Windows 11 Defender läßt keine ZIP Files mehr zu, meldet Wacatac.B!ml

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

11.03.2024 - 13:09

Ein Windows 11 Nutzer hier bei uns hat seit heute das Problem, daß er keine ZIP Dateien mehr verwenden kann, weil sich Windows Defender in allen Fällen mit der Meldung des Trojaners "Wacatac.B!ml" querlegt. Scheinbar eine "ML" Decision, also Machine Learning denke ich, wird wohl KI-basiert sein. Das vermute ich aber nur Mal so dahin.

Er kann:

keine ZIP Dateien mehr herunterladen (auch bekanntermaßen saubere Archive)
keine ZIP Dateien mehr hochladen
keine ZIP Dateien mehr öffnen (auch bekanntermaßen saubere Archive)
keine ZIP Dateien mehr erstellen (auch nicht von nicht ausführbaren Dateien, z.B. Plaintext)

Also sprich: Wenn er einen Ordner rechts klickt um den Ordner zu einer ZIP Datei zu packen, dann schlägt das sofort fehl und man bekommt ein entsprechendes Defender Popup. Ähnliche Probleme gab es scheint's auch schon in vergangenen Jahren in unterschiedlichen Ausprägungsformen.

Meine Frage: Wie löst man das vernünftig, also ohne gleich den ganzen Defender abzudrehen?

Danke!

Bearbeitet von GrandAdmiralThrawn am 11.03.2024, 13:17

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 2969

11.03.2024 - 13:19

Evtl. ne Windows - Datei korrupt die fürs handling der Zipfiles zuständig ist ?

sfc /scannow und dism /online /cleanup-image /restorehealth durchlaufen lassen ob was korrupt ist.

Der Defender ist in letzter Zeit wieder etwas auffälliger geworden mit 'false positives', trotzdem muss man dem aber leider nachgehn was los ist.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6454

11.03.2024 - 13:38

Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

11.03.2024 - 13:43

Das schlimmere wäre noch, wenn das System irgendwie wirklich befallen wäre und sich die Malware transparent in sämtliche ZIP Dateien die das System erreichen oder verlassen wollen mit irgendwie reinpackt. Konnte aber kein derartig beschriebenes Verhalten im Netz finden.

Zur Not müßte man's offline durchscannen oder planieren. Aber das will ich nur machen wenn's wirklich kein false Positive ist. Werde dem Nutzer Mal als erstes einen MBAM Scan nahelegen, dann schauen wir weiter.

MightyMaz

hat nun auch einen Titel

Registered: Feb 2003
Location: .de
Posts: 618

11.03.2024 - 14:38

Zum Thema hab ich folgende Threads gefunden, vielleicht hilft das weiter:
https://answers.microsoft.com/en-us...f4-fcfe8f0b966c
https://answers.microsoft.com/en-us...94-625a3402d26a

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12156

11.03.2024 - 14:45

Zitat aus einem Post von mr.nice.
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

ack und/oder einen scan von einer Linux rescue cd starten

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

12.03.2024 - 07:25

Jo, meine Idee war es die SSD offline zu scannen. Linux kann ich nehmen, aber mein Gedanke war: NVMe SSD in ein USB Gehäuse (läge schon hier), ran an meine Linux Workstation und dann an eine Windows 11 VM durchreichen (vorher Snapshot). Und dann mit diversen Tools unter Windows scannen.

Aber klar, einfach ein dafür präpariertes Linux direkt auf der Maschine booten ginge auch. Wahrscheinlich weniger zeitaufwendig.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3692

13.03.2024 - 06:58

Habe gestern nochmals mit dem Nutzer gesprochen. Er hat sein System komplett gescanned, online halt nur. Ohne Funde. Zudem konnte er aus unseren internen Systemen ZIP Files laden und auch entpacken.

Wollte ihm dennoch einen bereits vorbereiteten USB Stick auf's Auge drücken, wurde aber vorerst abgelehnt. Weisungsbefugnis habe ich da keine.

