Windows Defender meldet fälschlich Trojaner

[English]Benutzer von Windows scheinen in den letzten Tagen wohl durch Fehlalarme des Windows Defender aufgeschreckt worden zu sein. Der Virenschutz glaubte plötzlich den Trojaner Win32/Bluteal.B!rfn in regulären Dateien erkannt zu haben.


Anzeige

Erste Meldungen Ende Mai 2018

In den letzten Tagen haben sich verschiedene Nutzer in den Foren von Bleeping Computer und weiteren weiteren Webseiten wie Toms Hardware gemeldet, die über Fehlalarme klagen. Bei Toms Hardware schreibt (Link gebrochen) ein Benutzer am 1. Juni 2018:

So yesterday Windows Defender notified me saying it found Bluteal.B!rfn trojan which I got it to quarantine and then remove. I couldn't find a lot of info after googling the trojan so decided to hopefully get some advice here.
I received the notification about the trojan when I was loading up Unity and Visual Studio, it said that the affected file was:

C:\Windows\assembly\NativeImages_v4.0.30319_32
\Microsoft.Vde5ed89a#\457b4a4c20bed2246e03f1f9e5eaa1a5
\Microsoft.VisualStudio.Utilities.Internal.ni.dll

Could Windows Defender be getting confused and it's just a false positive? I thought I had read somewhere that Windows Defender is okay for protection these days but maybe I should go back to Avast or Avira?
I've run a scan with Malware Bytes and a standard scan with Windows Defender but should I use something else to do a deeper scan if this was in fact a legit trojan? I've since made sure to update Windows 10 in case that has any part of this.

Im Technet-Forum gibt es hier einen Tread, der am 1. Juni 2018 gestartet wurde. Auch dort wurde ein Trojaner in der Visual Studio-Komponente gemeldet. Der Fall wird in diesem Forenthread von mehreren Nutzern bestätigt. In der Developer-Community gibt es seit dem 31. Mai 2018 bereits diesen Thread, der auf den Fall hinweist.

Bericht bei Bleeping Computer

Bei Bleeping Computer gibt es hier eine Meldung eines Benutzers zu einem Fund des Trojan:Win32/Bluteal.B!rfn. Lawrence Abrams hat es hier aufbereitet. Dort bemängelte der Defender die legitime Datei:

C:\Windows\assembly\NativeImages_v4.0.30319_64
\Microsoft.C26a36d2b#\daf01e12fa59ed340363c44b7deff15e\
Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll


Anzeige

Trojaner-Meldung
(Quelle: Bleeping Computer)

Auch bei Microsoft Answers findet sich dieser Thread wo ein Benutzer sich über sporadische Funde beklagt:

been getting this trojan message through windows 10 defender periodically today which gets quarantined by defender. malewarebytes, microsoft safety scanner and adwcleaner do not find anything, is Trojan:Win32/Bluteal.B!rfn a false positive by windows 10 defender

Auch bei reddit.com findet sich hier ein frischer Thread, wo ein Fehlalarm in der oben erwähnten Datei Microsoft.CertificateServices.PKIClient.Cmdlets.ni.dll thematisiert wird. Laut dem Artikel bei Bleeping Computer reichen die Funde von CPU-Minern bis hin zu Windows-Dateien. Zum Trojaner Trojan:Win32/Bluteal.B!rfn selbst gibt es bei Microsoft wenig Informationen. Die Definition wurde laut der Seite zum 18. Mai 2018 aufgenommen.

Ich gehe davon aus, dass es sich um einen falschen Alarm handelt. Eine offizielle Stellungnahme von Microsoft gibt es nicht. Gegenüber Bleeping Computer hat Microsoft aber einen Fehlalarm bestätigt. Dort empfiehlt man, nach neuen Defender Updates suchen zu lassen. Dann sollte das Problem behoben sein. War jemand von euch betroffen?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Windows Defender meldet fälschlich Trojaner

  1. madamsel sagt:

    dazu ein update der "Modulversion":
    1.1.15000.2
    windows 8.1

  2. Herr IngoW sagt:

    Fehlalarme gibt es doch bei anderer Antiviren-Software doch auch reichlich, wenn darüber ständig sich jemand auslassen würde, könnte man nichts andres lesen.
    Hier die aktuellen Versionen der Komponenten des Defender's:

    Systeminformationen:
    Antimalware-Clientversion: 4.18.1806.18062
    Modulversion: 1.1.15000.2
    Antiviren-Version: 1.271.159.0
    Antispyware-Version: 1.271.159.0

  3. Dekre sagt:

    Im Zweifel mal auf Virustotal hochladen und vor allem schauen, was das für eine Datei ist. Ansonsten nach MS senden.

  4. Guido sagt:

    Ich hatte diesen wohl falsch positiven Alarm noch nicht. Habe in den letzten Tagen einmal am Tag einen kompletten Scan durchgeführt. Ohne Probleme.

  5. Martin sagt:

    Ein wenig off topic, aber mir ist unter Windows 7 schon seit Tagen aufgefallen, dass Windows-Update keine Defender Updates mehr meldet, weil er über Windows-Update keine findet. Ich habe eben extra Windows-Update nochmal manuell angestoßen, obwohl es vor 3 Stunden schon automatisch durchlief, und wieder nichts.

    Das Seltsame ist, dass ich jeden Freitag den Defender eine Schnellüberprüfung mache lasse und ihn so eingestellt habe, dass er zuvor nach Updates sucht und sie auch gleich installiert.

    Jetzt habe ich den Defender mal gestartet und die letzte Version der Definitionen war 1.269.1075.0 vom 11.06.2018, 16:50 Uhr. Nach einem Klick auf "Jetzt nach Updates suchen" wurde 1.271.193.0 vom 28.06.2018, um 21:10 Uhr installiert.

    Sehr merkwürdig! Hat dieses Problem noch jemand beobachtet?

    • Ralf Lindemann sagt:

      Ja, mir ist das gestern auch aufgefallen: Über Windows Update kam seit dem 18.06. nichts, die manuell angestoßene Update-Suche über die separate Update-Funktion im Defender lieferte sofort ein Definitionsupdate. Ich bin mir aber nicht sicher, ob das wirklich ein Problem ist. Vielleicht ist es auch nur eine vorübergehende Abweichung von der Norm. Muss man mal abwarten.

      • Martin sagt:

        Ah, danke! Ich nutze ihn zwar nur zusätzlich zu einem Dritthersteller, aber wenn er schon mitgeliefert wird und es ja kein Hintergrundscanner ist, der stören könnte, kann man ihn ja regelmäßig zusätzlich drüberlaufen lassen. Wenn man aber jetzt immer erst vorher manuell updaten muss, ist der geplante Scan ja sinnlos. Dann schalte ich den ab. Mal sehen. Vielleicht geht es jetzt ja wieder. Ansonsten warte ich die Windows-Updates für Juli noch ab.

    • Günter Born sagt:

      Ich stelle gerade fest, dass der Defender hier deaktiviert ist (Win 7 und MSE). Da scheinen die Microsoft Security Essentials den Defender abgeschaltet zu haben. Es gibt zwar die Möglichkeit, den Defender manuell zu aktivieren, aber wozu?

    • Dekre sagt:

      Der Defender in Win 7 ist anders gestrickt als in Win 10. Er bietet weniger Schutzumfang und weniger Einstellungen. Dafür sollte man sich den MSE installieren. Hat man in Win 7 keinen anderen AV-Scanner installiert, so aktiviert sich der Defender. Hat man dann einen weiteren installiert, bspw den MSE so schaltet sich der Defender wieder ab oder das Sicherheitscentrum meldet, dass zwei AV-Scanner da sind und einer deaktiviert werden sollte.
      Hinweis: Malwarebytes Premium läuft nicht unter der Rubrik AV-Scanner. Deshalb kann man den MSE und Malwarebytes Premium haben. Hat man Malwarebytes Free, so ist es egal, da kein Echtzeitschutz etc.

    • Ralf Lindemann sagt:

      Ich schiebe mal eine kleine These hinterher: Auf meinem Rechner läuft der Windows 7-Defender parallel neben einem „vollwertigen" AV-Produkt. Der Windows 7-Defender war und ist aktiviert und wurde bis zum 18.06. regelmäßig über Windows Update mit aktuellen Definitionsupdates versorgt.

      Was ist am 18.06. passiert? – Am 18.06. habe ich (etwas verspätet) den Juni-Patchday auf meinem privaten Win 7-Rechner nachgeholt. Unmittelbar vor Installation von KB4284867 (Securtiy Only) kam das letzte Definitionsupdate. Seit der Installation von KB4284867 ist tote Hose. Kollateralschaden? Oder bewusst von Microsoft abgeschaltet, also kein Fehler? Warum lassen sich dann aber Definitionsupdates über den separaten Updater im Defender beziehen? Man weiß es nicht. Wirklich ein Problem ist aber nicht. Dekre hat etwas zur Schutzwirkung des rudimentären Windows 7-Defender gesagt: der war immer ein bisschen ein Phantomprogramm … ;-)

      • Günter Born sagt:

        Bzgl. der Schutzwirkung des Defenders ist mir der Sachverhalt klar. Und mein Wissen war, dass der Defender in W7 immer deaktiviert wird, sobald eine AV-Lösung von Drittanbietern auf das System kommt. Interessant ist, dass sich seit dem Juni-Update möglicherweise was geändert hat.

