Deskmodder.de

Ich habe gestern einen Vollständigen Scan auf meiner workstation gemacht.

Nun hat lustigerweise Defender in einer Linux-ISO-Datei zwei Trojaner gefunden. Aber nur auf einem Laufwerk (Archiv für zu installierende Programme), auf dem anderen Laufwerk nicht obwohl dieselbe ISO dort ist.
Interessant ist auch, dass die ISO schon seit drei Wochen dort gespeichert war und sonst nie Alarme beim Scan kamen.

Wie ist das zu erklären, dass nur eine ISO als verdächtig gefunden wurde, und warum erst heute?

Mist, in Quarantäne-stecken macht der Defender bei der Iso nicht. Entfernen ist ja Unsinn, denn aus der ISO und der darin steckenden deb-Archiv dazu zu entfernen bring doch nix. Löschen der ISO per Explorer geht auch nicht.
Mal sehen ob ein Windows-Neustart hilft.

Mal auf deine Fragen eingehend.
Das wird wohl an einer aktualisierten Signatur liegen.

Wenn der Ordner oder die ISO nicht angerührt werden, meldet sich der Defender auch nicht. Erst wenn du den Ordner öffnen würdest. Ob nun echt oder False Positive sei einmal dahingestellt.

Du hast jetzt ja einen Vollscan gemacht, daher wurde alles durchwühlt.
Warum die zweite ISO nicht, da vermute ich mal, dass der Vollscan noch gar nicht bis da durch war?

Danke für die Erklärung.

Derzeit versuche ich bei deaktiviertem Defender (in Einstellungen für Viren- & Bedrohungsschutz den Echtzeitschutz aus geschaltet) die Datei ohne Papierkorb zu löschen. Geht aber nicht, da hängt der Explorer dauerhaft.

Deaktiviere einmal den Manipulationsschutz darunter auch noch.

Nein auch das klappt nicht.
Und als Administrator über Dienste ist der Windwos Antimalware auch nicht zu stoppen.

Abgesicherter Modus?

Ich probiere das mal.

Ich habe es nun mit eine Linux-Live-USB versucht und die Dateien gelöscht. Dann neu gestartet, aber Defender glaubt immer noch dass er die Isos in den Fängen hält.

Ich probiere nun mal Windows' Abgesicherten Modus.

Booten in abgesicherten Modus half nun. Der Defender zeigt wieder im Tray korrekt mit grünem Haken an.

Was mich interessieren würde, Gwen_Multiaccount, wieso nutzt du überhaupt den Defender? Der ist doch nur für Leute geeignet denen Malware egal ist.
der Defender schafft es doch bis heute nicht mal ADS zu durchsuchen. Somit bleibt ein Großteil der Malware auf den Systemen verborgen.

Hans_Wurscht hat geschrieben: ↑03.03.2021, 17:29 Was mich interessieren würde, Gwen_Multiaccount, wieso nutzt du überhaupt den Defender? Der ist doch nur für Leute geeignet denen Malware egal ist.

Nun, welches Schlangenöl denn sonst? Sag’s mir, bitte.

Somit bleibt ein Großteil der Malware auf den Systemen verborgen.

Das Problem sind da wohl eher schlampige Admins, die nicht ihre Windows-PCs/-Server abdichten und aktuell halten.

Mh? Wieder neuer Spaß mit der aktuellen Defender Insider Version (4.18.2102.3).

Muss mal meine Windows Dev Installation mal klonen und schauen, wie man da den Defender sicher wieder aus dem Insider Programm den Defender rausbekommt. Vermute da mal, dass bei Dir wieder die o.g. Vorabversion installiert wurde.

DK2000 hat geschrieben: ↑03.03.2021, 17:44 Mh? Wieder neuer Spaß mit der aktuellen Defender Insider Version (4.18.2102.3).

Ja, das ist die meine. Wieso bekomme ich denn so ’ne Insider, ich bin doch gar nicht in dem Windows-Dev-Channel?

Nun, welches Schlangenöl denn sonst? Sag’s mir, bitte.

Eine gute Frage. Ich kenne auch kein Allheilmittel. Schwachstellen haben sie alle. Die einen ignorieren von ADS Dateien, die anderen brechen Https Verbindungen auf, ...
Das beste ist imho einen Scanner mit mehreren AV Engines zu benutzen.
Eine elegante Lösung wäre meiner Meinung nach -wenn man die Ressourcen entbehren mag- eine kleine Linux Distro wie Puppy Linux, oder Damn small Linux mit intergrierten Clam AV, oder F-Prot parallel IN Windows laufen lässt. Dann hat man sogar einen On-Access-Scanner statt wie bei zB bei Desinfect und Konsorten reine On-Demand-Scanner.

Aber zu deinem eigentlichen Problem: Das nicht zu löschende Iso ist nicht versehentlich gemounted?