windows defender offline findet malware die nicht entfernt wird

Du brauchst Hilfe zu OneDrive, der Sicherheit oder dem Internet Explorer?
Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 02.05.2021, 00:28

Hallo Zusammen,
ich weiß nicht ob ich hier mit meiner Frage richtig bin.
Kaspersky Total Security wurde bei der vollständigen Untersuchung mehrfach abgebrochen ohne Fehler. Kein Ergebnis nach dem der Scan vollständig ware (Log aber hat Archive mit Kennwortschutz gemeldet. Die Abbrüche kamen mir komisch vor. Ich habe daher neue Version heruntergeladen. Die alte Version wurde dabei zuvor deinstalliert. Für neue Installation sollte ein Reboot erfolgen. Vor Reboot habe ich mit dem Windows defender einen vollständige Prüfung durchgeführt. Gefunden wurde HackTool:Win32/ProductKey und einige PUA. Ersteres war aber nur ein Tool um die Lizenz Schlüssel auszulesen damit ich diese für eine neue Installation parat habe. Anschließend habe ich den Defender im offline Modus gestartet. Es wurde Malware gefunden die aber auch nach Reboot nicht entfernt werden aber auch nicht zusätzlich im Verlauf auftauchen. Malwarebyte hat was gefunden und wurde in Quarantäne geschickt (defender offline konnte auch nach mehreren Versuchen nicht löschen).Nachdem Malwarebyte in Quarantäne geschickt findet der Defender offline die Einträge weiter die werden weiterhin nicht gelöscht. Fragen Sind: Ist das ein Fehlalarm? Soll ich Kaspersky nochmal installieren und nochmal damit prüfen? Macht auch keinen Sinn wenn der Defender was gefunden hat wird das wohl stimmen. Irgendwelche Ideen außer neu aufsetzen? Backups vorhanden aber fraglich ob diese ggf. auch Malware haben denn der Kaspersky hat ja nie Alarm geschlagen. Oder einfach ignorieren? Hmm.

Danke vorab! Herzliche Grüße Jeremias
Lenovo T 410, Windows 10 Pro 64 20H2 19042.928)

Tante Google

windows defender offline findet malware die nicht entfernt wird

Beitrag von Tante Google » 02.05.2021, 00:28


Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 02.05.2021, 00:33

Mist der Beitrag steht unter dem falschem Thema. Sorry! Bitte verschieben!
Danke!

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59670
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 554 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 02.05.2021, 08:44

False Positive Meldungen können bei jedem Scanner auftauchen. Kommt nun darauf an was gefunden wurde. Im Zweifelsfall die Datei mal auf VirusTotal scannen lassen.

In der Theorie reicht der Defender. Hab hier seit Jahren auch nichts anderes. Wenn gibt es Kaspersky auch für einen separaten Scan per Stick (Kaspersky Rescue Disk).

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 02.05.2021, 12:25

Hallo MoinMoin, vielen dank für die schnelle Antwort!
Genau daher habe ich auch weil ich auch mit dem Windows Defender geprüft.
Die Dateien habe ich soweit das möglich war (Ort lokalisierbar war) gelöscht. Daher macht Virus Total keine Sinn da ich die Datei ja nicht mehr habe oder zumindest nicht lokalsieren kann. Malwarebytes findet nichts mehr daher deinstalliert könnte ja den Defender stören.
Dann vollständigen Scan mit Defender online gemacht. Keine Ergebnisse. Defender meldet aber stets bei 87% vermutlich Malware gefunden es wird versucht diese zu entfernen und die Funde wäre im Verlauf im Online Modus zu finden. Aber da sind keine neuen Einträge nur die bisherigen gefundenen Einträge mit unveränderte Datum und Uhrzeit. (Verlauf bei MS nur nach 30 Tagen gelöscht). Das ist eine Endlos Schleife.

Habe altes Ubuntu Laptop ausgegraben, aktualisiert Ziel Kaspersky Rescue Disk auf ÙSB Stick erstellen. Vielleicht war ja der Fehler das ich Malwarebyte die Passwort dateien und Email weiter auf dem betroffenen Rechner weiter genutzt habe? Wer weiß.

Noch irgendwelche ideen? Also einen bootbaren Stick unter Ubuntu zu erstellen ist für mich eine Herausforderung. Ich versuche es und melde mich nochmal. Wäre aber für Ideen dankbar. Vielen dank schon mal!

Benutzeravatar
John-Boy
Superhirn
Superhirn
Beiträge: 1283
Registriert: 03.08.2017, 15:50
Hat sich bedankt: 23 Mal
Danke erhalten: 256 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von John-Boy » 02.05.2021, 12:28

Kannst es ja mal hiermit versuchen
https://www.eset.com/de/support/sysrescue/
Grüße
John
+++Kein Backup – kein Mitleid+++
“Anything that can go wrong will go wrong.”

