[English]Das Tool Winaero Tweaker wurde vom Windows Defender irrtümlich als Hacker-Tool bzw. unerwünschte Software eingestuft und in Quarantäne gesteckt. Das Ganze scheint inzwischen aber wieder behoben zu sein.
Anzeige
Der Winaero Tweaker ist ein Tool für Windows 7 bis Windows 10, mit dem man bestimmte Informationen abrufen und Anpassungen vornehmen kann.
Ich hatte es bereits die Tage bei den Kollegen von deskmodder.de gelesen. Einem Benutzer war aufgefallen, dass der Winaero Tweaker plötzlich unter Windows 10 als potentiell unerwünschte Software (PUS) in Quarantäne gesteckt und somit geblockt wurde. WinAero hatte das in diesem Artikel thematisiert. Hier einige Screenshots, die WinAero von diesem Vorfall gepostet hat.
Anzeige
In obigem Screenshot gibt es konkret den Hinweis, dass ein Virus im Winaero Tweaker gefunden worden sei. Die nachfolgende Toast-Benachrichtigung zeigt ebenfalls einen Fund.
Im nachfolgenden Screenshot wurde dann eine detailliertere Erklärung nachgereicht. Das Programm wurde als Hacking-Tool ausgewiesen.
Das war aber ein falscher Alarm, der Winaero Tweaker enthält keine Schadsoftware und ist kein Hacking-Tool. Inzwischen hat Microsoft den Fehler wohl bemerkt und das Ganze mit einem Definitionsupdate, welches den Defender auf die Version 1.313.1221.0 hebt, korrigiert.
Bleeping Computer hatte das Ganze hier aufgegriffen. Windows Defender verwendet Heuristik und KI, um Programme als bösartig zu klassifizieren, aber manchmal machen diese "intelligenten Systeme" Fehler. "Der Kompromiss eines intelligenten, skalierbaren Ansatzes besteht darin, dass einige unserer aggressiveren Klassifizierungen von Zeit zu Zeit normale Dateien fälschlicherweise als bösartig klassifizieren (False Positives). Obwohl False Positives im Vergleich zu der großen Anzahl von Malware, die wir korrekt identifizieren (echte Positivmeldungen) und vor der wir unsere Kunden schützen, ein sehr kleines Vorkommnis sind, sind wir uns der Auswirkungen bewusst, die falsch klassifizierte Dateien haben können", schreibt Michael Johnson von Windows Defender Research.
Anzeige
Laden Sie sich mal die NirSoft Suite als ZIP herunter und packen die mal aus… Da können Sie mal sehen, wie Defender geradezu ausflippt…
Der Defender hat schon von mir selbst geschriebene Programme entfernt, weil angeblich ein Trojaner 'drin ist…
Diesen Fehlalarm werte ich als nützlich. ;)
Die NirSoft Suite wird in der Tat von einigen AV-Programmen beanstandet.
Da, wo ich sie runterlade, wird die zip-Datei passwortgeschützt, was schon mal sicherstellt, dass das Archiv zumindest unbeschädigt beim Empfänger ankommt.
Nun ja, zu NirSoft habe ich noch was in Petto – bin nur noch nicht dazu gekommen, das zu thematisieren. Nur so viel: Die AV-Programme haben Recht.
Da bin ich aber gespannt.
Ich hoffe Du lässt uns nicht allzu lange auf den Artikel warten.
MfG
Matthias
Dümpelt schon 2 Monate bei mir auf dem Stack – erst habe ich Sofer Nir Gelegenheit gegeben, zu reagieren. Da er aber toter Mann spielt, werde ich das bei Lust und Zeit offen legen. Nur so viel: Ich würde aus Sicherheitsgründen die Finger von lassen.
Okay.
Das klingt besorgniserregend.
Ich hatte bisher immer den Regscanner von Nirsoft für die Fehlersuche eingesetzt.
Dann suche ich mir mal eine Alternative.
Danke schon mal für den Hinweis und frohe Ostern!
MfG
Matthias
Besorgniserregend? – Jaein, ich würde aber schon gerne erfahren, um was es konkret geht. – Ich verwende bei Bedarf auch schon mal ein NirSoft-Tool. Bei denen meckert keines der 50 oder 60 AV-Programme, die bei VirusTotal gelistet sind, auch nicht der Microsoft Defender. Die NirSoft-Suite verwende ich nicht. Dass bei der NirSoft-Suite AV-Programme anschlagen, ist (soweit ich weiß) weder neu noch überraschend, sondern erwartbar, weil die NirSoft-Suite „Werkzeuge" enthält, die Dinge tun, die ins klassische Arbeitsspektrum von Hackern fallen … Besorgniserregend ist so gesehen eher, dass es AV-Programme gibt, die bei der NirSoft-Suite nicht anschlagen …
Das ist aber wieder das alte Thema mit NirSoft. Hatten wir hier schon des öfteren.
Richtig ist, dass die AV-Programme dass erkennen. Es ist auch kein Spielzeug.
Außerdem weist NirSorft auch selbst darauf hin.
Insofern ist es kein "false positive". @Ralf Lindemann hat Recht. Ich habe mal meine Passwörter für Outlook gebraucht und mein Mütterlein hatte diese auch vergessen. Bei so was muss man ruhig arbeiten, den AV-Scanner ausschalten und dann geht es. Es empfiehlt sich auch den PC vom Internet zu trennen. Das Ganze dauert nur kurz.
MSE und Defender erkennen ganz andere Installations-exe-Dateien als Trojaner. Das ist ärgerlich. Ich habe mich daran gewöhnt, installiere das und entferne die Installationsdatei und dann ist Ruhe. Ich berichtete auch des öfteren hier. Ich habe gerade bei mir so einen ähnlichen Fall den nun Malwarebytes moniert. Man muss solche Fälle sich genau anschauen, bei was der AV-Scanner anschlägt und dann mal nachforschen. In der Regel schlagen die AV-Programme (nach Jahren) bei Installationsdateien an, nicht bei dem Programm selber.
Ich bin auch an Deinen Informationen zu NirSoft interessiert. Zwar nutze ich nur eine handvoll Werkzeuge, diese aber (bislang) durchaus überzeugt und zufrieden.
Wenn da nun was Kritisches bekannt ist, würde ich natürlich gerne entsprechende Maßnahmen treffen.
Immerhin erkennt MS an, dass es von Zeit zu Zeit zu "False Positives" kommen kann. (wie jeder ander AV-Hersteller)
Mein angepasstes Fernwartungstool (Chunk-VNC) wurde vor kurzem ebenfalls geblockt. Nach einer Meldung mit 2 Sätzen dazu war das in 30 min. erledigt. Hätte ich so nicht erwartet.
Versucht das mal mit Google! Mittlerweile wird vor meiner Webseite gewarnt, da sie angeblich "Schadsoftware" bereithält. "False-Positive" melden bei Google? Fehlanzeige. Die kennen den Begriff nicht mal. Big Brother ist unfehlbar. Man kann das File herausnehmen und dann melden, dass man "clean" ist. Gehts noch? Oder natürlich verschlüsseln, wozu ich gerade nicht komme. Wobei, in der Zeit, in der ich das hier schreibe… Aber egal, es geht ums Prinzip.
"Don't be evil. Don't google!"
Buc
Und lass uns nicht zu lange auf die Nirsoft-Story warten. Der ist für mich bisher über jeden Verdacht erhaben… ;-)
Ich finde die NirSoft Tools sehr nützlich. Auf meinem Server sind einige Netzwertools aus der Suite im Autostart, z.B. das, was das Subnetz ständig nach Systemen durchsucht, so sehe ich was in meinem Heimnetz so los ist. Die Tools zum Auslesen der im Browser und Mailprogrammen gespeicherten Accountdaten habe ich benutzt, um die mal alle in Keepass zu speichern. Damit ich meine Ruhe vor den Warnungen habe, habe ich im Defender den Ordner, in dem die NirSoft Suite liegt, jeweils als Ausnahme hinzugefügt. Daher bin ich sehr gespannt auf den NirSoft Artikel.