Trojan:Script/Wacatac.B!ml - Fehlalarm oder nicht?

the_ButcheR

Vice Admiral
Registriert
Mai 2010
Beiträge
6.827
Hallo Community,

vorhin ruft mich mein Vater an, er habe beim Start von Windows eine Meldung bekommen, dass ein Virus auf dem Rechner sei. Per TeamViewer sah ich dann was er genau meint: Der Windows Defender hat angeschlagen und "Trojan:Script/Wacatac.B!ml" gefunden. Das betroffene Element ist eine PDF im Windows-Temp Ordner. Diese wird unter mehreren Namen aufgelistet. Im Ordner selbst sehe ich allerdings nur eine PDF.
Als erstes dachte ich, ok spielen wir ein Backup ein. Nach dem Blick in den Veeam Agent stieg mein Puls direkt: Letztes Backup irgendwann im September...
Als nächtes Malwarebytes installiert und einen Scan gestartet. Malewarebytes findet allerdings keine Bedrohung. Anschließend habe ich die PDF noch bei Virustotal hochgeladen, auch keine Warnung. Hier läuft aktuell noch etwas unter "Behavior", "There are some sandboxes still analysing the file."

Ich habe das PDF jetzt manuell gelöscht. Aktuell läuft noch eine "Vollständige Durchsuchung" mittels Defender. Bisher keine Warnung, die kam beim ersten vollständigen Scan sehr schnell.

Über eine Online suche findet man alles mögliche. Von der gleichen Meldung welche Leute in selbst erstellten Programmen erhalten haben, über Spieledownloads aus offiziellen Gamestores bis hin zu eher nicht seriös wirkenden Seiten die einem ein Antivierentool verkaufen wollen.

Was meint ihr Fehlalarm oder doch echtes Problem?


Hier noch ein Screenshot aus dem Defender:
1708276853360.png
 
Bei virustotal das pdf scannen.
 
  • Gefällt mir
Reaktionen: Red Sun
the_ButcheR schrieb:
"Trojan:Script/Wacatac.B!ml"
Immer wenn der Defender diese Fundmeldung liefert, ist es ein Fehlalarm.
Virtustotal hat ja bestätigt, dass die PDFs ungefährlich sind.
 
@chrigu Virustotal gibt keine Warnung zu der PDF. Unter Detection 0/61, bei Behavior läuft jetzt bestimmt schon eine halbe Stunde der Ladekreis und es kommt die Meldung, dass einige Sandboxes die Datei noch analysieren.

@Dr. McCoy Das wenn ich wüsste :rolleyes:. Hab sie jetzt lokal auch schon gelöscht.

@PC295 Freut mich das zu hören, gibt es dazu auch eine Quelle? Bei meiner Recherche bin ich zum Teil auch auf diese Aussage gestoßen. Ich meine ich war auch einmal im Microsoft Forum. Dort hat jemand einen Link gepostet unter welchem man False Positives melden konnte.
 
Ok, das beruhigt mich jetzt. Dann ruf ich meinen Dad an, er soll ein Backup machen :p.

Danke euch allen und noch einen schönen Abend.
 
Ihr solltet auch mal den Temp Ordner leeren, dann ist der leer und der Defender findet darin nichts mehr.
 
  • Gefällt mir
Reaktionen: Netvampire
Bei einem Freund habe ich gerade das gleiche Problem.
Den windows/Temp-Ordner zu löschen hat nicht funktioniert, ein neues PDF wurde instant durch das Programm pdfprofiltsrvpp neu generiert und sofort vom Defender wieder beanstandet, Meldung wie siehe oben.
Es könnte sich um ein Programm handeln, das durch eine Brother Scansoftware (Nuance Paperport afair) auf den Rechner gekommen ist. PDFplus ist auch installiert.

