Deskmodder.de

hallo,
Windows defender erzeugt plötzlich / manchmal false-positives. Irgendwelche bislang unverdächtige, nie angemeckerte Dateien werden plötzlich als PuP oder ähnliches "eingestuft."
Beispiel die Datei "mpe_gadget_connector.dll" des Programms MyPhoneExplorer. Bei virustotal geladen ergibt sich 0. Vor allem auch Microsoft: Null!
Wie kann das angehen, dass es dann lokal mit aktuellen sigs bemeckert wird? Ist das Programm schizo?
Was ist da falsch, wie beheben, was muss gelöscht oder zurückgesetzt werden?!? Geht das überhaupt, reichte es, wenn im Ordner "ProgramData" die update-sig-Dateien einfach mal komplett gelöscht werden würden? Mit einer linux-live ja kein Problem.

Dazu brauchst nicht mal Linux. Das geht auch in der Eingabeaufforderung
https://www.deskmodder.de/wiki/index.ph ... stallieren

Diese "False Positive" kommen in jedem AV-Programm vor. Ausgelöst durch den Cloudbasierten Schutz.

Wenn du sicher bist, dass die Datei "clean" ist, kannst du sie im Defender Security Center unter Viren... auf Zulassen stellen. Oder unter Ausschluss hinzufügen. Dann wird diese nicht mehr angemeckert.

Bei False Positives belegt der Windows Defender inzwischen eine Spitzenposition im negativen Sinne, wie die letzten Tests der anerkannten Testlabore von AV-Test (Magdeburg) sowie AV Comparatives (Insbruck) zeigten. Bei der Schutzwirkung dagegen konnte sich der Defender weiter verbessern und braucht sich nun nicht mehr zu verstecken. Ich persönlich kann mir vorstellen, dass zwischen beidem ein Zusammenhang besteht: Schärfere Grundeinstellungen bei der Erkennung führen zu mehr Falsch-positiven-Warnungen. Otto Normaluser ist mit False Positives natürlich regelmäßig überfordert, weil er nicht einschätzen kann, was echte oder eben keine Malware ist. Im schlimmsten Fall wird dann oft genervt alles zugelassen ... und peng!

moinmoin hat geschrieben: ↑12.02.2018, 11:48...Oder unter Ausschluss hinzufügen. Dann wird diese nicht mehr angemeckert.

wenns mal so einfach wär. Wie Vorschreiber "Gast001" bereits anmerkte, der Ausstoß von false-positives hat beim win defender zugenommen. Das geht auch schonmal über die Schmerzgrenze. Sich das jetzt immer noch schön zu lügen ist nicht die Zeit. Das kann schon ordentlich nerven. MS ist hier dran, zu justieren. Jetzt unabhängig davon, dass es im beschriebenen Fall auch von einer fehlerhaften Sig-Datenbank beeinflusst sein könnte.
Die betreffende Datei ist übrigens "clean", steht ja da, virustotal: Null.
Aber nun permanent nachführen mit einer whitelist, das kanns ja auch nicht sein. Zumal die Verwaltung der erkannten "Elemente" im Verlauf (Quarantäne/zulässig/alle) nicht eben sinnvoll und benutzerfreundlich gestaltet ist, sondern eher abschreckend.
Warum allerdings das gleiche Prog mit aktuellen Signaturen lokal meckert, im Netz bei virustotal jedoch nicht, hatt ich ebenfalls schon, bleibt etwas rätselhaft.

moinmoin hat geschrieben: ↑12.02.2018, 11:48 Wenn du sicher bist, dass die Datei "clean" ist, kannst du sie im Defender Security Center unter Viren... auf Zulassen stellen. Oder unter Ausschluss hinzufügen. Dann wird diese nicht mehr angemeckert.

Dass die clean ist und war, steht ja oben bereits.
Danke für den Tip mit Eingabeaufforderung, mit einer linux live auf einem stick ist das schnell erledigt, dazu kann man dabei noch anderes aufräumen/justieren. Habs jetzt mal gemacht, abwarten, was es bewirkt.
ansonsten seh ichs bei den 'false-positives' ähnlich Gastl, MS wär hier mal an der Reihe.
Dass die von virustotal verwendete defender-Version andere Ergebnisse auswirft, könnte ja vielleicht daran liegen, dass die ne win10-Version verwenden, die sich von der 8.1er ja etwas unterscheidet?

Noch schlimmer, bei Leuten in meinem Umkreis mit Windows 8 und 10 blockiert der Defender derzeit manche Programme oder deren Programmdateien auf Grund der False Positives, das führt zu Absturz oder Nicht-Start der Programme. Ist vielleicht auch auf Ordnerschutz zurück zu führen.

gibbet eigentlich ne Stelle oder Seite, wo man solche "false positives" an Microsoft schicken kann?

moinmoin hat geschrieben: ↑12.02.2018, 11:48 Diese "False Positive" kommen in jedem AV-Programm vor. Ausgelöst durch den Cloudbasierten Schutz.

Und wieso kommt als Ergebnis mit dem lokalen Defender oder MS sec.essentials eine Befalls-Meldung, online bei virustotal aber bekommt man als Ergebnis negativ, beim gleichen Programm? So wie u.a. oben beschrieben, weil, hatte das gleiche auch bereits - mehrfach. Lokal mit aktualisierten Signaturen positiv, gleiches Programm 2 Min. später bei virustotal.com negativ. Wie geht das, was soll das? Oder sind neue lokale Signaturen nichts wert?

Wenn du sicher bist, dass die Datei "clean" ist, kannst du sie im Defender Security Center unter Viren... auf Zulassen stellen. Oder unter Ausschluss hinzufügen. Dann wird diese nicht mehr angemeckert.

Aber wenn ich plötzlich sieben oder mehr "Meldungen" hab, darf ich die alle manuell eintragen? Weil das MS-Programm plötzlich was bemeckert, was jahrelang ok war? Das kann es tatsächlich eigentlich nicht sein.

Gast hat geschrieben: ↑11.03.2018, 20:58 gibbet eigentlich ne Stelle oder Seite, wo man solche "false positives" an Microsoft schicken kann?

wüsste keine, aber hier kann eine Datei ebenfalls online überprüft werden. Alternative/Ergänzung zu virustotal:
Free Automated Malware Analysis Service, https://www.hybrid-analysis.com/