Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Defender - Fehlalarm oder nicht?

Fuggi

gehört zum Inventar
hab heute per Zufall auf C den Ordner TestTools gesehen und mal reingeguckt, sonst nichts, sofort meldete der Defender einen schwerwiegenden Trojaner. Musste feststellen das der Ordner wohl zu Windows gehört....ist das jetzt ein Fehlalarm gewesen oder nicht?? Hilfreiche Antworten erbeten.
 

Anhänge

  • Falschpositiv.PNG
    Falschpositiv.PNG
    28,2 KB · Aufrufe: 183
Anzeige
Hallo Fuggi, der Hallsensor hat es wohl in sich ; Lösche das Tool auch unter C:/Testtool. Komplett, dann ist auch wieder Ruhe und im Defender Verlauf verschwindet auch der Bericht nach 10 Tagen, Wann wurde der Ordner erstellet und von wem?
 
Der war am PC schon drauf beim Kauf seh ich gerade, ich habe den seit Jänner und der Ordner ist noch von 2019, würde heißen der kam schon mit Trojaner bei mir an? Aber warum hat der Defender den nicht früher gemeldet?
 
@Fuggi,
schreib mal genau, welchen PC Du hast - Hersteller und Typenbezeichnung.
Möglicherweise hat der Hersteller einfach vergessen, Hardware-Testprogramme nach dem Auslieferungstest zu entfernen.
 
Der Defender reagiert erst wenn man den Ordner öffnet. Reicht das löschen oder muss ich Clean Install machen?
 
habs gefunden ist vom Hersteller der Ordner, hab den gelöscht, werde wohl sicherheitshalber neu installieren, hoffe ich finde alle Treiber. Bin erst mal offline, danke euch.
 
Ist manchmal schwierig, wenn Antiviren-Programme ein Schädlingsprogramm melden. Sofern der Hersteller nicht an die Anbieter von Antiviren-Progr. gemeldet hat, warum sein Programm diese oder jene Funktione ausführt (z.B. fremde Befehle auf Deinem PC ausführen oder das Ergebnis eines Sensors o.ä. zu melden), MUSS ein ordentliches Antiviren-Programm das melden und das Programm an der Ausführung hindern. Dazu sind ja Defender + Co. da.
Das MUSS nicht heißen, dass große Gefahr droht und man sein System neu aufsetzen muss, um ein sauberes System zu haben. Hier scheint simples Löschen völlig auszureichen.
 
Virenscanner sind heutzutage in der Regel derartig aggressiv eingestellt, dass bei jeder dem AV-Hersteller nicht bekannten ausführbaren Datei das Risiko relativ hoch ist, dass diese als Malware oder Trojaner eingestuft wird.

Vor ein paar Monaten ist der Defender bei mir auf einmal von einem Tag auf den anderen bei meinen Programmieraufgaben aus dem Informatik-Unterricht in der Schule damals vollkommen ausgerastet.
Da lagen in dem Ordner seit 15 Jahre nicht mehr angetastete C-Programme aus dem Grundkurs, einfache selbst geschriebene "Hallo Welt!"-Beispiele usw..

Der Defender hat dann auf einmal die Hälfte von dem Zeug quarantänisiert, und da alles mögliche drin gefunden, von "Hack Tool" über "Trojan" bishin zu Adware. Verbunden mit der Tatsache, dass genau diese exe-Dateien weltweit von keinem anderen PC bekannt sind (da ich das selber programmiert habe), wird jede auch nur im Entferntesten ähnliche Signatur zu einer Erkennung geführt haben.

Soll heißen: Es ist nicht ganz unwahrscheinlich, dass das tatsächlich irgendein eigtl. legitimes Test-Tool war, dass jetzt als False Positive fälschlicherweise als Malware erkannt wurde.
Ganz unabhängig davon, ob das nun wirklich Malware war oder nicht, hat dir Defender ja nun aber wenigstens dabei geholfen herauszufinden, dass da noch irgendein Überrest von irgendwem auf dem Rechner war, der da eigtl. nicht drauf gehört.
 
Das MUSS nicht heißen, dass große Gefahr droht und man sein System neu aufsetzen muss, um ein sauberes System zu haben. Hier scheint simples Löschen völlig auszureichen.
Wenn du genau weist um welches Tool es sich handelt was den Fehlalarm ausgelöst hat ist das in der Regel auch kein Problem diesen Alarm zu ignorieren.

Ich hab so ein Paar Nirsoft Produkte von denen ich ich ganz genau weis das sie vom Defender als Trojaner identifiziert werden, die liegen auf einem USB Stick in einem Ordner und für den es eine Ausnahme gibt, dann ist alles gut. Aber wenn der Defender etwas in Temp Ordner finden würde wäre ich auch skeptisch.
 
Wird der Hersteller halt beim Testen des Gerätes benutzt haben, solange ich den Ordner nicht geöffnet hatte kam auch keine Meldung vom Defender, naja inzwischen habe ich einfach neu aufgesetzt und gleich alle Treiber aktualisiert (beim Hersteller). Läuft wieder problemlos. Danke für die vielen Infos.
 
Anzeige
Oben