Spezifrage zum Defender

Hallo sagt der Jens

dies ist mal ne Frage der etwas anderen Art.

Ausgangslage:
war gestern bei ner Kundin von mir, bei der der Rechner klemmte. Ohne jetzt auf Details einzugehen ... es war lauter Unsinnsoftware, Suchmaschinen in den Browsern und und und installiert.


Dies ist ja soweit alles beherrschbar.

Wo ich dann allerdings mal vollkommen überrascht war, war, dass im DEFENDER unter den Ausschlüssen viele der wichtigsten Verzeichnisse gelistet waren ... also C:\users, C:\Windows und so.

Da ich mich SICHER bin, dass die 79igjährige Dame dies NICHT selbst eingestellt hat, nun meine Frage:

iss das Euch auch schon mal unter gekommen, dass irgend eine doofe Software diese oder eben andere Verzeichnisse in die Ausschlüsse vom Defender einträgt, damit dieser dann dort nicht sucht?

Ich hab den Rechner platt gemacht und flink neu installiert ... aber neugierig wäre ich schon, ob ihr sowas schon mal hattet!

ICH kannte dies noch nicht!

und NEIN!! ... ich möchte KEINE Grundsatzdisskusion zum Defender lostreten!!

gruß und nen schönen Herrentag gewünscht

Hallo jens, soweit ich das sehe ist es aber durchaus sehr schnell möglich einen Ordner dort einzutragen , allein aus Neugierde schon was da passiert , nämlich nichts . der Ordner wird eingetragen und fertig , keine weitere Abfrage ;
für Unwissende also sehr einfach

Habe so etwas weder gesehen noch davon gehört. Vorstellbar wäre das, allerdings lassen sich Ausschlüsse zumindest über die GUI nur mit Admin-Rechten festlegen, d.h. der Rechner müßte schon ordentlich infiziert gewesen sein oder standardmäßig mit Admin-Konto unterwegs sein. Daß der Defender eine Lücke hat, die es ermöglichst Ausschlüsse einzuschleusen, ist auch denkbar. Kannst Du ausschließen, daß noch irgendwer anderes mit besseren Kenntnissen als die Dame am Rechner war oder daß sie es selbst gemacht hat? Gibt ja für alles Anleitungen im Netz.

Ich hab den Rechner platt gemacht und flink neu installiert

Zum Vergrößern anklicken....

tl;dr - alles richtig gemacht. Ohne vorherige Analyse lässt sich nur Dummheit (seitens Dritten, Enkeln, oä. oder echte Malware) vermuten.

Oma bekommt auch nur noch Benutzerrechte, Admin machst du per Fernwartung.

@build10240 ... also mit 99%iger Sicherheit würde ich sagen dass NUR Oma an dem Rechner war ... sie lebt allein

gruß

Per Powershell ist es möglich, mit Hilfe des Cmdlets "Set-MpPreference" automatisiert Ausschlüsse zuzufügen. Allerdings ist die Ausführung von Scripten per se gesperrt und muss manuell und mit Adminrechten freigegeben werden. Da muss jemand dran gewesen sein, der die Ausschlüsse bewusst eingefügt hat.

wie gesagt areiland ... ich traue "Oma" ja einiges zu ... aber nicht sowas ... deshalb war ich ja so verwundert als ich das sah

gruß

Ein Enkelchen, das der Oma ihren Rechner tunen wolllte? Wenn keine manuellen Eingriffe stattgefunden haben, geht das nicht. Es ist zwar möglich die Ausführungsrichtlinie per Script zu ändern, aber das benötigt zur Änderung Adminrechte und bringt zumindest eine UAC Abfrage hervor.

na ja areiland ... sie ist mit MS-Konto angemeldet und auch mit administrativen Rechten unterwegs ... OK ... und 100%ig kann ich natürlich nicht ausschließen, dass "jemand" da dran war ... aber so richtig dran glauben kann ich nicht ... WER bitte macht denn bewusst sowas?

auf jeden Fall war DAS mal was Neues für mich

gruß

Es ist nicht ausgeschlossen, dass ein Schädling der Adminrechte erfragt, dann zuerst die Ausführungsrichtlinie ändert und anschliessend per "Set-MpPreference" die Ausschlüsse für die Ordner einfügt, in denen er sich breit macht. Selbst ein banales Powershell Script lässt sich praktisch unsichtbar ausführen. Die Powershell besitzt dazu den Schalter "-WindowStyle" der auf "hidden" gesetzt nur die Taskleistenschaltfläche aufblitzen lässt. Selbst die Einstellungen der ExecutionPolicy lassen sich per Kommandozeilenschalter für das ausgeführte Skript ändern.

Es ist also durchaus möglich, dass die Ausschlüsse unbemerkt und nicht bewusst eingefügt wurden.

Danke für diese Infos areiland ... hatte selbst NICHT gedacht dass es so funktionieren würde ... aber man lernt ja nie aus

SO ... und jetzt mach ick Herrentag ... *wink*

gruß

Also ich meine,es ist sehr einfach solche Exclusions zu erwirken. Bei der Wahl kommt einfach noch die UAC Abfrage,die man bejaht.Und Oma ist ja als Admin unterwegs.Ein Unerfahrener kónnte den Pfad missverstehen und denken,es sei der Weg zzu einem specifischen Scann

Genau das hatte @jens ja praktisch ausgeschlossen. Aber es gibt auch den von mir gezeigten Weg, über den das sogar per Script problemlos möglich ist. Sogar auf der Home gibt es das Cmdlet über das es geht. Wenn der Rechner dermaßen zugemüllt war, ist die Wahrscheinlichkeit, dass das per Script oder Tool passiert ist, sehr hoch. Möglicherweise bekam sie ja irgendwann sogar einen Anruf vom freundlichen "Microsoft Mitarbeiter", der sie dazu gebracht hat ihm den Zugang zum System selbst zu öffnen.