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 02.05.2021, 13:01

Wenn es unbedingt USB Stick sein soll für Kaspersky Rescue Disk schau hier die Anleitung:
https://support.kaspersky.com/de/14226#block1
CD oder DVD geht auch.
Bei CD guck zuvor die Größe der ISO selbst, kann da grad nicht schauen.

Vor Ausführung empfiehlt sich, Schnellstart zu deaktivieren, besser hyberfil.sys deaktivieren,
das Vorhandensein>Nichtvorhandensein unter C: kontrollieren. Ggf. Ansicht anpassen im Explorer
für Systemdateien.
https://www.deskmodder.de/wiki/index.ph ... aktivieren

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 02.05.2021, 23:39

Hallo MoinMoin, Javora, und John-Boy,
vielen Dank für Euere schnelle Hilfe! Also mit dem Ubuntu habe ich es nicht hinbekommen. Zu lange in Ubuntu pausiert. Ich habe den USB Stick dann mit Rufus auf dem betroffenem System erstellt. Zunächst Schnellstart abgeschaltet, und dann mit Eset und anschließend mit Kaspersky Rescue Disk gescannt. Keine Funde. Warum auch immer der Windows Defender im offline was findet es dann aber nicht nach Reboot im Verlauf des Windows Defender anzeigt. Also nochmal Kasperky Total Security zu installieren ich denke das klemme ich mir obwohl noch die Lizenz läuft. Ich denke mal der Windows Defender gibt dann im Offline Modus Fehlalarm. Verstehe ich nicht denn ich dachte dafür ist der Offline Modus da (warum nicht im abgesicherten Modus keine Ahnung) . Sieht ihr das auch so wie ich? Also weitere Suche ist dann denke ich wenn bösartige Software, Malwarebytes, Eset Rescue, und Kaspersky Rescue Disk nichts findet ist wohl alles gut. Oder? Herzlichen Dank!

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59670
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 554 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 03.05.2021, 05:57

Es kann bei jeder AV-Software zu False Positive Meldungen kommen. Das liegt immer an der Signatur.
Bei Microsoft wird auch viel "angemeckert", wie eben dein Tool zum Key auslesen, weil es tief ins System will.
Das einiges nicht in den Verlauf geschrieben wird, hatten wir schon öfter mal hier.

Unterschied Offline-Modus und abgesicherter Modus ist, dass im Offline-Modus das System komplett aus ist, da von der Windows PE gestartet wurde. So ein vollständiger Scan wäre vom abgesicherten Modus nicht möglich. Ist zu vergleichen mit dem Scan über den Stick mit Eset oder Kaspersky.

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 03.05.2021, 07:19

Kaspersky Total Security wurde bei der vollständigen Untersuchung mehrfach abgebrochen ohne Fehler. Kein Ergebnis nach dem der Scan vollständig ware (Log aber hat Archive mit Kennwortschutz gemeldet. Die Abbrüche kamen mir komisch vor. Ich habe daher neue Version heruntergeladen. Die alte Version wurde dabei zuvor deinstalliert. Für neue Installation sollte ein Reboot erfolgen. Vor Reboot habe ich mit dem Windows defender einen vollständige Prüfung durchgeführt.
Abbrüche bei den Scans können bspw. Zeichen für defekte Installation der Sicherheitssoftware sein. Dies kann u.a. passieren, wenn bei Funktionsupdates externe Sicherheitssoftware nicht deinstalliert war, durch Nutzung veralteter Versionen, Schadsoftware, ...
Letzteres oder unmittelbar durch Schadsoftware während des Scans hab ich selbst bisher nur einmal bei Defender in wenigen Jahren Nutzung beobachten können.
Gefunden wurde HackTool:Win32/ProductKey und einige PUA. Ersteres war aber nur ein Tool um die Lizenz Schlüssel auszulesen damit ich diese für eine neue Installation parat habe.

Anschließend habe ich den Defender im offline Modus gestartet.
Es wurde Malware gefunden die aber auch nach Reboot nicht entfernt werden aber auch nicht zusätzlich im Verlauf auftauchen.
Was heißt zusätzlich im Verlauf? Noch Einträge zuvor?
Wurde das Key-Tool denn zuvor deinstalliert/ entfernt/ gelöscht (inkl. Quarantäne) ?
Hinweis in Logs?
Malwarebyte hat was gefunden und wurde in Quarantäne geschickt (defender offline konnte auch nach mehreren Versuchen nicht löschen).
Nachdem Malwarebyte in Quarantäne geschickt findet der Defender offline die Einträge weiter die werden weiterhin nicht gelöscht.
Auszuschließen ist nicht, dass Defender auch offline Quarantäne - Inhalte fand.
Woran wird festgemacht, dass Defender offline etwas fand und evtl. was?

