Defender Warnung: Welche Datei ist gemeint?

[petzi]

Hallo!

Manchmal zeigt der MS Defender eine relativ kryptische Warnung, man erkennt nicht wirklich, welche Datei infiziert sei.
Frage: Gibt es beim Defender irgendwo die Möglichkeit, dessen Funde, Aktionen gleich oder auch später tiefer zu prüfen?
Also wie bei manch anderen AV-Tools, welche Funde und Aktionen detailliert dokumentieren? (Betonung auf Detail).

Denn was soll man mit so Meldungen anfangen: "file: D:\$RECYCLE.BIN\S-1-4-12-113068799-2526415959-1796730380-1002\$RKWJJ1Y\abc123.exe" (exe Name nur erfunden, aber so ähnliche Meldungen gibt es echt)
Wie die tatsächliche Datei hieß? Keine Ahnung, aber diesen Namen scheint sich Defender ausgedacht zu haben. Oder passiert das umbenennen im Papierkorb? Keine Ahnung.

Klar passiert dies nur, wenn er einen Verdacht gegen eine Datei hat, welche im Papierkorb liegt (ansonsten ist der Dateiname korrekt angegeben).
Wobei auch komisch: Solange die verdächtige Datei (wie auch immer die in echt hieß) im Dateisystem weilte, war es ihm egal. Beim Löschen: egal. Doch sobald man den Papierkorb leert - dann kommt die Warnung.

 

[uwe-b]

Unter Windows-Sicherheit gibt es doch eine Schaltfläche Schutzverlauf.
Steht da nichts drin?

 

[petzi]

Schutzverlauf

Klar. Von da sind ja die manchmal eher knappen Infos.
Die Frage ist: gibt es wo mehr, detailliertere Infos, einen Quarantäne Ordner, usw?

 

[Sebbi]

D:\$RECYCLE.BIN\S-1-4-12-113068799-2526415959-1796730380-1002\$RKWJJ1Y\

das wäre dann im Papierkorb
und so wie der Name des Ordners aussieht ist das ein entpacktes Archiv, dessen temporärer ordner, wo die Daten hin entpackt wurden, gelöscht wurde

Wobei auch komisch: Solange die verdächtige Datei (wie auch immer die in echt hieß) im Dateisystem weilte, war es ihm egal. Beim Löschen: egal. Doch sobald man den Papierkorb leert - dann kommt die Warnung.

das ist typisch Defender .... das sind so sachen, die ich schon lange kritisiere bei dem.
Und oft werden Dateien einfach ohne meldung entfernt und man wundert sich wo die hin sind.

Frage: Gibt es beim Defender irgendwo die Möglichkeit, dessen Funde, Aktionen gleich oder auch später tiefer zu prüfen?

nur manchmal ... warum auch immer

 

[Hauro]

einen Quarantäne Ordner, usw?

C:\ProgramData\Microsoft\Windows Defender\Quarantine\

Antivirus- und Antischadsoftware: häufig gestellte Fragen | Microsoft Support

Hier finden Sie Antworten auf häufig gestellte Fragen zu Microsoft-Sicherheitssoftware, z. B. über Updates, wo Sie Downloads finden und zu allgemeinen Softwarefehlern.

Wiederherstellen von in Quarantäne gesetzten Dateien in Microsoft Defender Antivirus | Microsoft Docs

Wenn Microsoft Defender Antivirus so konfiguriert ist, dass Bedrohungen auf Ihrem Gerät erkannt und behoben werden, isoliert Microsoft Defender Antivirus verdächtige Dateien. Wenn Sie sicher sind, dass eine isolierte Datei keine Bedrohung ist, können Sie sie wiederherstellen.

 

[petzi]

so wie der Name des Ordners aussieht ist das ein entpacktes Archiv, dessen temporärer ordner, wo die Daten hin entpackt wurden, gelöscht wurde

Gut möglich.
Manchmal steht dahinter eine identifizierbare Datei, manchmal eben ein so komischer Name. Ich wüsste halt gerne, was das war. (zu 99 % eh wieder false positive, aber neugierig wäre ich dennoch)

oft werden Dateien einfach ohne meldung entfernt und man wundert sich wo die hin sind

hab ich auch schon gelesen

Ergänzung (28. Dezember 2022)

C:\ProgramData\Microsoft\Windows Defender\Quarantine\

Aha ... aber damit fang ich auch nix an

Danke auch für die Links, doch viel verstehe ich da nicht. Vor allem finde ich in den Mio. Infos nicht, wie man den wahren Namen einer Datei rausfindet ...

 

[DonSerious]

Du kannst eigentlich nur neu aufsetzen da der Defender dich (der Massenmeinung sei dank hast du ihn sicher) verunsichert zurücklässt. Nachdem das passiert ist solltest du ein echtes AV benutzen was tatsächlich funktioniert. Habe noch nie einen Virus rumfliegen sehen den man auf einmal nicht mehr identifizieren kann. Klassisches MS Gedöns.

Aber wenn das passiert hat ja Brain.exe sprich du versagt. Nicht der Defender

Gruss

 

[Hauro]

wie man den wahren Namen einer Datei rausfindet ...

Der Name der Datei kann sich ändern, aber nicht der Hash-Wert. Sollte Defender eine Datei unter Quarantäne stellen, kann sie auf VirusTotal hochgeladen werden. Ist sie bekannt, stehen unter "Details" die Namen, unter denen die Datei hochgeladen wurde: Names - "Names with which this file has been submitted or seen in the wild."

Zum Beispiel die Datei "Install_PCIE_Win11_11.10.0720.2022_12212022.zip" aus dem Download-Bereich hat
SHA-256: 2e9072c43c8f84cbf08dd64595891c3d60f0c0fb2a84f313b50b31c4b4f40c8a, nach dem gesucht werden kann.

https://www.virustotal.com/gui/home/search - .... or file hash

 

[petzi]

Du kannst eigentlich nur neu aufsetzen

Dann müsste man jeden Rechner alle paar Tage neu aufsetzen, so viele Warnungen schmeißt der Defender. Und die sind zu 99,9% falsch. Also ne.

der Massenmeinung sei dank hast du ihn sicher)

?

verunsichert zurücklässt.

stimmt, das Ding verunsichert immer mehr

Nachdem das passiert ist

was ist denn passiert? Das würde ich gerne wissen. Daher die Suche nach den echten Dateinamen. Denn zu 99,9% steckt hinter dem Archiv irgendeine alte, harmlose Setup.exe, welche beim entrümpeln des Programmarchivs gelöscht wurde.

solltest du ein echtes AV benutzen was tatsächlich funktioniert.

Bei einem Rechner bin ich schon umgestiegen, weil darauf etliche Alarme herumgeisterten, welche der Defender aber nicht behandeln konnte. Da warnte er zwar auf höchster Stufe, doch keine der Aktionen brachte etwas. Gut, dass es eh nur wieder ein Fehlalarm war, aber die dauernde Warnung und Aufforderung, etwas zu unternehmen nervte!
Also habe ich ein anderes AV-Tool installiert, nun ist Ruhe ...

Habe noch nie einen Virus rumfliegen sehen den man auf einmal nicht mehr identifizieren kann. Klassisches MS Gedöns.

Naja, wenn das, so wie im #4 gesagt, ein temp. Archiv war, dann ist es klar, dass man den eigentlichen "Verursacher" nicht mehr findet.

Aber wenn das passiert hat ja Brain.exe sprich du versagt. Nicht der Defender

??

Ergänzung (28. Dezember 2022)

Sollte Defender eine Datei unter Quarantäne stellen, kann sie auf VirusTotal hochgeladen werden

Deswegen wollte ich die ja finden!
Auf virustotal laufen > 70 Scanner und dort habe ich schon einige Verdachtsfälle hochgeladen: Fazit: Wenn der Defender oder ClamAV warnen, ist nix zu befürchten. Denn diese Dateien werden dann von 71 Scanner als clean bezeichnet ...

Ist sie bekannt, stehen unter "Details" die Namen, unter denen die Dateien hochgeladen wurden: Names - "Names with which this file has been submitted or seen in the wild."

Verstehe ich nicht
Diese Dateien könnten also bereits auf virustotal ... sein , oder ... wie was meinst damit?

Ergänzung (28. Dezember 2022)

Zum Beispiel

achso das probiere ich mal

 

[Hauro]

Diese Dateien könnten also bereits auf virustotal ... sein , oder ... wie was meinst damit?

Wird eine Datei auf VirusTotal hochgeladen, erzeugt der Dienst als erstes den Hash-Wert und überprüft, ob die Datei bereits bekannt ist. Der Hash-Wert bleibt gleich, solange die Datei nicht verändert wird, der Name ist beliebig. Es ist auch möglich den Hash-Wert lokal zu erzeugen und danach zu suchen.

Zum Beispiel:
2e9072c43c8f84cbf08dd64595891c3d60f0c0fb2a84f313b50b31c4b4f40c8a *Install_PCIE_Win11_11.10.0720.2022_12212022.zip


Der Defender benennt die Anwendung und Datei bei einem Verdacht / Fund:



Get-MpThreatDetection (Defender) | Microsoft Learn

Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Lernen Sie das neue plattformübergreifende PowerShell kennen – https://aka.ms/pscore6

PS C:\Windows\system32> Get-MpThreatDetection


ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 1
DetectionID                    : {97DEF89E-70F0-4376-BEBC-279209985B79}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 10.10.2020 20:36:09
LastThreatStatusChangeTime     : 10.10.2020 21:00:25
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 10.10.2020 21:00:25
Resources                      : {file:_C:\Users\riyousha\Downloads\clipgrab-3.8.14-cgorg.exe.part}
ThreatID                       : 268653
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 104
PSComputerName                 :

ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 1
DetectionID                    : {621D718A-8C7C-4F74-8495-92069916E8D7}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 11.10.2020 10:48:17
LastThreatStatusChangeTime     : 11.10.2020 10:57:07
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 11.10.2020 10:57:07
Resources                      : {file:_C:\Users\riyousha\Downloads\clipgrab-3.8.14-cgorg.exe.part}
ThreatID                       : 268653
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 104
PSComputerName                 :

ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 2
CurrentThreatExecutionStatusID : 1
DetectionID                    : {459C10CB-BA08-4972-8FF2-372A5B5F6BD1}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 17.07.2021 15:29:44
LastThreatStatusChangeTime     : 17.07.2021 15:30:04
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 17.07.2021 15:30:04
Resources                      : {file:_C:\Users\riyousha\AppData\Local\Temp\Xep1LJFZ.com.part}
ThreatID                       : 2147519003
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 3
PSComputerName                 :

 

[petzi]

Get-MpThreatDetection (Defender) | Microsoft Learn

ui , das ist mir zu hoch ...

anders kommt man nicht an die echte Datei den Namen oder was auch immer für einen Test auf virustotal taugen kann?

 

[Hauro]

ui , das ist mir zu hoch ...

Ablauf

1. Windows Suche öffnen.
2. Nach "PowerShell" suchen.
3. Die "Windows PowerShell" als Administrator ausführen.
4. Den Befehl Get-MpThreatDetection ausführen, dann kommt das Ergebnis aus Beitrag #10.

P.S.

Die Datei aus Beitrag #10 war ein Anti Malware Testfile (EICAR-Testdatei | Wikipedia), das ich mal Beispielhaft heruntergeladen hatte - weitere (Safe) Safe Browsing Testing Links-

 

[petzi]

Bis zu Pkt. 4 bin ich gekommen, nur welche Parameter will der?

 

[Hauro]

nur welche Parameter will der?

Es ist kein Parameter erforderlich:

Ist die Quarantäne leer, liefert der Befehl, wie unten, kein Ergebnis zurück, sonst wie oben:

 

[petzi]

Achso, ich habe die "[]" mit rein.

Nun kommt eben sowas wie oben, eine ur lange Liste an ... ja was das alles bedeutet, muss ich noch rauskriegen. Und va. wie man das dann nutzt?

Ergänzung (28. Dezember 2022)

Die Datei aus Beitrag #10 war ein Anti Malware Testfile (EICAR-Testdatei

Aha. Dh. also wenn ich (ja was aus der Liste ?) bei virustotal in die Suche gebe, sollte es was melden?
Ich habs mit diesen "DetectionID" versucht, doch da steht immer "No matches found". Oder was davon gehört nun wo rein?

 

[Hauro]

Oder was davon gehört nun wo rein?

Habe es jetzt getestet:

1. eicar_com.zip heruntergeladen.
2. Defender meldet.
   
   
   
   
   
3. Schutzverlauf des Defenders
   
   
   
   
   
   
   
   
   
4. Ergebnis des Befehl Get-MpThreatDetection
   
   

   PS C:\Users\riyousha> Get-MpThreatDetection
   
   ActionSuccess                  : True
   AdditionalActionsBitMask       : 0
   AMProductVersion               : 4.18.2211.5
   CleaningActionID               : 2
   CurrentThreatExecutionStatusID : 1
   DetectionID                    : {6AF3E56B-C590-459E-9D4B-E438ADC6EC05}
   DetectionSourceTypeID          : 3
   DomainUser                     : Workstation\riyousha
   InitialDetectionTime           : 28.12.2022 21:35:44
   LastThreatStatusChangeTime     : 28.12.2022 21:36:01
   ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
   RemediationTime                : 28.12.2022 21:36:01
   Resources                      : {containerfile:_C:\Users\riyousha\Downloads\eicar_com.i7Ou_QX7.zip.part,
                                    file:_C:\Users\riyousha\Downloads\eicar_com.i7Ou_QX7.zip.part->(Zip),
                                    file:_C:\Users\riyousha\Downloads\eicar_com.i7Ou_QX7.zip.part->eicar.com}
   ThreatID                       : 2147519003
   ThreatStatusErrorCode          : 0
   ThreatStatusID                 : 3
   PSComputerName                 :

5. C:\ProgramData\Microsoft\Windows Defender\Quarantine\
   
   Entries\{80008A1B-0000-0000-067F-C5FDCA3EBDD3}
   ResourceData\42\42D90D40E5E762B2518B47B115F0400527A034C1
   Resources\42\42D90D40E5E762B2518B47B115F0400527A034C1

D.h., dass die unter Quarantäne gestellte Datei über die "Aktionen " wiederherstellt werden muss - oder halt gelöscht.

Den Namen "eicar_com.i7Ou_QX7.zip.part" verbigt in diesem Fall Firefox.


VirusTotal Ergebnis von eicar_com.zip

 

[DonSerious]

Naja, wenn das, so wie im #4 gesagt, ein temp. Archiv war, dann ist es klar, dass man den eigentlichen "Verursacher" nicht mehr findet.

Eben nicht. Der Zeitpunkt ist wieder zu köstlich. Wenn die Datei nicht mehr nachvollziehbar ist wird sie gemeldet. Du kannst nicht mehr wissen ob das jetzt etwas war oder nicht. Du kannst dir auch ein Kaspersky live Linux holen und scannen. In jedem Fall wird das immer wieder mit dem Defender passieren. Daher Alternative suchen welches dir Informationen liefert die du auch tatsächlich verifizieren kannst.

Gruss

 

[petzi]

Den Namen "eicar_com.i7Ou_QX7.zip.part" verbigt in diesem Fall Firefox.

Vielen Dank für diese umfangreiche Doku.
Dennoch kapiere ich nix. Was davon soll nun wirklich auf virustotal? Wie finde ich diese SHA Nummer, von einer unbekannten Datei?

PS: Den Testvirus laden trau ich mir nicht

Der Zeitpunkt ist wieder zu köstlich. Wenn die Datei nicht mehr nachvollziehbar ist wird sie gemeldet.

Ist das eine Defender Eigenart oder machen andere AV-Tools auch sowas?

Kaspersky live Linux

Ich habe seit kurzem stets die Rescue Disk von denen parat. Und auf dem betroffenen Rechner war dem Scan nach alles clean ...

 

[DonSerious]

@petzi also nicht mal vor 20 Jahren wurde etwas gemeldet ohne nachvollziehbar zu sein. Nutzte persönlich nur Norton und Avira. Beide haben ein Log System, Kaspersky und F-Secure ebenfalls. Und da findet man auch alles. Um direkt den beschönigungen der Foren base hier vorzugreifen. Teste doch einfach mal eines. Kann dir Bitdefender Free, Kaspersky oder Avira empfehlen.

Das Ding hier ist dass der Defender keine Hilfe sein soll. Wenn man laut diesem forum einen Infekt hat wird ein Backup empfohlen oder neu aufzusetzen. Somit geht man eigentlich davon aus dass der Defender nichts taugen wird. Mehr kann das nicht implizieren...

Gruss

 

[Hauro]

Was davon soll nun wirklich auf virustotal? Wie finde ich diese SHA Nummer, von einer unbekannten Datei?

Defender nennt die Datei nicht (mehr) um, sondern verändert sie. Die Datei müsste wiederhergestellt werden, um sie auf VirusTotal hochladen zu können. Damit bleibt, die Datei nach der Meldung wiederherzustellen und dann hochzuladen oder die URL zu überprüfen.

https://www.virustotal.com/gui/home/url

Install_PCIE_Win11_11.10.0720.2022_12212022.zip Download-Link

Ergebnis:

https://www.virustotal.com/gui/url/...ae0b57c50f4e987bdff05a485433864948e?nocache=1

Verweist auf 2e9072c43c8f84cbf08dd64595891c3d60f0c0fb2a84f313b50b31c4b4f40c8a, die heruntergeladen wird.