ComputerBase Menü
Aktuelles

Defender Update - Findet prompt Trojaner. Ist das echt?

T

Tiara G.

Gast
Hallo, vorhin kam ein Defender Update, hab dann Vollüberprüfuung gemacht, es hat ein Trojaner gefunden.
Das komische ist nur, unmittelbat vor dem Update hatte ich eine Vollüberprüfung gemacht, da wurde nichts gefunden.
Schaut bitte die Bilder an und sagt, ob das eine Fehlmeldung war oder wirklich ein Trojaner.

Hab auf Aktion geklickt, er müßte jetzt in Quarantäne sein.

Trojanerfund.png
schutzverlauf.png
defender update.png
 
jop.
Und wieder ein beispiel warum antiviren meist eher nutzlos sind.
Schadsoftware nutzt schwachstellen in Software / Hardware aus

Sind diese bekannt, werden sie nach moeglichkeit geschlossen -> schwachstellen weg -> antivirus an der stelle arbeitslos
Den herstellern / projektbetreuern unbekannte Schadsoftware gibt es in Massen. Diese werden zumeist auch nicht von antiviren Software gefunden.
Wenn jemand die Schadsoftware jedoch gefunden hat, und das dem ehrstelelr meldet, dann gibt es wieder einen patch und der Antivirus hat ganz kurz ein Fenster der Relevanz
 
madmax2010 schrieb:
jop.
Und wieder ein beispiel warum antiviren meist eher nutzlos sind.
Zum Vergrößern anklicken....
Häh? Was willst jetzt mit deinem Kommentar sagen?

Es wurde was gefunden -> Aufgabe des Antivirenschutzes erfüllt....
 
  • Gefällt mir
Reaktionen: Asghan, Knutengore und Aduasen
Ja, scheint false Positive zu sein
https://www.reddit.com/r/techsuppor...urce=share&utm_medium=ios_app&utm_name=iossmf

Tiara G. schrieb:
Was heißt das jetzt?
Zum Vergrößern anklicken....
Das antiviren im besten Fall nicht viel Nutzen mit sich bringen. Du hast den Defender, das ist gut. Der richtet wenigstens keinen Schaden an

Galde schrieb:
Es wurde was gefunden -> Aufgabe des Antivirenschutzes erfüllt....
Zum Vergrößern anklicken....
Im Fall von Schadsoftware die bereits da ist (hier ja nicht der Fall) waere das definitiv zu spät. Das system wäre kompromitiert und man sollte definitv davon ausgehen, dass weitere Programme nachgeladen worden sind. Irgend einen Weg zur local Privilege escalation gibt es immer.
Wenn ein Antivirus da im Nachgang was findet, ist es als ob die Kindergarten Feuerwehr 3 Stunden zu spaet zum abgebrannten Appartementgebäude kommt.
 
  • Gefällt mir
Reaktionen: piepenkorn
Liegt doch nur im Cache vom Browser herum. Heißt ja nicht das eine Infektion erfolgt ist.
Der Browser speichert da automatisch alles mögliche was er runterlädt herein, damit ers nicht nochtmal runterladen muss.

Das ist höchstwahrscheinlich ein normales Bild, Stylesheet oder was auch immer von irgendeiner Website dessen Inhalt zufällig mit einer bekannten Virensignatur übereinstimmt. Bzw. die Virensignatur ist zu generisch und erkennt auch andere Dateien als infiziert (false positive).

Wenn man das gründlich ausschließen will dann leere doch mal den Cache vom Browser und mache dann einen Scan mit einem Live-OS/Scanner vom USB-Stick. Aus dem OS das man für infiziert hält heraus scannen ist grundsätzlich witzlos, da ein Virus der das System übernommen hat ja alles manipulieren kann, auch den Virenscanner...
 
