Defender findet Backdoor "(aktiv)" - Neuinstallation?

[shaadar]

Hallo,

gestern habe ich aus Sparmaßnahmen meinen ESET nicht mehr verwendet und bin auf den Windows Defender gegangen, der ja auch ganz gut sein soll. Ich stoße aber auf merkwürdiges Verhalten.

Ich scanne auf vollständig - während des stundenlangen Scans wird nichts angezeigt. Breche ich den Scan aber ab nach 3 Stunden (so dass C: dicke abgedeckt ist und meine 5 TB Eigenen Dateien etwas abgedeckt sind, die unter Emsisoft EEK komplett keine Malware finden, Malwarebytes 4.5.18 Testversion findet auch nichts, Backup habe ich) sagt er beim Abbrechen: "Bedrohung gefunden - Backdoor (aktiv)" (den genauen Malwarenamen hab ich mir nicht gemerkt, da ich sofort auf Maßnahmen gegen Bedrohungen gegangen bin). Dann hieß es: "Maßnahmen gegen Bedrohungen werden ausgeführt" und nach 10 Minuten schrieb das Antvirenprogramm abgeschlossen und ok. Ich scanne wieder, scanne 3 Stunden. Dann wieder beim Abbrechen: "(andere) Bedrohung gefunden (aktiv)" - und Maßnahmen gegen Bedrohung veranlasst. Die waren wieder gelungen nach ca. 10 Minuten. Da das jetzt das zweite mal ist, überlege ich, neu zu installieren.

Ist das nur ein Defender-False?

 

[Gelöscht 865248]

Oder du lässt ihn einfach mal scannen?

 

[s1ave77]

Schwer zu sagen, ohne zu wissen, was genau der Defender da kritisiert. Der kann durchaus kreativ bei der Namensgebung sein und dramatisiert bei PUPs gerne mal .

 

[xxMuahdibxx]

Datei über Virustotal uploaden.. gegenchecken.

Ansonsten Fehlermeldung lesen .... Schnelles reparieren macht's doch nicht besser wenn wichtige Informationen dann nicht da sind.

Aber ein Backdoor ist selten ein false positiv.

Überdenken was für Software auf dem Datengrab rumliegt die man nicht braucht.

Und bei 5 TB Mal über extern speichern nachdenken sowie Backup..falls die Daten wichtig sind.

Wenn man die Datei kennt aber sie nur auf dem Rechner "rumliegt" und nicht genutzt wurde ... Kann sie auch keinen schaden angerichtet haben... Aber dafür muss man halt wissen was.

 

[s1ave77]

Aber ein Backdoor ist selten ein false positiv.

Kommt drauf an, ob ein Prozess in Windows gemeint ist, oder eine Datei auf einem anderen Datenträger damit bedacht wird. Bei mir hat der das auch gerne mal bei meinen selbstgeschriebenen AHK>EXE Tools behauptet, da die auf versteckte Systemfunktionen zugreifen.

 

[Brimbamborum]

In kurz: Ja. Daten retten, alles andere ist sinnlos. Du kannst kein sicher sauberes System per AV erreichen. Daten retten AUSSCHLIESSLICH per Live-CD ohne dass das OS läuft. Du hast jetzt schon viel mehr Zeit mit dem Rettungsversuch verpulvert, als ein Neuaufsetzen gekostet hätte.

 

[Gelöscht 865248]

Wir wissen doch noch nicht mal was für eine Meldung kommt ... Muss man alles so dramatisieren? Sein Computer wird schon nicht in 5 Minuten in den Selbstzerstörungsmodus gehen.

 

[s1ave77]

In kurz: Ja. Daten retten, alles andere ist sinnlos. Du kannst kein sicher sauberes System per AV erreichen.

Wenn der bemängelte Schädling auf einem anderen Datenträger liegt, nutzt das nicht wirklich .

 

[shaadar]

Ich habe ein Daten-Backup.

Backdoor:Win32/Bladabindi.YPS!MTB :
C:\Users\Kai\Downloads\geburtstag_setup_CB-DL-Manager.exe

HackTool:Win32/ProductKey :
HBCD_PE_1.02_x64.iso

Ich kann jetzt nicht die gesamte .iso bei VirusTotal hochladen, aber die .exe.

EDIT: Ergebnis der .exe:

"48 security vendors and no sandboxes flagged this file as malicious", Bewertungen von PUP bis Trojan.

Die Hirens Boot CD hat eventuell ein Hacktool drauf, und den kostenlosen Geburtstagsmanager hab ich mir mal downgeloadet, ohne ihn zu benutzen.

Ich lasse jetzt vollständig scannen.

 

[Demon_666]

Was spricht dagegen, die beiden Dateien zu löschen und dann erneut einen Durchlauf zu starten? Tippe mal auf keine lebenswichtigen Daten bei den Dateinamen.