Das was bisher insgesamt gefunden wurde und die Verläufe müssteste erst einmal abarbeiten.
Normalerweise sollte da am Ende eher nichts Unbekanntes bleiben, wenns in Ordnung sein könnte.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 03.05.2021, 19:15

Hallo MoinMoin, Javora,
danke für Eure Antworten. Das es Sinn macht vor einem Funktionsupdate fremd Virensoftware zu löschen wusste ich nicht. Bisher habe ich einfach Kaspersky ausgeschaltet. Aber in sofern kann ich mir vorstellen das durch die Änderung im Windows Defender wg. Bitcoin dies ggf. passiert ist. Ich durfte die Update häufig wieder holen. Nun gut Kaspersky Total Sec ist deinstalliert.

Ich habe die Verläufe natürlich abgearbeitet. Zumal ich mit dem Windows Defender nicht so vertraut war habe ich die einzelnen Einträge geprüft und gelöscht. Nun hat der Offline Scanner ab 87% diese Meldung möglicherweise Malware gefunden ausgeworfen und in dem Verlauf nichts eingetragen. Ich habe nach der Anleitung von deskmodder die Verläufe nach Abarbeitung manuell gelöscht. Dann ist mir eingefallen das ich wegen der Telemetrie die hosts geändert hatte und in den Auschlüssen eingetragen habe. Ich habe die Hosts zurückgesetzt und siehe da der Offline Scanner zeigt diese Malware Meldung nicht mehr an. Komisch aber ist das der Offline Scanner bei ca. 97% beendet und neu bootet.

Ist das normal? Hätte ich jedenfalls nicht so erwartet. Nun lasse ich den Defender nochmal vollständig alles Prüfen. Werde dann nochmal ein update geben. Ich wäre dankbar über eine Rückmeldung ob das mit den 97% normal ist oder ob da was im argen ist. Danke!

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird/

Beitrag von Jeremias » 03.05.2021, 21:20

Ich hatte die Hosts geändert wegen der Telemetrie und hatte in den Ausschlüssen die Hosts eingetragen damit der Win Def nicht meckert. Scheinbar bekommt das der Offline Scanner nicht mit und liest nicht die Ausschlüsse. Nachdem ich die Hosts auf Standard gesetzt habe. Die Auschlüsse gelöscht habe. Hat der Schutzverlauf im Nachhinein die gefunden Änderungen in der Hosts angezeigt (also von den Offline Läufe wo die Änderungen der Hosts ausgeschlossen waren). Der Offline Scan hat keine neuen Meldungen angezeigt endet aber nach wie vor bei 92% (ich hatte vorhin 97% geschrieben was falsch ist). Frage ist das normal? Wie verhindert Ihr die Telefmetrie bei wind 10 Pro 20H2? Danke!

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59670
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 554 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 04.05.2021, 06:16

Wie verhindert Ihr die Telefmetrie bei wind 10 Pro 20H2?
Ganz einfach in den Einstellungen von Windows 10, ohne weitere Tools und Helfer. ;)

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 14:23

Was ist mit dem Offline Scan das der bei 92% endet normal? Ok ich kenne nur Diagtrack aus, CEIP aus, Einstellungen Diagnosedaten auf Erforderlich. verschiedene GPO Einstellungen. Aber im Taskmanager sehe ich wie der Prozess Telemetrie ab und an Prozessorleistung verbraucht. Also findet was statt. ggf. DiagTrack in Firewall ändern auf nur privat? Klar die Helfer sind ja auch nicht das richtige. Überlege in Fritzbox die www Seiten zu blocken oder mit einem Pi Hole. Jedoch habe ich bisher nur Pi Holes gefunden die via WLAN arbeiten. Ich nutze fast ausschließlich LAN da die Performance mies ist (Vodafone VDSL mit max 27). Aber vielleicht habe ich noch nicht auf den richtigen Seiten gesucht was den Pi Hole betrifft.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 14:25

Ich meine die MS Seiten zu blockieren. Vollständig abschalten wird wohl nicht gehen denke ich.

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 04.05.2021, 15:03

Das bei unter 100 Prozent die Fortschrittsanzeige - Animation aufhört bei Defender Offline ist mir auch aufgefallen. Kannst ja mal die Ereignisanzeige und sonstige Logs dazu anschauen.

Abgesehen davon, im Bedarfsfalle ein externes bootbares Tool nehmen, schon allein weil neben selektiven
Scans auch Vollscan möglich ist, etwa beim Tool von Kaspersky.

Antworten