Win11 Defender seit heute am Durchdrehen

AnkH · 5. September 2025

Hallo Leute, seit heute dreht mein Windows 11 Defender plötzlich völlig am Rad und erkennt bei jedem Systemstart iwo einen Trojaner, quarantänisiert den und motzt rum. Dazu gehört bspw. auch eine Datei von FanControl, die habe ich nach zig Anläufen vor dem Quarantänisieren als Ausnahme hinzufügen können und jetzt ist für die Datei Ruhe. Nun erkennt er plötzlich diverse Dateien mit .tmp Endung im Folder SystemTemp als Trojaner und löscht auch diese, die sind aber nach jedem Neustart wieder da und das Spiel beginnt von Vorne. Im Netz gibts bereits ein paar vergleichbare Meldungen, jedoch keine Lösung. Was kann ich da sonst noch tun? Voller Systemscan läuft gerade...

PC295 · 5. September 2025

Defender deaktivieren bis MS ein Update rausbringt.
Mehr kannst du nicht tun.

AnkH schrieb:
Nun erkennt er plötzlich diverse Dateien mit .tmp Endung im Folder SystemTemp als Trojaner und löscht auch diese,

Die können auch von FanControl sein.
Die Dateien haben Namen wie tmp733C.dll

Fujiyama · 5. September 2025

Was für ein Trojaner wird gemeldet?
Nicht das du dir wirklich was eingefangen hast.

Luftgucker · 5. September 2025

Könnte natürlich auch ein echter Befall sein. Warum sollte der Defender rumspinnen?

midwed · 5. September 2025

Könnte ja tatsächlich auch ein qualifizierter Befall sein 😶

AnkH schrieb:
Voller Systemscan läuft gerade...

Hätte ich persönlich dann keine Ruhe mit. Würde (wohl) Windows neu aufsetzen. Einzige Lösung, die nachhaltig Ruhe und (erneute) Sicherheit bringt.

AnkH · 5. September 2025

Malwarebytes findet nichts. Es soll sich um diesen Trojaner handeln: Trojan:Win32/Vigorf.A

Zuerst im File FanControl.sys gefunden, dann in zirka 6 Dateien im SystemTemp Folder, bspw. mit dem Namen UDDB2B6.tmp.

Die Dateien sind nun weg, aber der Defender motzt bei jedem Neustart, aber im Log wird gar nichts mehr angezeigt, ausser: "Fertigstellen der Einrichtung". Bei jedem Neustart.

Ergänzung (5. September 2025)

Hier sind ähnliche Reports: https://learn.microsoft.com/en-us/answers/questions/5545190/threats-detected-trojan-win32-vigorf-a

joel · 5. September 2025

Erstelle ein Rettung-USB-Stick, und checke dein System mit einem Linuxsystem.

cvzone · 5. September 2025

AnkH schrieb:
Trojan:Win32/Vigorf.A

Jop, gleiche Meldung hatte ich eben auch in der C:\WINDOWS\system32\Drivers\WinRing0x64.sys, direkt nach dem Windows Update vom Tool zur Entfernung schädlicher Dateien.

Wo bin ich hier · 5. September 2025

https://github.com/Rem0o/FanControl.Releases

AnkH · 5. September 2025

Aha, drum findet wohl Malwarebytes auch nichts... was für ne Scheisse...

PC295 · 5. September 2025

Das ist nicht das erste mal das der Defender wegen FanControl und andere Monitoring-Tools meckert:
https://www.golem.de/news/winring0-...ploetzlich-als-bedrohung-ein-2503-194314.html

kartoffelpü · 5. September 2025

@PC295 hast du ein NICHT vergessen? Gab's im März ja schon mal...

PC295 · 5. September 2025

kartoffelpü schrieb:
hast du ein NICHT vergessen?

korrigiert 👍

mibbio · 5. September 2025

PC295 schrieb:
wegen FanControl und andere Monitoring-Tools meckert

Solche Programme nutzen halt gerne mal tieferliegende Systemfunktionen oder verwendeen Mechanismen, die denen von Schadware ähnelt. Da Virenscanner dabei erstmal nicht zwischen legitimer oder schadhafter Nutzung unterscheiden können, und es von der internen Whitelist nicht erkannt wird, kommt es eben gerne mal zu False-Positives.

Luftgucker · 5. September 2025

Dass ein Ring0 Treiber eine Totalbedrohung ist sollte jedem klar sein. Aber wenn mans braucht kann man den ja whitelisten.

Renegade334 · 5. September 2025

AnkH schrieb:
Malwarebytes findet nichts. Es soll sich um diesen Trojaner handeln: Trojan:Win32/Vigorf.A

Hatte ich gestern auf einer Firma auch bei einem ranzigen Treiber für ein HP Touchpad.
Die Meldung kam zusammen mit einer Ring0 Warnung.

Wenn man die Meldung genauer anschaut, scheint es um verwundbare Treiber zu gehen. Der Defender hat also vermutlich einen angreifbaren Treiber von FanControl als unerwünscht erkannt.

AnkH · 5. September 2025

Und was ist mit den .tmp Dateien im SystemTemp Ordner? Auch da findet Malwarebytes nix (mehr)...

PC295 · 5. September 2025

AnkH schrieb:
Und was ist mit den .tmp Dateien im SystemTemp Ordner?

Die gehören auch zu FanControl und werden mit jeden Start neu erstellt.
Deswegen hast du bei jeden Neustart Fundmeldungen.

BFF · 5. September 2025

midwed schrieb:
Einzige Lösung, die nachhaltig Ruhe und (erneute) Sicherheit bringt.

Nicht nur.

Das Melden als False Positiv an MS hilft ungemein. Wenn der Robot dort nix findet oder im zweiten Anlauf der Mensch sind recht schnell neue Signaturen für den Defender da die man per kurzen Befrhl in der cmd auf das Gerät bekommt.

Nachen wir fast wöchentlich.

midwed · 5. September 2025

Für einen selbst und sein System (primär).

Für einen Privatanwender wäre immer meine primäre Prämisse, einen etwaigen Befall so schnell wie möglich zu beseitigen und selbst wieder ein sicheres System zu haben. Selbst wenn es ein 'False Positive' war, was sich primär wohl nicht (immer) absolut sicher abschließend klären lässt und mich somit nicht vollends zufrieden stellen würde; warten (auf Rückmeldung oder Update der Signaturen) wäre da für mich auch keine Option in der "Aktuphase".

Wenn es ein sicherer 'False Positive' ist wie unter Umständen hier (Beitrag #9 und #11), dann von mir aus. Aber da kann ein einzelner User nun vermutlich nicht so viel ausrichten, wenn der Entwickler und MS das schon wissen im Prinzip.

Blöde Situation für den TE, sollte/n es FanControl und/oder andere Monitoring-Tools sein.

Win11 Defender seit heute am Durchdrehen

Admiral

Commodore

Fleet Admiral

Captain

Rear Admiral

Admiral

Rear Admiral Pro

Fleet Admiral

Lt. Commander

Admiral

Commodore

Admiral

Commodore

Admiral

Captain

Lt. Commander

Admiral

Commodore

¯\_(ツ)_/¯

Rear Admiral

Ähnliche Themen