[English]Lustige Geschichte, auf die mich Blog-Leser Paul B. gerade aufmerksam gemacht hat. Der Windows Defender löst einen Fehlalarm bei einer Windows-eigenen Datei aus, weil diese angeblich einen Trojaner Win32.AccessibilityEscalation.a enthält.
Anzeige
Paul schrieb mir dazu folgenden Text (danke für die Info und den Screenshot):
Nach den heutigen Update der Virensignaturen für den Defender KB2267602 erkennt dieser die "osk.exe" von Microsoft, zu finden im \system32-Verzeichnis, als Trojaner infiziert.
Dabei handelt es sich um das " On Screen Keyboard" die Windows eigene Bildschirmtastatur.
Spass mit Microsoft!
Noch jemand von diesem Fehlalarm bezüglich des Trojaners Win32.AccessibilityEscalation.a betroffen?
Ergänzung: Kein Fehlalarm – it's by design
Es wurde ja in nachfolgendem Kommentar kurz angesprochen – das ist kein Fehlalarm, sondern eine Schutzmaßnahme des Betriebssystems. Der Defender-Alarm tritt immer auf, wenn Systemdateien scheinbar manipuliert wurden. Ich habe am Ende des Beitrags Vom Windows-Administratorkonto ausgesperrt – II ein paar Informationen nachgetragen, die erläutern, was Sache ist.
Anzeige
Anzeige
Hallo, KB2267602 hat bei mir noch keinen Fehlalarm ausgelöst.KB2267602 gibt es schon sehr lange, lediglich die Definitionen ändern sich ja ständig. Bei mir aber auch dort keinen Fehlalarm. Habe gerade einmal die Bildschirmtastatur getestet aber auch beim benutzen dieser keinen Alarm.
Nö!
macht defender nicht. egal ob w7-osk oder w10.
auch virustotal sagt: Null.
Da ist dann wohl was anderes faul…
nö , bei mir auch kein problem mit der "osk.exe"
Vielleicht befand sich ja ein Trojaner gleichen Namens auf dem System, vgl. https://www.symantec.com/security-center/writeup/2016-030408-0817-99
Simillary am also getting alerts for "sethc.exe" and "utilman.exe" as Trojan:Win32/AccessibilityEscalation.a Trojan.
Hier ist der Defender mit diesen Versionen:
Antimalware-Clientversion: 4.18.1807.18075
Modulversion: 1.1.15200.1
Antiviren-Version: 1.275.898.0
Antispyware-Version: 1.275.898.0
Alles von Heute 07.09.2018 von 11:38:49.
Alles easy, keine Alarme irgendwelcher Art.
Auf dem Bildschirmfoto ist der Defender aus oder.
Windows released this signature last week.
This alert is generated, if you replace cmd.exe to Seth.exe, utilman.exe, osk.exe for privilege escalation in windows.
After the execution of this replaced file defender will trigger it as Accessibility escalation and removes the file.
So no more windows login bypass is possible from now onwards if defender is fully updated.
Nö, hatte ich auch, mit MSERT auf nem uralten 2k3-Server
Threat detected: Trojan:Win32/AccessibilityEscalation.A
file://C:\WINDOWS\system32\sethc.exe
SigSeq: 0x00002E964F5EE241
SHA1: e6da68dc4004009faaae568c11363d4237fb7bae
Interessant, MSE erkennt am 11.09.2018 diverse Programmdateien vom Hersteller EaseUS als PUA:Win32/FusionCore
MS schreibt dazu in Ihrer Datenbank:
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=PUA%3aWin32%2fFusionCore&threatid=229442&enterprise=0
Ich habe von EaseUS nur die Freeversionen zum testen installiert. Hat das jemand auch festgestellt?
I have exactly the same problem : AccessibilityEscalation.A seen as virus.
This happened after I assisted a friend , who lost his Windows local logon password.
To overcome that problem . I have replaced utilman.exe in cmd.exe
( then at poweron , when you select onscreen keyboard , you will get a cmd screen , so that you can create a new logon etc….
When I replace utilman.exe with the original one ( instead of cmd ) the virus is not found
Och Günther, jetzt bin ich aber enttäuscht von dir.
Bringe diese Meldung doch bitte mal im Zusammenhang mit Utilman.exe
Na? Klingelt das was? Jetzt verstehst du weinigstens warum ich so enttäuscht bin.
Für alle die mit dem Tipp nichts anfangen können:
Bei diversen Problemen und Crypto-Trojanern war es echt hilfreich eine CMD oder andere Systemtools zu starten. Blöd nur, wenn der Crypto-Trojaner direkt nach der Anmeldung den Zugriff auf die CMD verhinderte. Man musste also eine Möglichkeit schaffen, die CMD zu starten, bevor man sich einloggt.
Allerdings hat man ja nicht viele Möglichkeiten ein Programm vor Login zu starten (https://goo.gl/images/uSQ1B6)
Einzige Möglichkeit? Systemprogramme auszutauschen und den Programmverweis damit auszutricksen. Beispiel
Eine Kopie der Ultilman.exe (Erleichterte Bedienung) anfertigen und anschließend das Original gegen die cmd.exe auszutauschen.
Schon konnte man Versuche unternehmen um den Trojaner zu killen.
Als kleines Beispiel, bei dem dies so gemacht wurde GemaVirus3.0 (https://www.youtube.com/watch?v=szFJxqRviuo)
In der Videobeschreibung ist auch der Link, wie man diese Systemdatei ändert.
Also: Microsoft erkennt sich jetzt nicht selbst als Virus, sondern möchte den Nutzer auch vor diesem Angriff schützen und warnt ihn deshalb, dass Systemdateien genutzt werden können um Angriffe zu starten
Mit freundlichem Gruß
InformatikTube
Ok, der Kommentar steckte im Spam-Ordner und ist mir heute untergekommen. Das Thema ist inzwischen oben im Text, an anderen Stellen und in nachfolgendem Kommentar angesprochen. Der Kommentator zieht das Ganze zu einem Link zusammen – da versteht man mit wenigen Worten, um was es geht ;-)
Kein Fehlalarm. Siehe https://www.administrator.de/wissen/gute-alte-utilman-hack-funktioniert-fortan-abgesicherten-modus-391076.html
Mit diesem Fehler
"Letzter fehlerhafter Installationsversuch: 12.03.2020 – 0x80070643"
versucht Windows andauernd dieses Update zu wiederholen; bis heute!
Was soll dass?
Windows 10 Pro
Build 18363.730
KB4541335 läuft gerade