Hallo zusammen!
Ich bin neu hier und Ihr wurdet mir von Dr.Windows empfohlen.
Ich habe heute mit Libre Office ein mir bekanntes Dokument bearbeitet und habe es als Anhang an eine Mail angehängt. Ich wollte dann nur kurz nochmal etwas kontrollieren und beim Öffnen des Anhangs meldet der Defender (Windows 10 Pro) den Fund Ransom W32/Cerber. Er hat diesen sofort in Quarantäne geschoben. Als infizierte Datei wird soffice.bin von Libre Office gemeldet im Verzeichnis c:\Program Files (x86)\LibreOffice 5\program\.
Das Office ist nicht mehr nutzbar. Anderweitig habe ich gelesen, dass andere Nutzer auch das Problem bei Libre Office haben und nach Deinstallation und neuem Aufspielen das Problem wieder auftaucht.
Hat jemand für mich hier einen Tipp?

Hi,

für sieht das stark nach einem Fehlalarm aus. Sonst hast du ja keine Funde gemeldet bekommen, nur die soffice.bin von Libre Office?

Hast du alle Updates installiert? Oft werden solche Fehler durch neue Signatureupdates behoben.

Ich habe meinen Defender so eingerichtet, dass er beim Start und alle Stunde nach Signaturupdates sucht. Die sollten an sich sehr aktuell sein. Auch ist das Office, bzw die Version nicht neu installiert, sondern schon eine Weile drauf. Auch habe ich keine unbekannte Anhänge usw. geöffnet.
Ich habe den Rechner nur gestartet, um kurz das Dokument zu bearbeiten und zu versenden. Und das stammt aus sicherer Quelle.

Denn deaktivier den Windows Defender mal und stell die Datei aus der Quarantäne wieder her. Sie sollte dann wieder im urspünglichen Pfad liegen. Anschließend bei https://virustotal.com auswerten lassen und Ergebnislink posten

OK, mach ich mal und melde mich wieder!
Danke erst mal!

Also ich habe die Datei mal laufen lassen, ausser Ikarus hat keiner etwas gefunden. Komischerweise nicht mal Windows
https://virustotal.com/de/file/bd2f72a484e719a0dc939f0e2f5a960b40c183d160d67531e163333bd9e16928/analysis/1476976868/

Dann ist das ein Fehlalarm. Prüf doch nochmal manuell die Windows-Updates, darüber kommen ja auch die Signaturen für den Defender rein.

Das beruhigt dann doch etwas. Meine jetzige Virendefinition des Defender wurde um 17:16 Uhr aktualisiert und hat die Version 1.123.50.0 von heute 14 Uhr.
Wie gesagt, die aktualisiert sich regelmässig. Bei den Updates ist alles aktuell, letzte Prüfung war um 17:39.

Vielen Dank erst mal!

Also deine Datei müsste ziemlich sicher in Ordnung sein.
Hab mir mal eben die portable Edition runtergeladen, die dieselbe Version hat wie deine:

Code: Alles auswählenAufklappen

ATTFilter

arne@fuckup:/tmp/libreoffice/LibreOfficePortablePrevious_5.1.5_MultilingualAll.paf/App/libreoffice/program$ md5sum soffice.bin 
0a93eeabbed5a97394b607cce87de342  soffice.bin

cosinus@fuckup:/tmp/libreoffice/LibreOfficePortablePrevious_5.1.5_MultilingualAll.paf/App/libreoffice/program$ sha256sum soffice.bin 
bd2f72a484e719a0dc939f0e2f5a960b40c183d160d67531e163333bd9e16928  soffice.bin
         

Hat mir dieselbe Prüfsumme gegeben wie das VT von deiner Datei anzeigt. Auch sha256 stimmt überein.

Bei mir liegt die Datei seit der Wiederherstellung wieder im richtigen Verzeichnis und es kommt keine Meldung mehr!
Office läuft auch wieder. Scheint also wirklich ein Fehlalarm gewesen zu sein!

1000 Dank für die Hilfe!

ok, sehr schön