Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Fund bei Libre Office

Topspin

Topspin

nicht mehr wegzudenken
Mahlzeit!
Ich wollte soeben ein Dokument mit Libre Offce öffnen und dabei springt sofoert mein Defender an und meldet mir einen Fund! Eine Datei soffice.bin ist infiziert mir W32/Cerber, angeblich ein Trojaner.
Ich habe dann die Infektionen gelöscht, nur dann ging (natürlich) das Office nicht mehr. Dann habe ich es neu heruntergeladen und erst deinstalliert dann neu aufgespielt. Doch auch hier springt wieder der Defender an!
Ich wollte dann auch noch von Trend Micro den House Call laufen lassen und auch hier kommt jetzt diese Meldung mit selben Trojaner in einem anderen Verzeichnis.
Kann mir jemand sagen, was es damit auf sich hat? Ich nutze seit langem Libre Office ohne Probleme und auch den House Call hatte ich vor längerem schon einmal problemlos laufen lassen.
Oder hat House Call das selbe gefunden und in dem Verzeichnis etwas abgelegt, was dann der Defender wieder gefunden hat?
 

Anhänge

  • Fund1.JPG
    Fund1.JPG
    90,4 KB · Aufrufe: 246
  • Fund2.JPG
    Fund2.JPG
    80 KB · Aufrufe: 216
Anzeige
Hallo Topspin
Melde und registriere dich DRINGENST bei Trojaner-Board.de , und lasse dir dort PROFESSIONELL helfen. das ganze ist RANSOMWARE
Inzwischen keine andere externe Festplatte oder USB anhängen, sonst sind die auch verseucht.

Sehe schlimmsten Falls deine Daten schon mal als verloren an.
 
Ich habe nur eine von mir ausgefüllte Reisekostenabrechnung meiner Firma an eine Mail angehängt und wollte diese nochmal schnell kontrollieren?
Wie kommt sowas dann in Libre Office? Selbst nach deinstallieren und neuer Installation wieder?
Ich habe keine unbekannte Datei oder Miáil usw. geöffnet.
 
Defender benennt es Ransom. Eigentlich ist Defender nicht für Ransom ausgelegt. Ich denke Fehlalarm. Ohne diese Datei geht ja Libre Office nicht.

Du kannst die Datei soffice.bin ((auch andere) auch mal zur Prüfung senden.

https://www.virustotal.com/de/

Wenn als OK befunden, kannst du diese in Defender zulassen (Ausnahme hinzufügen) wenn innerhalb eines LibreOffice Ordner.
 
Das kann ich dir nicht sagen. Ich arbeite auch viel mit Libre Office.
Aber besser, du lässt dir dort helfen, und es stellt sich als harmlos heraus.
Bei mir wurde soffice.bin ohne Befund markiert. Gespannt auf dein Resultat.
 
frankyLE schrieb:
Defender benennt es Ransom. Eigentlich ist Defender nicht für Ransom ausgelegt. Ich denke Fehlalarm. Ohne diese Datei geht ja Libre Office nicht.

Du kannst die Datei soffice.bin ((auch andere) auch mal zur Prüfung senden.

https://www.virustotal.com/de/

Wenn als OK befunden, kannst du diese in Defender zulassen (Ausnahme hinzufügen) wenn innerhalb eines LibreOffice Ordner.
Zum Vergrößern anklicken....
Es ist nur komisch, weil ja auch dieser House Call angesprungen ist, bzw. in dessen Verzeichnis.
Ich habe nach der Deinstallation von Libre Office geschaut und gesehen, dass alles weg ist. Dann von deren Homepage neu geholt und istalliert und sofort kommt die Meldung erneut.
Blöderweise wird diese Datei umgehend vom Defender wieder entfernt, daher kann ich sie gar nicht prüfen lassen.
Und wie gesagt, ich habe nichts "unrechtes" getan. Die Datei vorher sogar noch bearbeitet und dann nur als Anhang zur Firma senden wollen.
 
Defender knallt sie sofort in Quarantäne - ist dann wie gelöscht und für Programm nicht mehr vorhanden.

Lass sie von mir aus bei Trojaner Board und Virus Total testen. Ich hatte sowas auf mit Defender und Quarantäne - hat sich als Fehlalarm herausgestellt und bei späteren Update der Virendefinition war die Meldung nicht mehr erschienen.
 
Dann bin ich etwas beruhigter. Komischerweise habe ich das Problem mit meinem Notebook nicht, trotz gleicher Office Version, aber W10 Home, statt Pro.
 
zu #9 Schau in 2. Bild von #1. Dort siehst du den Speicherort im Original. Sonst wenn in Quarantäne soffice.bin im Windows Explorer ins Suchfeld eingeben und auf Rechner suchen lassen.
 
Und diesen lässt man unkontrolliert?
Link kontrolle.png
Auf dass er neue Trojaner verbreitet ?
Ich wäre schon längst bei Trojaner-Board, wenn mir meine Daten WICHTIG wären :unsure:
 
Defender hat sie in die Quarantäne gestellt - deshalb.

zu soffice.bin: http://file.info/datei/soffice_bin.html

HouseCall ist im Temp Ordner von Benutzer\Appdate und kann manuell gelöscht werden.

Die soffice.bin muss über Defender>Verlauf zugelassen, bzw. zu den Ausnahmen hinzugefügt werden.

Wenn du dir nicht sicher bist, Bei Trojaner Board nachfragen.
 
Sicher bin ich mir natürlich nicht! Wie lange würde es denn dauern, bis so eine Software ihr "Werk" vollendet hat?
Ich nutze den Rechner erst mal nicht mehr, nur das Notebook.
 
Für die Dauer von Ransom kann aktuell keiner was sagen. Habe heute im Web gelesen, dass es sich auch erst nach längerer Zeit aktivieren kann.

Ich würde zur Sicherheit meine wichtigen Daten sichern, den Fund von soffice.bin in Defender zulassen und den Rechner testen. Ich gehe immer noch von einem Fehlalarm aus. Hatte ich selbst schon mehrmals bei Installationen von Software. War, wenn ich mich recht entsinne, sogar bei einem Tool von Malwarebytes.

Nachtrag zu Ausnahmen in Defender:

http://www.win-10-forum.de/windows-...dows-dender-loeschen-verbieten.html#post55042

siehe Artikel von @areiland
 
Zuletzt bearbeitet:
Es ist halt merkwürdig, dass das so plötzich passiert. Diese Version von Office habe ich auch schon einige Zeit drauf. Warum dann vorher keine Meldung? Oder auch keine auf meinem Notebook?
Meine Daten habe ich eh immer gesichert.
 
Der Rechner kann Geduldig warten, bis du ihn wieder einschaltest.
Mehr als einen Gute Rat abgeben, kann man ja nicht!
 
So, ich habe das mal bei Trojaner Board gepostet, auf deren Empfehlung hin, die Datei dann bei virustotal prüfen lassen, wo dann nichts zu Tage kam. Selbst Windows hatte da nichts mehr gefunden.
Ich habe dafür den Defender kurz deaktiviert und die Datei wiederhergestellt. Sie liegt nun wieder im richtigen Verzeichnis und es kommt keine Meldung mehr.
Die Prüfsumme der Datei wurde mit einer anderen aus einem gesonderten Download geprüft, auch diese ist identisch. Auch der Hashwert passt.
Das ganze wird dann doch ein Fehlalarm gewesen sein.
Zudem kann man inzwischen von mehreren lesen, die das identische Problem haben / hatten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben