Windows Defender - komisches Verhalten

[balombi]

Hallo zusammen,

ich habe gestern meinen abgelaufenen WithSecure-Virenscanner von einem Windows 10-Laptop deinstalliert. Der WithSecure-Virenscanner hatte beim letzten Full-Scan vor der Deinstallation keine Bedrohungen gefunden. Als der WithSecure-Virenscanner dann deinstalliert war und automatisch der Windows Defender aktiviert wurde, meldete dieser, Spyware im Windata-Installationsverzeichnis gefunden zu haben. Die Daten wurden dann in Quarantäne verschoben. Ich habe anschlißend Avira Free installiert, die Daten aus der Defender-Quarantäne wiederhergestellt und das Windata-Programmverzeichnis mit Avira gescannt. Dieser hatte keine Bedrohungen erkannt. Als ich das Verzeichnis dann erneut mit dem Defender gescannt habe, fand dieser auch keine Bedrohungen mehr. Ich habe dann anschließend noch einen Full-Scan mit Avira durchlaufen lassen, auch dieser fand nichts.

Hat jemand schon mal das gleiche oder ein ähnliches Verhalten des Defenders festgestellt, dass erst etwas gefunden wurde und bei einem erneuten Scan dann nicht mehr ?

Und muss ich mir nun Sorgen machen, dass evtl. doch (noch) eine Spyware auf dem Laptop ist ?

Vielen Dank für weitere Tipps/Hilfe!

balombi

 

[BFF]

Man könnte ja mal nennen was konkret gefunden wurde. Oder ein Bild davon.

 

[PC295]

Windata-Programmverzeichnis

Was für ein Verzeichnis soll das sein?
In welcher Datei wurde was genau gemeldet?

 

[Azrael-Naraku]

hab bei mir grad mal geschaut , ein windata-ordner gibt es bei mir nicht

 

[BFF]

Vermutlich wird (werden) das (die) Windowssystem/programmverzeichnisse gemeint. @Azrael-Naraku
%Appdata% vermutlich nicht, das ist zu neu fue win(dows)dat(en)a.

 

[SuperHeinz]

Kann der Avira-Scanner denn überhaupt auf das Quarantäne-Verzeichnis vom Defender zurückgreifen? Das wäre mir neu. Und wenn man davon ausgeht, ergibt die neuerliche Prüfung auch mit dem Defender ja Sinn, denn was der Defender in seiner Quarantäne eingelagert hat, wird er außerhalb ebenso wenig finden können, wie sein Kollege von Avira.

 

[balombi]

Windata ist eine auf dem Laptop installierte Software (https://www.windata.de/produkte/windata/windata-professional-9/). Windata-Programmverzeichnis = C:\Program Files (x86)\WinData\

Die Spyware Powershell/Keylogger!pz wurde in der .exe-Datei für Windata (windata8.exe), in der windataZahlungserinnerung.exe (beide im Verzeichnis "C:\Program Files (x86)\WinData\") sowie in der Startmenü-Verknüpfung zu windata8.exe gefunden.

Avira kann natürlich nicht auf das Defender-Quarantäneverzeichnis zugreifen, aber wie ich ja geschrieben habe,

die Daten aus der Defender-Quarantäne wiederhergestellt

habe ich die Dateien zuvor wieder in das Ursprungsverzeichnis wiederhergestellt (aus der Defender-Quarantäne) und anschließend nochmal mit dem Defender und Avira gescannt.
Und dann hatten beide nichts (mehr) gefunden.

Deswegen war ich verwundert, warum auch der Defender beim erneuten scannen der gleichen Dateien auf einmal nichts mehr fand.

Ich hoffe, das es nun klarer ist...

 

[PC295]

Du kannst die Datei mal auf www.virustotal.com hochladen und schauen, was andere Antivirenprogramme dazu melden.

 

[balombi]

Habe ich gerade mal gemacht, bei allen Dateien meldet jeweils ein Antivirenprogramm eine Erkennung. Alle anderen erkennen nichts... Ich denke, diese eine Erkennung wird dann ein False Positive sein, oder ?

Mich wundert nur, wieso der Defender dann am Anfang etwas entdeckt hatte...

 

[whats4]

einer ist keiner
jo, false

 

[PC295]

Kannst du bitte einen Link zum Virustotal-Bericht posten.
Wenn nur ein Virenscanner etwas meldet, kannst du sicher von einem Fehlalarm ausgehen.

Hier wurde der selbe Fund bei CCleaner Pro gemeldet:
https://answers.microsoft.com/en-us...in-win10/570ed14c-eeef-4b0c-a498-25b49595c8aa

 

[balombi]

Okay, echt komisch, dann gehe ich jetzt einfach mal von einem Fehlverhalten des Defenders aus...
Den Link zum VirusTotal-Bericht kann ich morgen posten...