  • Gefällt mir
Reaktionen: Scirca und cvzone
madmax2010 schrieb:
Das antiviren im besten Fall nicht viel Nutzen mit sich bringen. Du hast den Defender, das ist gut. Der richtet wenigstens keinen Schaden an


Im Fall von Schadsoftware die bereits da ist (hier ja nicht der Fall) waere das definitiv zu spät. Das system wäre kompromitiert und man sollte definitv davon ausgehen, dass weitere Programme nachgeladen worden sind. Irgend einen Weg zur local Privilege escalation gibt es immer.
Wenn ein Antivirus da im Nachgang was findet, ist es als ob die Kindergarten Feuerwehr 3 Stunden zu spaet zum abgebrannten Appartementgebäude kommt.
Zum Vergrößern anklicken....
Ich relativiere mal deine Aussagen. Meistens wird die Schadsoftware schon vorher als solche identifiziert durch die Kombination aus Echtzeitschutz, Verhaltensüberwachung und Heuristiken. Das muss dem Antivirenprogramm nicht zwingend vorher bekannt sein. Außerdem hat Microsoft die größte Schadsoftware- und Virendatenbank ever und es wird auch schnell reagiert, das Updateintervall würde ich als "sehr häufig" einstufen. Dass genau bei dir, einer Privatperson, ein Zero-Day-Exploit ausgenutzt wird, ist auch sehr unwahrscheinlich.
 
Zuletzt bearbeitet:
madmax2010 schrieb:
Wenn ein Antivirus da im Nachgang was findet, ist es als ob die Kindergarten Feuerwehr 3 Stunden zu spaet zum abgebrannten Appartementgebäude kommt.
Zum Vergrößern anklicken....

Wobei man da durchaus pruefen sollte was da ueberghaupt gefunden wurde.
Solch False/Positiv-Funde wie da oben passieren recht haeufig und sind oft mit dem naechsten SignaturUpdate wieder weg. Dafuer die Kiste neuzumachen lohnt nicht.
 
  • Gefällt mir
Reaktionen: madmax2010
MaLow17 schrieb:
Meistens wird die Schadsoftware schon vorher als solche identifiziert durch die Kombination aus Echtzeitschutz, Verhaltensüberwachung und Heuristiken.
Zum Vergrößern anklicken....
Und du glaubst der Autor der Malware kommt nicht selber auf die Idee mal zu testen ob sein Virus erkannt wird, bevor er ihn in die Wildnis entlässt? :freak:
 
  • Gefällt mir
Reaktionen: madmax2010
Im Zweifelsfall eine "zweite Meinung" einholen, so mache ich das jedenfalls. Desinfec't auf USB-Stick und Offline-Scan den gesamten Rechners mit den enthaltenen Scannern. Finden die auch etwas, würde ich weiter recherchieren.

Finden sie nichts, würde ich es erst einmal als Fehlalarm abtun, ein paar Tage warten, damit Microsoft Gelegenheit hat, die Virensignaturen des Defenders ggf. zu korrigieren (wenn du einen Fehlalarm erhältst, dann werden den wahrscheinlich auch andere Personen erhalten) und dann das System nochmal damit scannen.
 
Geht auch mit Malwarebytes, paar Tage die pro Version testen, schaltet sich danach auf „free“.

Nach einem aktualisieren können Malware neu gefunden werden. Das ist normal und zeugt von perfektem Zusammenspiel. Weil die bösen Buben sind meist ein Tick schneller als die putztruppe.
 
madmax2010 schrieb:
Wenn ein Antivirus da im Nachgang was findet, ist es als ob die Kindergarten Feuerwehr 3 Stunden zu spaet zum abgebrannten Appartementgebäude kommt.
Zum Vergrößern anklicken....
Um Mal deine Analogie zu vervollständigen:
Mit AV brennt dir dein Gebäude ab, aber du weißt es dann wenigstens und kannst einen Neubau veranlassen.
Ohne AV lebst du weiter in deinem abgebrannten Gebäude und legst an stellen, die noch glühen, fleißig weiter Brandbeschleuniger aus.

Aber was wäre ein Vergleich ohne zu hinken?
Natürlich hat AV-Software Schwachstellen. (Hihi, ein Wortspiel.). Das impliziert bereits der Name.
Und man sollte Anwender da auch in jedem Fall drauf aufmerksam zu machen. Aber zu nörgeln, AV-Software sei unnütz, weil sie was gefunden hat? Dann haben wir offensichtlich mit unterschiedlichen typen von Endanwender zu tun.
 
Zuletzt bearbeitet:
Marco01_809 schrieb:
Und du glaubst der Autor der Malware kommt nicht selber auf die Idee mal zu testen ob sein Virus erkannt wird, bevor er ihn in die Wildnis entlässt? :freak:
Zum Vergrößern anklicken....
Was ich glaube, ist, dass ein Viren- und Schadsoftwareschutz nicht komplett überflüssig sind, so wie es hier von einigen Leuten dargestellt wird. Es kommt auch nicht gleich zur direkten Infektion des Betriebssystems, dafür sorgt der Anwender in den meisten Fällen selbst, indem er unbekannte ausführbare Dateien (meistens trotz Warnungen vom Betriebssystem selbst) unter einem Account mit Administratorrechten ausführt. Natürlich testen Virenautoren ihre Kreationen unter den gängisten Schutzprogrammen und dem oben genannten Szenario, bevor sie sie in die Welt entlassen. Spätestens nach einem Update ist die Schadsoftware aber unwirksam und auch schon davor, wenn der Anwender Brain.exe einsetzt und sich z. B. unter Windows mit eingeschränkten Benutzerrechten einloggt. Und so wie ich in meinem oberen Beitrag geschrieben habe, ist es sehr unwahrscheinlich, dass man als Privatanwender der Erste ist, dem (bzw. dem Defender) unbekannte Schadsoftware über den Weg läuft.
 
Zuletzt bearbeitet:
madmax2010 schrieb:
Wenn ein Antivirus da im Nachgang was findet, ist es als ob die Kindergarten Feuerwehr 3 Stunden zu spaet zum abgebrannten Appartementgebäude kommt.
Zum Vergrößern anklicken....
es ist eher so, dass der Kindergarten mit einer Brandschutz versehen ist (rauchmelder und Sprinkler) analog mit av Schutz… dass aber je nach Situation der Brandschutz später anspringt weil der Rauch (update der av Datenbank) zu wenig dicht ist.
 
Moin,
also es gibt da eine ganz einfache Methode, vorausgesetzt der Defender hat die Datei nicht verschwinden lassen. Stell sie wieder her und lade sie einfach auf VirusTotal hoch. Das wäre der einfachste Weg. Ansonsten wie der Kollege oben schon erwähnt hat desinfect drüberlaufen lassen. Das ist durch nichts zu ersetzen. Aber ich gehe hier von false positive aus. Avira bspw., welches ich genutzt habe, hat oft für mich auch eindeutig saubere Dateien gemeldet. Die habe ich dennoch in Quarantäne gepackt. Avira hatte dann eine Funktion mit der man die Quarantäne erneut prüfen konnte. Somit waren es meist nach 1-2 Tagen offiziell gefixte false positives. Das erwarte ich aber vom Defender nicht. Der wird die Datei vermutlich einfach gelöscht haben trotz Quarantäne. Der taugt nichts wenn man wirklich analytisch rangehen möchte.
 
Da verschwindet eigentlich nix, so wie bei den anderen Loesungen. Geht halt nur in die Quarantaene.

Virustotal kann auch Fehlinformationen liefern weil auch nie die aktuellsten Signaturdateien und beeinflusst die Signaturen vom Defender rein garnicht. Das klappt eher/schneller (neben der per default eingestellten Sample-Submission) wenn man False/Positiv an Microsoft direkt meldet.

-> https://www.microsoft.com/en-us/wdsi/filesubmission

Irgendeine KI prueft da mit den neusten Signaturen und wenn die KI zu keinem klaren Ergebnis kommt schaut auch ein Mensch da drueber. Beides mehrfach selbst erlebt. Bis hin zur Antwort das mit der naechsten SIG das Falscherkennungsproblem behoben ist.
 
