What does the Studio want at this time?

Hello,
a few day ago we upgradet our Studio to version 2019.10.3 and we find that there are many new features. So we didn’t discover all them yet.
Now I opend the Studio on my machine and got a message popup from our security software:
UiPathStudio_03032020_02
Because the text is in German I will translate: "The access of UiPath.Studio.exe to nfgllwez.ha3 was blocked by rule AG01-STD-2.1. Found: 001.2. Cryptolocker Extension

Can anyone please explain what happens here? What please is “nfgllwez.ha3”?

Kind regards

Hi,

could you check with event logger and post it the result,
I will check and tell why its happen. In my end i enable some security policy its work well in production

Here is the log, I got from out admins:

Anwendung:
Protokollname: Application
Quelle: UiPath
Datum: 03.03.2020 10:26:59
Ereignis-ID: 0
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: W0190Vxxxx30…de
Beschreibung:
UiPath.Service.Host 19.10.3.0
Job Kolumbus1/3cce2f3f-4dda-4972-83f0-d6cf3165c6d0 with status Cancelling changed to Cancelled: Auftrag Kolumbus1 wurde angehalten (erzwungen)!

RemoteException wrapping System.Exception: Auftrag Kolumbus1 wurde angehalten (erzwungen)!

Ereignis-XML:



0
2
0
0x80000000000000

55746
Application
W0190VUxxxxxxest.de



UiPath.Service.Host 19.10.3.0
Job Kolumbus1/3cce2f3f-4dda-4972-83f0-d6cf3165c6d0 with status Cancelling changed to Cancelled: Auftrag Kolumbus1 wurde angehalten (erzwungen)!

RemoteException wrapping System.Exception: Auftrag Kolumbus1 wurde angehalten (erzwungen)!



Sicherheit:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 03.03.2020 10:43:04
Ereignis-ID: 4673
Aufgabenkategorie:Sensible Verwendung von Rechten
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: W019xxxx0.dxxxest.de
Beschreibung:
Ein privilegierter Dienst wurde aufgerufen.

Antragsteller:
Sicherheits-ID: PROD7330\ufrobo2
Kontoname: ufrobo2
Kontodomäne: PROD7330
Anmelde-ID: 0x10D2184

Dienst:
Server: Security
Dienstname: -

Prozess:
Prozess-ID: 0x187c
Prozessname: C:\Windows\explorer.exe

Dienstanforderungsinformationen:
Berechtigungen: SeTcbPrivilege
Ereignis-XML:



4673
0
0
13056
0
0x8010000000000000

298356


Security
W0190xxxxst.de



S-1-5-21-926032899-1634115811-4226712427-168796
ufrobo2
PROD7330
0x10d2184
Security
-
SeTcbPrivilege
0x187c
C:\Windows\explorer.exe

Symantec:
Protokollname: Symantec Endpoint Protection Client
Quelle: Symantec Endpoint Protection Client
Datum: 03.03.2020 10:44:04
Ereignis-ID: 202
Aufgabenkategorie:Content
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: W0190VUxxxxxkitest.de
Beschreibung:
Content wurde auf dem Client installiert

Produkt: SEPC Iron Revocation List 14.2 RU1
Version: MicroDefsB.CurDefs
Sprache: SymAllLanguages
Moniker: {FE0C7385-92CD-4877-B26F-EE9FFB3C34E0}
Sequenz: 200303005
Veröffentlichungsdatum: Dienstag, 3. März 2020
Revision: 005

Ereignis-XML:



202
4
2
0x80000000000000

1934
Symantec Endpoint Protection Client
W019xxxxitest.de



Content wurde auf dem Client installiert

Produkt: SEPC Iron Revocation List 14.2 RU1
Version: MicroDefsB.CurDefs
Sprache: SymAllLanguages
Moniker: {FE0C7385-92CD-4877-B26F-EE9FFB3C34E0}
Sequenz: 200303005
Veröffentlichungsdatum: Dienstag, 3. März 2020
Revision: 005


Protokollname: Symantec Endpoint Protection Client
Quelle: Symantec Endpoint Protection Client
Datum: 03.03.2020 10:44:04
Ereignis-ID: 200
Aufgabenkategorie:Content
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: W01xxxxitest.de
Beschreibung:
Content wurde auf den Client heruntergeladen

Produkt: SEPC Iron Revocation List 14.2 RU1
Version: MicroDefsB.CurDefs
Sprache: SymAllLanguages
Moniker: {FE0C7385-92CD-4877-B26F-EE9FFB3C34E0}
Sequenz: 200303005
Veröffentlichungsdatum: Dienstag, 3. März 2020
Revision: 005
Quelle: HTTP://10.33.99.139/clu-prod (7070)
Größe: 41322 Byte
Ereignis-XML:



200
4
2
0x80000000000000

1933
Symantec Endpoint Protection Client
W0190VUxxxxitest.de



Content wurde auf den Client heruntergeladen

Produkt: SEPC Iron Revocation List 14.2 RU1
Version: MicroDefsB.CurDefs
Sprache: SymAllLanguages
Moniker: {FE0C7385-92CD-4877-B26F-EE9FFB3C34E0}
Sequenz: 200303005
Veröffentlichungsdatum: Dienstag, 3. März 2020
Revision: 005
Quelle: HTTP://10.33.99.139/clu-prod (7070)
Größe: 41322 Byte

its seems the service host is blocked to access.

I meet the same i checked my end the uipath installed on seperate drive its using service account.
I tried reinstall using the path is on program files and give all access permission its working fine for me.

could you try and replay

Hi @martinN

Could you confirm whether the issue has been resolved?

Hello,

Yes, I think it is resolved. I didn’t see the message again.

1 Like