{"id":263095,"date":"2022-03-03T00:06:20","date_gmt":"2022-03-02T23:06:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263095"},"modified":"2024-02-04T21:45:40","modified_gmt":"2024-02-04T20:45:40","slug":"microsoft-defender-meldet-flschlich-trojaner-auf-dell-rechnern-2-3-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/03\/microsoft-defender-meldet-flschlich-trojaner-auf-dell-rechnern-2-3-2022\/","title":{"rendered":"Microsoft Defender meldet fälschlich Trojaner auf Dell-Rechnern (2.3.2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es sieht so aus, als ob der Microsoft Defender unter Windows f\u00e4lschlich einen Trojaner meldet. Betroffen sind wohl Systeme von Dell, bei denen der DellSupportAssistRemedationService <\/em>bem\u00e4ngelt wird. Dieser wird mit Dell-Rechnern \u00fcber deren SupportAssist mit ausgeliefert. Nachdem ein Blog-Leser mich \u00fcber den Sachverhalt informiert hat, nehme ich die verf\u00fcgbaren Informationen mal hier im Blog mit auf.<\/p>\n

<\/p>\n

Leserhinweis auf Defender-Fehlalarm<\/h2>\n

\"\"Blog-Leser Martin B. hat sich vor einigen Stunden per E-Mail gemeldet und wies mich darauf hin, dass\u00a0 es wohl ein false positive beim Microsoft Defender g\u00e4be. Hier sein Hinweis:<\/p>\n

Moin,<\/p>\n

auf Reddit gefunden, nachdem das Problem bei uns auftrat.<\/p>\n

Der MS Defender erkennt wohl auf Dell Laptops einen Trojaner, scheint sich aber um den DellSupportAssistRemedationService zu handeln.<\/p><\/blockquote>\n

Danke an Martin f\u00fcr diesen Hinweis auf die m\u00f6gliche Fehlalarmierung durch den unter Windows standardm\u00e4\u00dfig vorhandenen Microsoft Defender.<\/p>\n

Fundstellen bei reddit.com<\/h2>\n

Geht man im Web nach den Begriffen \"DellSupportAssistRemedationService Defender\" auf die Suche, sollte dieser wenige Stunden alte Thread<\/a> bei reddit.com aufgelistet werden.<\/p>\n

\"CryptoStealBTC\" and DellSupportAssistRemedationService.exe<\/strong><\/p>\n

\"\"Hi,<\/p>\n

We run Dell Latitude Laptops with Defender ATP and started getting alerts a few hours ago.<\/p>\n

All the Alerts are for \"CryptoStealBTC\" Malware was prevented.<\/p>\n

The alert history, we always see this \"DellSupportAssistRemediationService.exe\" interacting with a Inetcache file on disk volume shadow copy…<\/p>\n

Looks to be a false positive?<\/p>\n

Anyone else seeing this?<\/p><\/blockquote>\n

\"Defender:<\/a><\/p>\n

Es wird ein CryptoStealBTC<\/em>-Trojaner gemeldet und in Quarant\u00e4ne geschickt.\u00a0 Der Betroffene hat noch obigen Screenshot (l\u00e4sst sich durch Anklicken vergr\u00f6\u00dfern) gepostet. Im Thread best\u00e4tigen mehrere Betroffene, dass dieser Fehlalarm des Defender auf ihren Systemen von Dell ebenfalls auftritt. Zudem wurde ein Verweis auf diesen reddit.com-Forenpost<\/a> eingestellt, wo das Problem auch beschrieben wird.<\/p>\n

Dell Support assist installing MalWare<\/strong><\/p>\n

\"\"<\/p>\n

Has anyone had reports of this? was informed we needed to start removing support assist due to MalWare, but the only articles i can find on it are from last year.<\/p><\/blockquote>\n

Auch in diesem Thread wurden diese Treffer von weiteren Nutzern best\u00e4tigt. Es sieht so aus, als ob eine am 2. M\u00e4rz 2022 verteilte Signatur-Datei f\u00fcr den Microsoft Defender die Datei DellSupportAssistRemediationService.exe<\/em> im Verzeichnis:<\/p>\n

C:\\Program Files\\Dell\\SARemediation\\agent\\<\/p>\n

f\u00e4lschlich als Trojaner einstuft. Martin hat mir in seiner E-Mail einen Link auf diesen Thread bei reddit.com<\/a> mitgeschickt. Dort wird ebenfalls ein Trojaner-Fund diskutiert und mit Dell-Ger\u00e4ten verortet und ein Teilnehmer schreibt:<\/p>\n

Do you have Dell support assist installed? It looks like defender is flagging the Dell Support Remediation service under<\/p>\n

C:\\Program Files\\Dell\\SARemediation\\agent\\DellSupportAssistRemediationService.exe<\/p><\/blockquote>\n

Geht man die Treffer in diversen reddit.com-Posts durch, tritt der Fund auf verschiedenen Rechnern von Dell auf. Unter der Annahme, dass die bem\u00e4ngelte Dell-Datei nicht \u00fcber einen Lieferkettenangriff kompromittiert wurde, l\u00e4sst dies nur den Schluss auf einen Fehlalarm des Defender zu.<\/p>\n

Auf den meisten Dell PCs mit Windows 10 wird der SupportAssist installiert. Dies ist eine Technologie, die laut Dell<\/a> auf dem PC daf\u00fcr sorgt, dass alles reibungslos funktioniert. Die Funktion kann Viren entfernen, Probleme erkennen, Einstellungen optimierten und den Benutzer darauf hinweisen, wenn Updates durchzuf\u00fchren sind. Ich tippe darauf, dass der Dell SupportAssist Remediation Service zu dieser Technologie geh\u00f6rt und als Wiederherstellungsdienst direkt unter Windows mitl\u00e4uft.<\/p>\n

Dieser SupportAssist ist nach meinen Recherchen immer wieder f\u00fcr Probleme gut. Vor gut 8 Monaten gab es diesen Forenbeitrag<\/a> bei Kaspersky. Dort schreibt jemand, dass immer wenn \"DellSupportAssistRemedationService\" versucht, ein Backup zu erstellen, Kaspersky einen Trojaner mit hohem Risiko identifiziert und versucht, diese Datei zu l\u00f6schen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Es sieht so aus, als ob der Microsoft Defender unter Windows f\u00e4lschlich einen Trojaner meldet. Betroffen sind wohl Systeme von Dell, bei denen der DellSupportAssistRemedationService bem\u00e4ngelt wird. Dieser wird mit Dell-Rechnern \u00fcber deren SupportAssist mit ausgeliefert. Nachdem ein Blog-Leser mich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,161,301],"tags":[2699,1146,4328,3288],"class_list":["post-263095","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-virenschutz","category-windows","tag-defender","tag-dell","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263095"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263095\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}