        • Ralf Lindemann sagt:

          „Möglicherweise" trifft es. Nicht ausgeschlossen, dass sich die angerissene Problematik in Wohlgefallen auflöst. Fehlermeldungen, die auf Probleme mit den Definitionsupdates hindeuten, finden sich nicht in der Ereignisanzeige; ich konnte auch sonst keine Hinweise finden, die irgendein Problem mit Windows Update anzeigen. – Ein Blick in „WindowsUpdate.log" (*) fördert auch nichts zu Tage, außer dass Windows Update heute erfolgreich nach Updates für Windows Defender gesucht und keine Updates gefunden hat. Tja, das ist für heute auch richtig – der separate Defender-Updater hat auch nichts gefunden. Seltsam. …
          _______________
          (*) „2018-06-29 10:23:19:454+0200 1 147 101 {00000000-0000-0000-0000-000000000000} 0 0 Windows Defender Success Software Synchronization Windows Update Client successfully detected 0 updates."

      • Günter Born sagt:

        Zum bewussten Abschalten: Ich habe mal gerade einen Blog-Beitrag im englischsprachigen Blog (deutschsprachiger Beitrag hier) zum obigen Update-Problem verfasst – bei askwoody.com ist auch ein Nutzer eingeschlagen. Beim Schreiben des Blog-Beitrags bin ich auf einen älteren Post mit dem Hinweis gestoßen, dass Microsoft Windows Defender ATP-Support in Windows 7/8.1 einführen will. Wird irgendwann im Sommer/Herbst soweit sein. Da wird man den Defender jetzt nicht deaktivieren. Ich gehe von einem Bug aus.

  6. Martin sagt:

    Ah, jetzt wo Du schreibst, dass Du den Juni-Patchday verspätet durchgezogen hast und da eine Verbindung herstellst, kam ich erst auf die Idee in meinen Updateverlauf zu schauen. Und voilà: Das letzte Defender-Definitionsupdate über Windows-Update wurde am gleichen Tag wie das Juni-Rollup installiert.

    Einige Dritt-AV-Produkte schalten bei ihrer Installation den Windows 7 Defender ab, andere (das von mir benutzte) wiederum nicht. Probleme gab es bei mir da zu keiner Zeit.

    • Dekre sagt:

      Schau mal im Wartungscenter und "Sicherheit" voll ausklappen, dann auf "Antisywareprogramme auf den Computer anzeigen" klicken. Mehr als einen aktivieren ist sinnlos, da es den PC einerseits verlangsamt und dann sich streiten wer Siegesmund sein darf.
      Ist ein weiteres AV-Programm aktiviert, bekommt der Defender in Win 7 keine Updates. Die Update-funktion schaltet sich dann ab.

      • Martin sagt:

        Soweit ich mich erinnere, erlaubt Eset in seinen FAQ explizit den Defender eingeschaltet zu lassen. Das war natürlich auch im Forum schon Thema und Eset ist dort sehr aktiv. Das funktioniert auch schon jahrelang ohne das geringste Problem.

    • Martin sagt:

      Man kann es sich denken, aber ich habe vergessen auf "Antworten" (zu Ralf Lindemann) zu drücken.

      Ich werde den Task in der Aufgabenplanung mal um den Parameter "-SignatureUpdate" erweitern, obwohl ich im Defender ja den Haken bei "Vor der Überprüfung nach aktualisierten Signaturen suchen" gesetzt habe, was aber ebenfalls nicht mehr funktioniert. Offenbar ist diese Option von Windows-Update abhängig. Da es aber manuell geht, funktioniert es vielleicht über den Command Line Parameter.
      https://technet.microsoft.com/en-us/library/gg131918.aspx

  7. Günter Born sagt:

    Beachtet den neuen Blog-Beitrag) zum obigen Update-Problem.

  8. Michael sagt:

    Das mit den Fehlalarmen scheint wieder aktuell beim Defender mit Definitionsupdate 1.389.xxx zu sein, denn ich habe bei meinen Kunden ständig das Problem, dass vermeintliche Trojaner rausgefischt werden, obwohl die anderweitig geprüft, ganz ungefährliche PDF Dateien oder Bilder!
    Ist da Irgendeine Lösung bekannt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.