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 2969

28.06.2024 - 23:14

Auch wenns ein Bot wieder hochgebracht hat - gibts hier neue Erkenntnisse ? - wäre echt interessant

GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	11.03.2024 - 13:09 Ein Windows 11 Nutzer hier bei uns hat seit heute das Problem, daß er keine ZIP Dateien mehr verwenden kann, weil sich Windows Defender in allen Fällen mit der Meldung des Trojaners "Wacatac.B!ml" querlegt. Scheinbar eine "ML" Decision, also Machine Learning denke ich, wird wohl KI-basiert sein. Das vermute ich aber nur Mal so dahin. Er kann: keine ZIP Dateien mehr herunterladen (auch bekanntermaßen saubere Archive) keine ZIP Dateien mehr hochladen keine ZIP Dateien mehr öffnen (auch bekanntermaßen saubere Archive) keine ZIP Dateien mehr erstellen (auch nicht von nicht ausführbaren Dateien, z.B. Plaintext) Also sprich: Wenn er einen Ordner rechts klickt um den Ordner zu einer ZIP Datei zu packen, dann schlägt das sofort fehl und man bekommt ein entsprechendes Defender Popup. Ähnliche Probleme gab es scheint's auch schon in vergangenen Jahren in unterschiedlichen Ausprägungsformen. Meine Frage: Wie löst man das vernünftig, also ohne gleich den ganzen Defender abzudrehen? Danke! Bearbeitet von GrandAdmiralThrawn am 11.03.2024, 13:17
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 2969	11.03.2024 - 13:19 Evtl. ne Windows - Datei korrupt die fürs handling der Zipfiles zuständig ist ? sfc /scannow und dism /online /cleanup-image /restorehealth durchlaufen lassen ob was korrupt ist. Der Defender ist in letzter Zeit wieder etwas auffälliger geworden mit 'false positives', trotzdem muss man dem aber leider nachgehn was los ist.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6454	11.03.2024 - 13:38 Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	11.03.2024 - 13:43 Das schlimmere wäre noch, wenn das System irgendwie wirklich befallen wäre und sich die Malware transparent in sämtliche ZIP Dateien die das System erreichen oder verlassen wollen mit irgendwie reinpackt. Konnte aber kein derartig beschriebenes Verhalten im Netz finden. Zur Not müßte man's offline durchscannen oder planieren. Aber das will ich nur machen wenn's wirklich kein false Positive ist. Werde dem Nutzer Mal als erstes einen MBAM Scan nahelegen, dann schauen wir weiter.
MightyMaz hat nun auch einen Titel Registered: Feb 2003 Location: .de Posts: 618	11.03.2024 - 14:38 Zum Thema hab ich folgende Threads gefunden, vielleicht hilft das weiter: https://answers.microsoft.com/en-us...f4-fcfe8f0b966c https://answers.microsoft.com/en-us...94-625a3402d26a
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12156	11.03.2024 - 14:45 Zitat aus einem Post von mr.nice. Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen. ack und/oder einen scan von einer Linux rescue cd starten
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	12.03.2024 - 07:25 Jo, meine Idee war es die SSD offline zu scannen. Linux kann ich nehmen, aber mein Gedanke war: NVMe SSD in ein USB Gehäuse (läge schon hier), ran an meine Linux Workstation und dann an eine Windows 11 VM durchreichen (vorher Snapshot). Und dann mit diversen Tools unter Windows scannen. Aber klar, einfach ein dafür präpariertes Linux direkt auf der Maschine booten ginge auch. Wahrscheinlich weniger zeitaufwendig.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3692	13.03.2024 - 06:58 Habe gestern nochmals mit dem Nutzer gesprochen. Er hat sein System komplett gescanned, online halt nur. Ohne Funde. Zudem konnte er aus unseren internen Systemen ZIP Files laden und auch entpacken. Wollte ihm dennoch einen bereits vorbereiteten USB Stick auf's Auge drücken, wurde aber vorerst abgelehnt. Weisungsbefugnis habe ich da keine.
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 2969	28.06.2024 - 23:14 Auch wenns ein Bot wieder hochgebracht hat - gibts hier neue Erkenntnisse ? - wäre echt interessant

Windows 11 Defender läßt keine ZIP Files mehr zu, meldet Wacatac.B!ml

Forum Index > Software > Windows

GrandAdmiralThrawn

Jedimaster

mr.nice.

GrandAdmiralThrawn

MightyMaz

davebastard

GrandAdmiralThrawn

GrandAdmiralThrawn

Jedimaster