Zuletzt bearbeitet:
Marco01_809 schrieb:
Und du glaubst der Autor der Malware kommt nicht selber auf die Idee mal zu testen ob sein Virus erkannt wird, bevor er ihn in die Wildnis entlässt? :freak:
Zum Vergrößern anklicken....
Wäre blöd, weil gerade unbekannte verdächtige Dateien durch Antivirenprogramme genauer analysiert werden, teilweise über Cloud. Da wäre die Datei schneller als einem Lieb ist auf der Blacklist.

Funktionen wie Verhaltensüberwachung oder Heuristik sind außerdem gerade dazu da um noch unbekannte Malware zu erkennen.
 
MaLow17 schrieb:
Was ich glaube, ist, dass ein Viren- und Schadsoftwareschutz nicht komplett überflüssig sind
Zum Vergrößern anklicken....
Glaube ist hier so das zentrale Wort. Genau das beschreibt die Situation ganz gut. Entweder glaubt man daran oder eben nicht.
Ob der Ansatz als Sicherheitsmaßnahme taugt, ist aber streitbar. Da hätte man lieber was, was nachgewiesenermaßen hilft.

MaLow17 schrieb:
Spätestens nach einem Update ist die Schadsoftware aber unwirksam
Zum Vergrößern anklicken....
Leider verbreitet sich Schadsoftware dank Internetzeitalter aber rasend schnell. Die Zeitverzögerung reicht, um genug Infektionen hinzubekommen.

MaLow17 schrieb:
und auch schon davor, wenn der Anwender Brain.exe einsetzt und sich z. B. unter Windows mit eingeschränkten Benutzerrechten einloggt
Zum Vergrößern anklicken....
Benutzerrechte sind schlimm genug. Schließlich heißt das immer noch, das man Zugriff auf alle meine Daten hat.
Genau deswegen "sandboxen" sich ja moderne Browser, damit selbst wenn die exploitet werden nicht gleich die Userdaten auf den Präsentierteller kriegen.

Nur Benutzerrechte zu haben ist also keineswegs ein tröstlicher Schutz.

PC295 schrieb:
Wäre blöd, weil gerade unbekannte verdächtige Dateien durch Antivirenprogramme genauer analysiert werden, teilweise über Cloud. Da wäre die Datei schneller als einem Lieb ist auf der Blacklist.
Zum Vergrößern anklicken....
Ja. Es ist unter Umständen nicht so einfach. Man muss als Malware-Autor schon unsichtig sein (wobei davon auszugehen ist, wer Malware schreiben kann, kann auch AV-Software bedienen). Es gibt das aber auch as-a-service. Dort gibst Du Deine Malware hin und Profis nehmen sich dem testen an. Der Malware-Autor von Welt macht das heutzutage nicht mehr selbst. ;-)

PC295 schrieb:
Funktionen wie Verhaltensüberwachung oder Heuristik sind außerdem gerade dazu da um noch unbekannte Malware zu erkennen.
Zum Vergrößern anklicken....
Das funktioniert eher nicht so gut. Sowas funktioniert in definierten Umgebungen (z.B. Server-Systeme), wo dann Abweichungen eben ein gutes Indiz sind, das etwas nicht normal läuft.
Das passt aber eher nicht so gut im Desktop-Bereich wo es unzählige Softwarekombinationen gibt usw. Du musst die Empfindlichkeit da massiv runterdrehen, weil Du sonst ständig Fehlalarme hättest. Was aber eben auch dazu führt, das echte Malware da leicht durchschlüpft.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Windows Defender Update kommt immer wieder
Antworten
18
Aufrufe
4.771
Hauro
Hauro
comwolf
Defender Update-Verlauf
Antworten
3
Aufrufe
895
Nickel
N
G
Windows Defender Update Definition Fehler
Antworten
3
Aufrufe
833
Netvampire
Netvampire
moreno111
Defender Update fehlgeschlagen
Antworten
18
Aufrufe
1.476
areiland
areiland
BH2210
Defender Update immer Fehler bei Installtion
Antworten
5
Aufrufe
679
xxxx
X
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz