Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Selbe Datei laut Defender einmal positive und einmal nicht

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 18.04.2022, 02:11   #1
Gleitlager
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Ist das normal? Ich habe keine Ahnung wie ich das interpretieren soll. Es sieht zwar aus wie false positive, aber...



Vorfall: Ich installiere ein altes Spiel über Steam (normale Kaufversion), starte es, Defender findet etwas in der exe...

Reaktion: Überprüfung der exe mit Defender, MBAM und Virustotal, sauber...

https://www.virustotal.com/gui/file/69b32cbab53bcfddfabdea27d41f5a2877a1beff1f6f1dba00bcb360ea91979e/detection

Code:
ATTFilter
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=VirTool:Win32/CeeInject.gen!FG&threatid=2147648389&enterprise=0
 	Name: VirTool:Win32/CeeInject.gen!FG
 	ID: 2147648389
 	Schweregrad: Schwerwiegend
 	Kategorie: Tool
 	Pfad: process:_pid:10196,ProcessStart:132947166198421280
 	Erkennungsursprung: Unbekannt
 	Erkennungstype: Standard
 	Erkennungsquelle: System
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: [...]\SteamLibrary\steamapps\common\Crysis 2 Game of the Year\bin32\Crysis2.exe
 	Sicherheitsversion: AV: 1.363.526.0, AS: 1.363.526.0, NIS: 1.363.526.0
 	Modulversion: AM: 1.1.19100.5, NIS: 1.1.19100.5
         
Erneuter Versuch das Spiel zu starten

Code:
ATTFilter
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=VirTool:Win32/CeeInject.gen!FG&threatid=2147648389&enterprise=0
 	Name: VirTool:Win32/CeeInject.gen!FG
 	ID: 2147648389
 	Schweregrad: Schwerwiegend
 	Kategorie: Tool
 	Pfad: process:_pid:5236,ProcessStart:132947173319625142
 	Erkennungsursprung: Unbekannt
 	Erkennungstype: Standard
 	Erkennungsquelle: System
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: [...]\SteamLibrary\steamapps\common\Crysis 2 Game of the Year\bin32\Crysis2.exe
 	Sicherheitsversion: AV: 1.363.526.0, AS: 1.363.526.0, NIS: 1.363.526.0
 	Modulversion: AM: 1.1.19100.5, NIS: 1.1.19100.5
         
Aber komischerweise sind direkte Kontrollen der exe sauber. Wenn ich den Spielordner mit Defender oder MBAM kontrolliere (Rechtsklick auf Ordner), bewerten die Programme den auch als sauber.

Mein großes Problem ist jetzt, dass Kontrollen von der exe und dem Spielordner sauber sind, aber beim starten des Spiels die genannte Detection kommt und ich nicht weiss wie ich diese Zweideutigkeit interpretieren soll. Ich habe versucht danach diesem zweideutigen Ergebnis zu suchen, aber nichts gefunden.

Geändert von Gleitlager (18.04.2022 um 02:18 Uhr)

Alt 18.04.2022, 02:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Es ist doch das alte Spiel!
Entweder vertraust du der binary oder nicht. Ein AV ist maximal nur ein Anhaltspunkt und ob er was findet oder nicht findet ist kein Garan für irgendwas.
__________________

__________________

Alt 18.04.2022, 03:06   #3
Gleitlager
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Ja, das habe ich verstanden. Ich finde es nur eigenartig, dass der Defender bei aktiver Kontrolle (sowohl Rechtsklick auf die Datei als auch auf den Spielordner) keine Detection hat, aber der Passivscanner hat eine Detection, wenn ich das Spiel starte. Ich bin verwirrt, weil ich gedacht hätte, dass beides das gleiche Ergebnis haben sollte.

Inzwischen ist mir auch ein Fehler meinerseits aufgefallen. Ich hätte zuerst im Steam Forum schauen sollen. Dort wird mehrfach von einem false positve mit dem Defender berichtet und das DRM wird als Ursache bezeichnet.

Formhalber habe ich mal mit MBAM und vollständiger Scan vom Defender den Rechner überprüft und das war sauber.
__________________

Alt 18.04.2022, 03:13   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Was ist denn jetzt nun eigenartig wo du um die Schwächen von Virenscanner weißt?

Du kannst dich auch kirre machen und mit Tausend Virenscannern herumscannen, die letzenendes kein Vertrauen nach einem Scan schaffen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.04.2022, 03:24   #5
Gleitlager
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Ich habe gedacht, dass der aktive und passive Scanner vom Defender die selbe Infektion bzw. das selbe false positive finden sollten.

Ist es normal, dass der aktive und passive Scanner verschiedene Ergebnisse haben können?


Alt 18.04.2022, 12:19   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Sowas wie aktiv oder passiv scannen gibt es garnicht. Was soll das bitte sein?!
__________________
--> Selbe Datei laut Defender einmal positive und einmal nicht

Alt 18.04.2022, 13:28   #7
webwatcher
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



aktiv = fleissiges Lieschen von sich aus

passiv = muß in den Hiintern getreten werden "Mach mal"
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 18.04.2022, 13:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Also ich versuch jetzt mal zu raten was gemeint ist: on-access / on-demand
Und falls ja: ja es ist ein Unterschied, ob der Wächter im Hintergrund anschlägt oder der manuelle (on-demand-) Scan. War zumindest vor ein paar Jahren noch ein riesiger Unterschied.

Ich weiß auch nicht wie oft das schon erwähnt wurde: kein Virenscanner arbeitet 100%ig zuverlässig. Woher kommt also immer diese Erwartungshaltung, dass ein AV perfekt sei und wenn es eben doch zu solchen komischen Ergebnissen kommt, man an alles mögliche denkt nur nicht, dass das AV eben komische Ergebnisse liefert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.04.2022, 18:32   #9
Gleitlager
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Zitat:
Zitat von cosinus Beitrag anzeigen
Also ich versuch jetzt mal zu raten was gemeint ist: on-access / on-demand
Und falls ja: ja es ist ein Unterschied, ob der Wächter im Hintergrund anschlägt oder der manuelle (on-demand-) Scan. War zumindest vor ein paar Jahren noch ein riesiger Unterschied.

Ich weiß auch nicht wie oft das schon erwähnt wurde: kein Virenscanner arbeitet 100%ig zuverlässig. Woher kommt also immer diese Erwartungshaltung, dass ein AV perfekt sei und wenn es eben doch zu solchen komischen Ergebnissen kommt, man an alles mögliche denkt nur nicht, dass das AV eben komische Ergebnisse liefert?
Ja, das war gemeint. Ich dachte, dass On-Access und On-Demand die gleiche Kontrolle durchführen und das deswegen beide das gleiche Ergebnis haben sollten.

Ich weiss, dass ein Scanner auch falsche Ergebnisse liefern kann. Die Google Recherche zu dem Fund bei diesem Spiel sieht so aus als ist das ein false positive.

Alt 21.04.2022, 09:14   #10
Bitdruide
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Zitat:
Zitat von Gleitlager Beitrag anzeigen
Ja, das war gemeint. Ich dachte, dass On-Access und On-Demand die gleiche Kontrolle durchführen und das deswegen beide das gleiche Ergebnis haben sollten.
Kommt ganz drauf an, aber gerade beim OAS ist Performance viel wichtiger. Microsoft macht im Rahmen von MVI auch seit einigen Jahren Vorgaben diesbezüglich. Je nachdem welche "Stufe" man erreicht, darf sich eine Firma dann an den von Microsoft gesammelten Telemetriedaten in unterschiedlichem Maße laben.

Beispielsweise gibt es überhaupt keine Gründe warum ein OAS jemals in Archiven buddeln sollte. Aber es ist sicher schon aufgefallen, dass sie es dennoch tun. Der Grund dafür ist, dass sich bei AV-Test eingebürgert hat Exemplare wie EICAR oder die AMTSO Security Features Check Tools auch in ZIP-Dateien usw. zu verpacken. Sinnvoll ist dies nicht. Malware kann nicht direkt aus einer ZIP-Datei ausgeführt werden, sondern landet immer zuvor auf der Platte, wo der OAS sie sieht. Selbst wenn man sich nun vorstellen würde, es würden Dateisystemtreiber für ZIP-Dateien entwickeln um den Inhalt als Volume ("Laufwerk") einzuhängen, sähe der OAS dann ein neues Laufwerk an welches er sich hängen kann (siehe Instanzen in fltmc).

Weiterhin laufen die meisten OAS als Dateisystemfiltertreiber im Kernelmode (KM). Manchmal ist die eigentliche Engine dann noch ein separater Treiber von dem Dateisystemfiltertreiber. Im KM gibt es eine Menge Einschränkungen. Um ein Beispiel zu geben: öffnest du in Excel ein Spreadsheet, läuft jede I/O-Anforderung (IRP) durch den Treiberstack. Sofern sie bei einem AV-Filter ankommt, kann dieser dann entscheiden den IRP weiterzuleiten oder ein Urteil (bspw. STATUS_ACCESS_DENIED) zu fällen und zurückzugeben. Dabei läuft der Code jedes Filtertreibers im Treiberstack in einem Thread von deinem Excel-Prozess. Will oder muss der Treiber nun beim Scan Fließkommaoperationen durchführen (bspw. beim Scan von PDFs und ähnlich komplexen Formaten), muss er auch explizit den Fließkommazustand bei Ankunft der Anfrage sichern und vor der Rückkehr wiederherstellen. Denn ansonsten "versaut" der Treiber dem Usermode-Teil des Prozesses den Fließkommazustand. Bei Excel kann man sich gut vorstellen wozu das führt. Des weiteren gibt es Beschränkungen bzgl. der Menge verfügbaren Speichers. Nicht alle Aktionen kann man überhaupt auf jedem IRQL durchführen usw. usf.