Ein echtes PDF war es übrigens nicht, ich habe es zumindest unter Linux nicht öffnen können. Virustotal hat nichts gefunden.
Mal sehen, ob sich das gibt.
Womöglich stört sich Defender am Verhalten eines der Programme?
Gruß
Raimund
 
Ich hatte gestern das gleiche Problem. Bei mir war ebenfalls Nuance Paperport installiert.
Angefangen hat es, nachdem ich über OneNote PDFs (über den Microsoft PDF Drucker) erstellt und dann ein paar PDFs mit Acrobat geöffnet habe.

Das TEMP Verzeichnis wurde mit teils 500 MB großen PDFs zugemüllt und Defender hat im Minutentakt Meldungen ausgegeben, auf die ich aber nicht reagieren können. Quarantäne oder Löschen brachte nicht wirklich was.
Scan mit Malwarebytes oder dem Avast Rettungsstick brachten keine Meldung.

Nachdem ich Paperport deinstalliert und Avast laufen hab, kommt keine Fehlermeldung mehr... Auch im TEMP Verzeichnis war keine PDF mehr zu finden.

@Dr. McCoy: Ich hab leider die PDFs schon gelöscht. Mir stellt sich jedoch noch vorher die Frage, warum diese PDFs überhaupt erstellt werden...
 
Doktor Gnom schrieb:
Mir stellt sich jedoch noch vorher die Frage, warum diese PDFs überhaupt erstellt werden...
Das passiert z.B. wenn du PDFs über den Browser öffnest oder druckst.
 
Ich hab exakt das gleiche Problem seit gestern an zwei verschiedenen Rechnern - hab den ganzen Sonntag damit verbracht, mir Logfiles, FRTS, Malware Antibytes und Co zu durchforsten. Angefangen hatte das Problem damit, dass ich ein mehrseitiges PDF mit Paperport 12 von meiner Brother Drucker-Software scannen wollte, seither wird mein System regelmäßig mit den Meldungen zum Trojaner vollgespamt. Die PDF-Dateien im Temp-Verzeichnis hab ich ebenso bereits gelöscht, vorher natürlich bei Virustotal geprüft (ohne Ergebnis = Clean).

Das lustige ist, wenn ich random PDF-Dateien auf dem Desktop kopiere, dann erscheint wieder im Temp-Verzeichnis kurzzeitig eine PDF im Namensschema wie bei den anderen Postern hier.

Ziemlich nervig das Ganze - eigentlich will ich ungern Paperport deinstallieren, weil ich damit relativ viel mache, aber wenn es das Problem zu beheben scheint, ist's wohl der einzige Weg.
 
  • Gefällt mir
Reaktionen: dmw
@PC295 : Danke. Bei mir wurden allerdings auch PDFs erstellt, obwohl ich keine (mehr) geöffnet hatte bzw. keine zum Drucken geschickt habe.
Klingt aber bisher, als ob sich Paperport und Defender nicht (mehr) mögen würden.

@Dr. McCoy
1708361280158.png
 
Hallo, bei mir am Montag exakt das gleiche Phänomen mit ständig neuen PDFs in der Form in Windows Temp. Ich hatte früher auch mal Paper Port installiert, aber eigentlich deinstalliert. Zudem ein Brother Scan Tool und ELO Office. Gibts noch weitere Neuigkeiten zu dem Problem?
 
Aktuell noch kein Feedback von Microsoft zur hochgeladenen File, ich bekomme weiterhin auch Random-PDFs inkl. Defender-Warnungen rein (hab vorhin mal wieder was scannen müssen).

1708504736225.png
 
darum leere ich meinen Win Temp Ordner täglich per Batch Skript......
 
dmw schrieb:
ich bekomme weiterhin auch Random-PDFs inkl
Mach eine Rechtsklick auf eine PDF-Datei -> Eigenschaften -> PDF-Information

Dort stehen u.a. Informationen zum Programm, welche die PDF erstellt hat.
Das gibt vielleicht Aufschluss über den Verursacher.
 
Zurück
Oben