 

[shaadar]

Habe die Geburtstag... .exe gelöscht. Die Hirens Boot CD häte ich gerne behalten, da sie SSDs und HDDs per SMART untersuchen kann, wenn ein System nicht mehr booten kann.

Was noch komisch war: Ich habe ein Administratorkonto und ein eingeschränktes Konto. Mit dem Administratorkonto war ich früher oft online, dann habe ich zur Sicherheit das eingeschränkte eingerichtet und es die letzten 6 Monate fast ausschließlich verwendet. Als ich heute morgen im Administratorkonto war (und jetzt bin) hatte der Firefox kein https erverywehre mehr, die Taksleiste hatte keine Icons mehr (da hatte ich aber Thunderbird und Verycrypt... drauf), Thunderbird wollte neu eingerichtet werden. Ist das normal wenn man ein Administratorenkonto kaum benutzt, aber die Updates der Programme kommen oder hat da jemand was an meinem System verändert?

EDIT: ich danke Euch schon mal sehr für Euren Rat! Prima, im Forum zu sein.

Ich lösche mal Hirens Boot CD, kann ich ja später nochmal downloaden, nur dass jetzt der Scanner nicht nochmal irritiert wird...

 

[tomgit]

Wenn die Dateien nicht sonderlich wichtig sind, mal entfernen (oder auf einen separaten Stick auslagern/in "Quarantäne" stecken) und danach schauen, ob es sich dann legt.
Außerdem sollte nichts dagegen sprechen, den Scanner komplett durchlaufen zu lassen - besonders wenn ein "Backup" angehängt ist. Möchtest ja nicht unbedingt, dass sich da irgendwelche Malware befindet, oder? Mal ganz davon abgesehen, dass das Backup nicht ständig angehängt sein sollte und somit auch Malware exponiert ist.

 

[Demon_666]

Je nachdem aus welchen Quellen die Dateien stammen, können die schon kompromittiert sein. Hast Du den beides genutzt bzw. installiert?
Dann solltest Du nach einem erfolgreichen scan evt. wirklich alle wichtigen Daten sichern und Windows neu aufsetzen. Sichern am besten über externen Linux-Live-Stick o.ä. . Du willst ja nicht, dass ein möglicher Virus dein Backup befällt.

 

[shaadar]

Die Geburtstags-App habe ich nicht genutzt. Ist jetzt gelöscht. Die Hirens Boot CD habe ich genutzt. Sie hat gut erkannt, dass mein Notebook deswegen in der Bootschleife hing weil die SSD kaputt war. Sowas könnte ich später weider gebrauchen.

Alle wesentlichen Eigenen Dateien (die 5 TB) sind auf einer verschlüsselten Extra SSD. Wenn ich die benutze, muss ich sie per Veracrypt mounten. Könnte naürlich sein dass ein Virus etc... da leider hineingerät. Das Backup auf HDD ist gar nicht oft mit dem PC verbunden.

Dass Verhalten, dass das Administratorenkonto kein https everywhere hat, die Icons von der Taskleiste weg waren und Thundebird keine Mailkonten (während im eingeschränkten Konto alles ok war) kann nicht am einfachen Updaten der Software gelegen haben im eingeschrönkte Konto mit Adminpasswort? Ich habe das Adminkonto selbst die letzten Monate kaum benutzt.

Ich scanne gerade das System vollständig ohne dass die Eigenen Dateien gemountet sind. Ob eineMalwares im System ist oder er sich nur über einzelne eigene Dateien aufregt.

 

[s1ave77]

TL;DR: Viel Lärm um nichts .

 

[Wechsler]

Auf Boot-CD ist ein Werkzeug von NirSoft enthalten, das die Product-Keys der installierten Software anzeigen kann. Das findet Microsoft doof und deshalb meldet der Defender das. Um Schadsoftware handelt es sich deswegen nicht.

 

[chrigu]

sehr oft sind in diesen cräcktools auch malware integriert. Deshalb mein tipp: löschen und in Zukunft darauf verzichten.

 

[ElectroYeti]

Computer-Bild Download Manager ... Ist wie bei dem von Chip. Angeblich geprüft und virensicher. Dann lad dir den Geburtstagsplaner doch noch mal von der Original Seite runter, oder wenigstens ohne diesen Downloader.

 

[shaadar]

Danke für den Tipp. Ich hatte den Geburtstagsplaner nicht verwendet, da ich das OpenSource Programm Steven gefunden habe.

Er hat C: alleine fertiggescannt. Kein Fund. Jetzt könnte ich noch die Eigenen Dateien mit scannen - aber das dauert Stunden.

 

[ElectroYeti]

Und Hirens Boot cd benutze ich selber ab und zu. Ist zu 99,1234 Prozent sicher würde ich behaupten.
Möchte es jetzt nicht empfehlen, aber du brauchst kein schlechtes Gefühl haben dabei. Überleg aber mal was du mit so einer CD alles anstellen kannst und tust. Du kannst Dateien löschen, Festplatten, am System rumfummeln und ähm, hacken. Sie ist eben riskant.