Kurzum: es gibt mehr Gründe warum es sich unterscheiden sollte, als es Gründe gibt OAS und ODS mit exakt gleichen Parametern laufenzulassen 😉

Alt 22.04.2022, 22:15   #11
Gleitlager
 
Selbe Datei laut Defender einmal positive und einmal nicht - Standard

Selbe Datei laut Defender einmal positive und einmal nicht



Ohhh, ich verstehe zwar nicht alles davon. Das mit AV-Test ist interessant, aber gut ein besseres Ergebnis dabei st ja auch ein Verkaufargument.

Ich hätte halt gedacht, dass die Scans anders ausgelöst werden, aber das gleiche passiert sobald die Scans ausgelöst sind.

Antwort

Themen zu Selbe Datei laut Defender einmal positive und einmal nicht
altes, andere, antivirus, bewerten, code, common, datei, defender, enterprise, informationen, installiere, kontrolle, mbam, microsoft, microsoft defender, normale, process, programme, rechtsklick, spiel, starte, steam, unerwünschte, virus, virustotal, win



Ähnliche Themen: Selbe Datei laut Defender einmal positive und einmal nicht


  1. Drucker wird auf einmal nicht mehr erkannt
    Netzwerk und Hardware - 06.07.2020 (4)
  2. Einmal Freeze und einmal Fehlermeldung während Surfen - Rechner ggf. infiziert?
    Alles rund um Windows - 02.02.2019 (1)
  3. 2 Fragen (einmal aufSeite geklickt und ein mal zu Mp3/Bild Datei)
    Diskussionsforum - 17.01.2018 (0)
  4. Flash Player 2x auf System, einmal veraltet, einmal neu
    Alles rund um Windows - 15.12.2017 (6)
  5. Rechner Langsam und öffnet zig mal eine Datei, obwohl nur einmal angeklickt
    Log-Analyse und Auswertung - 18.11.2016 (6)
  6. Windows 7: Computer piepst einmal laut beim hochfahren und braucht lange um hochzufahren
    Log-Analyse und Auswertung - 26.01.2014 (3)
  7. Bestimmte Internetseiten gehen auf einmal(!) nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 12.04.2013 (2)
  8. Integrierte WEbcam funktioniert auf einmal nicht mehr
    Alles rund um Windows - 08.06.2012 (2)
  9. Mein Internet geht auf einmal nicht mehr
    Alles rund um Windows - 27.03.2012 (1)
  10. 2 Mal selbes pogramm auf Pc (einmal 64 bit einmal normal)
    Alles rund um Windows - 21.02.2011 (2)
  11. Laptop auf einmal langsamer - Spiele nicht mehr möglich
    Log-Analyse und Auswertung - 23.08.2010 (0)
  12. WLAN bricht auf einmal ab oder connected nicht.
    Netzwerk und Hardware - 25.05.2010 (5)
  13. Auf einmal werden manche Internetseiten nicht angezeigt
    Log-Analyse und Auswertung - 19.04.2009 (4)
  14. Alle Mediaplayer funktionieren auf einmal nicht mehr!!!
    Alles rund um Windows - 28.02.2008 (3)
  15. Nicht einmal Formatieren geht!!!
    Log-Analyse und Auswertung - 25.06.2007 (2)
  16. Internet geht auf einmal nicht mehr
    Mülltonne - 30.12.2006 (1)
  17. MSN ICQ Explorer gehen auf einmal nicht mehr
    Alles rund um Windows - 06.11.2004 (1)

Zum Thema Selbe Datei laut Defender einmal positive und einmal nicht - Ist das normal? Ich habe keine Ahnung wie ich das interpretieren soll. Es sieht zwar aus wie false positive, aber... Vorfall: Ich installiere ein altes Spiel über Steam (normale Kaufversion), - Selbe Datei laut Defender einmal positive und einmal nicht...
Archiv
Du betrachtest: Selbe Datei laut Defender einmal positive und einmal nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.