Windows 11 Defender läßt keine ZIP Files mehr zu, meldet Wacatac.B!ml

Seite 1 von 1 - Forum: Windows auf overclockers.at

URL: https://www.overclockers.at/windows/windows-11-defender-lt-keine-zip-files-mehr-zu-meldet-wacatac-bml_263236/page_1 - zur Vollversion wechseln!

GrandAdmiralThrawn schrieb am 11.03.2024 um 13:09

Ein Windows 11 Nutzer hier bei uns hat seit heute das Problem, daß er keine ZIP Dateien mehr verwenden kann, weil sich Windows Defender in allen Fällen mit der Meldung des Trojaners "Wacatac.B!ml" querlegt. Scheinbar eine "ML" Decision, also Machine Learning denke ich, wird wohl KI-basiert sein. Das vermute ich aber nur Mal so dahin.

Er kann:

keine ZIP Dateien mehr herunterladen (auch bekanntermaßen saubere Archive)
keine ZIP Dateien mehr hochladen
keine ZIP Dateien mehr öffnen (auch bekanntermaßen saubere Archive)
keine ZIP Dateien mehr erstellen (auch nicht von nicht ausführbaren Dateien, z.B. Plaintext)

Also sprich: Wenn er einen Ordner rechts klickt um den Ordner zu einer ZIP Datei zu packen, dann schlägt das sofort fehl und man bekommt ein entsprechendes Defender Popup. Ähnliche Probleme gab es scheint's auch schon in vergangenen Jahren in unterschiedlichen Ausprägungsformen.

Meine Frage: Wie löst man das vernünftig, also ohne gleich den ganzen Defender abzudrehen?

Danke!

Jedimaster schrieb am 11.03.2024 um 13:19

Evtl. ne Windows - Datei korrupt die fürs handling der Zipfiles zuständig ist ?

sfc /scannow und dism /online /cleanup-image /restorehealth durchlaufen lassen ob was korrupt ist.

Der Defender ist in letzter Zeit wieder etwas auffälliger geworden mit 'false positives', trotzdem muss man dem aber leider nachgehn was los ist.

mr.nice. schrieb am 11.03.2024 um 13:38

Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

GrandAdmiralThrawn schrieb am 11.03.2024 um 13:43

Das schlimmere wäre noch, wenn das System irgendwie wirklich befallen wäre und sich die Malware transparent in sämtliche ZIP Dateien die das System erreichen oder verlassen wollen mit irgendwie reinpackt. Konnte aber kein derartig beschriebenes Verhalten im Netz finden.

Zur Not müßte man's offline durchscannen oder planieren. Aber das will ich nur machen wenn's wirklich kein false Positive ist. Werde dem Nutzer Mal als erstes einen MBAM Scan nahelegen, dann schauen wir weiter.

MightyMaz schrieb am 11.03.2024 um 14:38

Zum Thema hab ich folgende Threads gefunden, vielleicht hilft das weiter:
https://answers.microsoft.com/en-us...f4-fcfe8f0b966c
https://answers.microsoft.com/en-us...94-625a3402d26a

davebastard schrieb am 11.03.2024 um 14:45

Zitat aus einem Post von mr.nice.
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

ack und/oder einen scan von einer Linux rescue cd starten

GrandAdmiralThrawn schrieb am 12.03.2024 um 07:25

Jo, meine Idee war es die SSD offline zu scannen. Linux kann ich nehmen, aber mein Gedanke war: NVMe SSD in ein USB Gehäuse (läge schon hier), ran an meine Linux Workstation und dann an eine Windows 11 VM durchreichen (vorher Snapshot). Und dann mit diversen Tools unter Windows scannen.

Aber klar, einfach ein dafür präpariertes Linux direkt auf der Maschine booten ginge auch. Wahrscheinlich weniger zeitaufwendig.

GrandAdmiralThrawn schrieb am 13.03.2024 um 06:58

Habe gestern nochmals mit dem Nutzer gesprochen. Er hat sein System komplett gescanned, online halt nur. Ohne Funde. Zudem konnte er aus unseren internen Systemen ZIP Files laden und auch entpacken.

Wollte ihm dennoch einen bereits vorbereiteten USB Stick auf's Auge drücken, wurde aber vorerst abgelehnt. Weisungsbefugnis habe ich da keine.

Jedimaster schrieb am 28.06.2024 um 23:14

Auch wenns ein Bot wieder hochgebracht hat - gibts hier neue Erkenntnisse ? - wäre echt interessant