Merkwürdiges Verhalten vom Windows Defender

[sirmaniac]

Hallo, der Defender funktioniert irgendwie nicht richtig.
Habe ein Archiv eine Rar Datei mit Total Commander.
In dem Archiv ist wohl eine Datei mit einem Virus infiziert. Virus:Win32/Floxif.H
Defender konnte scheinbar das Archiv nicht löschen und hat immer weiter die Meldung angezeigt.
Habe dann selber das Archiv gelöscht, aber die Bedrohungsmeldung verschwindet nicht, obwohl da gar kein Verzeichnis mehr ist mit dem Archiv. Bekomme die Meldung einfach nicht weg.

Das zweite merkwürdige ist das ich mal die betroffene Datei aus dem Archiv kopiert habe in ein Verzeichnis.
Die Datei wird sofort als Virus erkannt aber nicht gelöscht oder in die Quarantäne verschoben, sondern gegen eine mit gleichen Namen aber unterschiedlicher Größe ausgetauscht. Kann auch nicht im Defender löschen oder Quarantäne wählen, sondern nur zulassen.

Funktioniert der Defender nicht richtig? Kann man den eventuell neu installieren? Wie behebe ich das Problem.


Gruße
-s-

 

[Sinatra81]

Hast das System schon mal komplett und auch offline vom Defender checken lassen?

 

[chrigu]

Kann es sein, das nicht dieses Archiv verseucht ist sondern etwas im Ordner selber?
malwarebytes kann vieles klären, sowie auch ein live virenjäger auf usb installiert und statt Windows gestartet.

 

[sirmaniac]

Hast das System schon mal komplett und auch offline vom Defender checken lassen?

Ja, ab und an lasse ich mal Kaspersky On Demand Scanner laufen.
Hatte auch noch von anderen Herstellen mal was drüber laufen lassen was man jetzt nicht installieren muss, da gibt es ja viele.
Nie, was gefunden außer Dateien die Fehlarlarme waren.
Habe die Datei ja auch garnicht ausgeführt, da ist nichts passiert.

Ergänzung (3. August 2023)

Kann es sein, das nicht dieses Archiv verseucht ist sondern etwas im Ordner selber?
malwarebytes kann vieles klären, sowie auch ein live virenjäger auf usb installiert und statt Windows gestartet.

Im Ordner ist sonst nichts außer der RAR Datei.
Der übergeordnete Ordner ist mein Download Ordner.Habe da kaspersky und den Defender laufen lassen aber da ist sonst nichts gefunden worden.

 

[PC295]

Bekomme die Meldung einfach nicht weg.

Was du dort siehst, ist der Bedrohungsverlauf. Die Einträge bleiben dort 30 Tage. In der Zeit kannst du noch entscheiden was mit gefunden Bedrohungen passieren soll und sie z.B. aus der Quarantäne zurückholen, falls es sich um ein Fehlalarm handelt.

Den Button zum Entfernen der Einträge wurde von MS entfernt (warum auch immer).

Den Verlauf kannst du aber manuell leeren, indem du folgenden Ordner leerst:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory

sondern gegen eine mit gleichen Namen aber unterschiedlicher Größe ausgetauscht. Kann auch nicht im Defender löschen oder Quarantäne wählen, sondern nur zulassen.

Ich vermute mal dass der Defender während des Kopierens die Datei abgefangen hat und somit eine unvollständige kaputte Datei übrig bleibt die nicht mehr gefährlich ist.
Wenn du aus einem Archiv kopierst, geschieht das i.d.R. über das Temp-Verzeichnis, deswegen gibt es dann zur eine Zulassen-Option, weil die Datei im Temp-Ordner nicht mehr existiert.

 

[sirmaniac]

Was du dort siehst, ist der Bedrohungsverlauf. Die Einträge bleiben dort 30 Tage. In der Zeit kannst du noch entscheiden was mit gefunden Bedrohungen passieren soll und sie z.B. aus der Quarantäne zurückholen, falls es sich um ein Fehlalarm handelt.

Das steht nicht nur im Verlauf, sondern auch auf der Hauptseite bei Bedrohungen.

Den Button zum Entfernen der Einträge wurde von MS entfernt (warum auch immer).

Den Verlauf kannst du aber manuell leeren, indem du folgenden Ordner leerst:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory

Ja, das hatte ich schon mal versucht und den Ordner mithilfe von einem Bootstick gelöscht, unter Windows habe ich alles versucht, der lässt mich nicht. Habe dann nochmal die Datei geladen und wieder das gleiche Phänomen. Das Problem bleibt also und wird wohl auch in Zukunft auftreten, wenn ich nicht weis warum.

Ich vermute mal dass der Defender während des Kopierens die Datei abgefangen hat und somit eine unvollständige kaputte Datei übrig bleibt die nicht mehr gefährlich ist.

Die Datei ist in Ordnung und ausführbar. Entspricht 1:1 der Datei, von der Virenfreien Version vom Total Commander. Keine Ahnung wo der Defender die hernimmt... Das funktioniert sogar wenn ich die Virusdatei umbenenne. Dann wird die Datei auch ausgetauscht hat aber weiterhin den gleichen Namen wie die umbenannte Datei. Sehr merkwürdig. Die Datei die der Defender austauscht, heißt TOTALCMD.exe und ist 5457096 Bytes groß nach dem Austausch. Das ist die Größe der Originaldatei vom Hersteller. Der Inhalt ist auch identisch. Keine Ahnung, wo der Defender die Hernimmt. Die Virusdatei hat die Größe 5535375.

Wenn du aus einem Archiv kopierst, geschieht das i.d.R. über das Temp-Verzeichnis, deswegen gibt es dann zur eine Zulassen-Option, weil die Datei im Temp-Ordner nicht mehr existiert.

 

[sirmaniac]

Hat einer mal Lust, die Datei mit dem Defender zu testen. Ob er sie löscht oder wie bei mir einfach verändert oder austauscht?

 

[PC295]

Was ist den das für eine Datei? Bzw. hast du eine Quelle?
Die Fundmeldung ist jetzt keine typische Bezeichnung die auf einen Fehlalarm hindeuten könnte.

 

[sirmaniac]

Quelle habe ich nicht mehr auf dem Schirm, habe lange gegoogelt, um eine Portable Version zu finden.
Bin jetzt schlauer auf der Homepage gibt es ein Tool, was aus einer Installation eine Portable Version erstellt.
Die Datei heißt TOTALCMD.EXE

 

[PC295]

habe lange gegoogelt, um eine Portable Version zu finden.

Dann bist du sicher auf eine infizierte Fake-Version gestoßen.

 

[sirmaniac]

Habe nochmal im MS Forum gefragt, dort hat einer die Datei getestet von den Mitarbeitern. Es ist ein Virus wie man sie früher hatte, der setzt sich vor eine exe Datei und infiziert sie. Daher konnte der Defender den Schadcode einfach entfernen und es blieb dann die saubere Datei übrig.