCoreWorker.exe
Security intelligence Version: 1.421.739.0
Engine Version: 1.1.24090.11
Product Version: 4.18.24090.11

Heißt dass, das sich gerade Windows selber blockiert?

ChatGTP:

Was bedeutet der Eintrag?​

• Controlled Folder Access blocked: Diese Nachricht bedeutet, dass Windows Defender mit der Funktion "Controlled Folder Access" den Zugriff des angegebenen Prozesses auf den geschützten Speicherbereich blockiert hat. Diese Funktion schützt vertrauliche Daten vor unbefugtem Zugriff, insbesondere durch Ransomware oder andere schadhafte Programme.
• C:\Windows\UUS\Packages\Preview\amd64\MoUsoCoreWorker.exe: Dies ist der Prozess, der blockiert wurde. MoUsoCoreWorker.exe ist ein Systemprozess, der mit Windows-Updates und der Verwaltung von Update-Paketen zusammenhängt. Dieser Prozess ist in der Regel Teil des Windows Update-Systems und ist nicht direkt gefährlich.
• from making changes to memory: Das bedeutet, dass der angegebene Prozess versucht hat, auf den Arbeitsspeicher zuzugreifen oder ihn zu ändern, was durch den Controlled Folder Access verhindert wurde.

 

[PC295]

Heißt dass, das sich gerade Windows selber blockiert?

Ja. Das ist nicht ungewöhnlich.
Das Beispiel zeigt gut wie "billig" Microsofts Ransomwareschutz ist.
Der Ordnerschutz blockiert auch Edge, wenn der eine PDF ein einem der geschützten Ordner speichern soll.

Wie schon geschrieben, unterscheidet der Odnerschutz nicht zwischen gut und böse.
Du müsstest die Apps in den Einstellungen unter "Apps durch überwachten Ordnerzugriff zulassen" freigeben.

Das macht aber, gerade wie in deinem Beispiel, wenig Sinn, wenn es Windows-Dateien und Dienste betrifft, diese alle manuell freizugeben.

 

[Jack2]

Warum muss ich nach

"Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Windows Defender -> Operational"

gehen um zu sehen was los ist?

Du müsstest die Apps in den Einstellungen unter "Apps durch überwachten Ordnerzugriff zulassen" freigeben.

Ich hab im Schutzverlauf mehrer Einträge, ich seh leider nicht was ich frei gebe... so nach dem Motto zuerst schiessen und dann fragen...

 

[PC295]

Normalerweise kann man die Einträge anklicken, dann erscheint die Benutzerkontenabfrage, nach Bestätigung, dann die Details, wie im folg. Beispiel, welches aber der allgemeine Schutzverlauf betrifft.



(Ob das beim überwachten Ordnerzugriff auch so ist, kann ich momentan nicht nachstellen)

Eventuell hat er in deinem Fall keine Details (aufklappbares Menü), weil es den Speicher und keinen Ordner betrifft.

 

[Grestorn]

Das Beispiel zeigt gut wie "billig" Microsofts Ransomwareschutz ist.

Woher soll das OS wissen, dass Edge das zurecht macht? Edge selbst kann ja auch immer missbraucht werden. Das ist sogar einer der üblichen Einfallstore. Das ist schon ok so. Ausnahmelisten lassen sich leicht missbrauchen.

Manchmal denken sich Leute auch was, bei dem was sie machen. Auch wenn sie bei MS arbeiten.

 

[PC295]

Woher soll das OS wissen

Das OS kann sehr gut zwischen Nutzer- und Programminterkationen unterscheiden.
Du stehst dann hier zwischen der Entscheidung, Edge oder den Ordner auszuschließen. Beides macht den überwachten Ordnerzugriff dann überflüssig.

Vielmehr bezieht sich die Qualität aber auf die fehlenden Details in Bedrohungsmeldungen und Schutzverläufen.
Das man sich wie hier in der Ereignisanzeige durchwühlen muss, kann nicht das Ziel sein.

 

[Grestorn]

Das OS kann sehr gut zwischen Nutzer- und Programminterkationen unterscheiden.

Um... nein, kann es nicht.

Jede UI Aktion kann auch durch eine SW simuliert werden.