Defender Trojanerfund bei CapFrameX

[meckswell]

Hallo, seit Kurzem erhalte ich beim Starten von CapFrameX Defender Warnmeldungen eines Trojaners Vigorf.A. Hatte versucht, den Ordner zu löschen und neu runtergeladen, wieder das Gleiche.

Der CPU-Takt wird dadurch mit 0 Mhz angezeigt, stört sehr.

Dann beim Defender eine Ausnahme eingerichtet, weiterhin Meldungen beim CFX-Start, die jetzt .tmp im Windows/System Ordner erzeugen. Es kommen immer Warnmeldungen, was dazu führen wird, dass die eigene Aufmerksamkeit für Warnmeldung einschlafen wird.

Kann ich so nicht lassen. CapFrameX vom PC entfernt. Auch wenn es nur False Positive sind, kann das so nicht lassen.

Warum wurde bisher nicht darüber berichtet, und wie geht ihr damit um?

 

[midwed]

Warum wurde bisher nicht darüber berichtet [...]

# Win11 Defender seit heute am Durchdrehen (Thread)
# Aquacomputer Aquasuite plötzlich gefährlich für Defender? (Thread)
# Defender Blockiert Fan Control (Thread)
# Windows Defender meldet 'FanControl' als Quelle von 'Win32/Vigorf.A' Trojaner (Thread)
# unw.

# Rem0o / FanControl.Releases
# Rem0o / FanControl.Releases - Warning
# Microsoft Defender Antiviruswarnung – VulnerableDriver:WinNT/Winring0
# Threats detected: Trojan:Win32/Vigorf.A
# Windows stuft beliebte Tools plötzlich als Bedrohung ein
# Informationen zu Windows Defender Warnung "HackTool:Win32/Winring0" (AquaComputerService.sys)
# LibreHardwareMonitor.sys flagged as trojan:Win32/Vigorf.A on Windows 10
# usw. usf.

Alles ähnliche/gleiche "Leier".

 

[Defmaster]

Siehe auch:
https://github.com/Rem0o/FanControl.Releases?tab=readme-ov-file#warning
Für weitere Infos.

 

[BFF]

Melden an Microsoft als False Positiv.

Und irgendwo kann man das Prüfen auf signierte Treiber deaktivieren.

Beitrag im Thema 'Aquacomputer Aquasuite plötzlich gefährlich für Defender?'
https://www.computerbase.de/forum/t...faehrlich-fuer-defender.2251087/post-30891286

 

[Amaoto]

Welche Version ist es denn?

Die VirusTotal-Scans dieser DLL-Datei von
v1.7.4:
https://www.virustotal.com/gui/file/94dd3fb85f14259fd113489ded27d8108db77557de46a422d33b047244b661c0
v1.7.6 (Beta):
https://www.virustotal.com/gui/file/4f5e15263c11a03d2ad99c3c6028f5cd81fdee077ca0fd9384ca4a0d0ba94821

Microsoft findet dort bei beiden nichts.

 

[PC295]

, die jetzt .tmp im Windows/System Ordner erzeugen.

Versuche den CapFrameX als Prozess auszuschließen, nicht als Datei/Ordner-Ausschluss.

 

[TomH22]

Wenn man das zugrundeliegende CVE durchliest https://nvd.nist.gov/vuln/detail/CVE-2020-14979

ist der wohl von diversen Tools verwendete winring0 Treiber schon ein ziemlich heftiges Sicherheitsrisiko: Er erlaubt jedem Prozess auf dem Rechner lesend und schreibend auf den gesamten physischen Adressraum zuzugreifen, also letztendlich werden damit alle Schutzmechanismen des Betriebsystems ausgehebelt.

Ich würde eher dazu tendieren auf Tools, die diesen Treiber nutzen, zu verzichten, als eine Ausnahme in Defender einzufügen. Zumindest FanControl scheint seit kurzem einen alternativen Mechanismus zu unterstützen.

 

[SpartanerTom]

Ein bisschen aufbereiteter Hintergrund (als zusätzliche Infos zu den bereits genannten) zum Ring0 Treiber (Englisch):

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[shadowrid0r]

... Ich würde eher dazu tendieren auf Tools, die diesen Treiber nutzen, zu verzichten, als eine Ausnahme in Defender einzufügen.

Wenn Zugriffe über winring0 denn so gefährlich sind muss das weg!
Die Ausnahme im Defender beruhigt nur mich als User weil die Stressrequester wegfallen.
Das nun, nach Jahren entstandene plotzlich entstandene Problem, bleibt ja weiter aktiv der Weil.
Was nun generell jegliche Mess-Hardware und gekoppelte Soft-Tools in Frage stellt, die über winring0 arbeiten.
Ich denke gerade über die rund 1000€ nach die in meinem aquacomputer Kram stecken. Und was wird das mit dem Wiederverkaufswert machen für Aquacomputer Hardware? Ab diesem Moment ist Wasserkühlung mit Aquasuite im Grunde Vorbei. Im Aquacomputer Forum wird auch empfohlen eine Ausnahme im Defender zu bilden... pfff OK!? Und nu?

 

[TomH22]

Immerhin sagt Aquacomputer im eigenen Forum, dass Zugriff winring0 auf Admin User beschränkt ist. Das ist besser als nichts, aber auch etwas problematisch, denn auch ein Lokal Admin kann in Windows nicht alles, Stichwort UAC.

 

[shadowrid0r]

@TomH22 Ja und die ´normalen´ User die die Aquasuite starten haben eine Oberfläche ohne Werte.
Und unten Links steht dann als Tip: Auqusuite im Administrator Modus Neu starten!
Also Falls man in seinen programmierten Anzeigen auch gerne sinnvolle Werte ablesen mag...
Witzig, das Ganze.

 

[meckswell]

Hatte die aktuellste Version von CFX drauf, Beta vom 7.August. Die Meldungen fingen aber später an, glaub seit dem Optionalen KB5064081 (26100.5074). Ich nutzte ja nicht täglich CFX, aber vor Kurzem als ich benchte, war noch alles ok. Erst seit ca. Vorgestern stellte ich es fest.

 

[ralelelelel]

Nutze CapFrameX Version 1.7.2 und bekomme auch seit heute einen Alarm.

 

[meckswell]

Des is der Winring0 Treiber, der is halt hardwarenah und wird deshalb als gefährlich eingestuft, oder so ähnlich. Du siehst aus, wie der junge Nicholas Cage.