Windows 11 Defender läßt keine ZIP Files mehr zu, meldet Wacatac.B!ml
GrandAdmiralThrawn 11.03.2024 - 13:09 4819 8
GrandAdmiralThrawn
XP Nazi
|
Ein Windows 11 Nutzer hier bei uns hat seit heute das Problem, daß er keine ZIP Dateien mehr verwenden kann, weil sich Windows Defender in allen Fällen mit der Meldung des Trojaners "Wacatac.B!ml" querlegt. Scheinbar eine "ML" Decision, also Machine Learning denke ich, wird wohl KI-basiert sein. Das vermute ich aber nur Mal so dahin. Er kann: - keine ZIP Dateien mehr herunterladen (auch bekanntermaßen saubere Archive)
- keine ZIP Dateien mehr hochladen
- keine ZIP Dateien mehr öffnen (auch bekanntermaßen saubere Archive)
- keine ZIP Dateien mehr erstellen (auch nicht von nicht ausführbaren Dateien, z.B. Plaintext)
Also sprich: Wenn er einen Ordner rechts klickt um den Ordner zu einer ZIP Datei zu packen, dann schlägt das sofort fehl und man bekommt ein entsprechendes Defender Popup. Ähnliche Probleme gab es scheint's auch schon in vergangenen Jahren in unterschiedlichen Ausprägungsformen. Meine Frage: Wie löst man das vernünftig, also ohne gleich den ganzen Defender abzudrehen? Danke!
Bearbeitet von GrandAdmiralThrawn am 11.03.2024, 13:17
|
Jedimaster
Here to stay
|
Evtl. ne Windows - Datei korrupt die fürs handling der Zipfiles zuständig ist ?
sfc /scannow und dism /online /cleanup-image /restorehealth durchlaufen lassen ob was korrupt ist.
Der Defender ist in letzter Zeit wieder etwas auffälliger geworden mit 'false positives', trotzdem muss man dem aber leider nachgehn was los ist.
|
mr.nice.
differential image maker
|
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.
|
GrandAdmiralThrawn
XP Nazi
|
Das schlimmere wäre noch, wenn das System irgendwie wirklich befallen wäre und sich die Malware transparent in sämtliche ZIP Dateien die das System erreichen oder verlassen wollen mit irgendwie reinpackt. Konnte aber kein derartig beschriebenes Verhalten im Netz finden.
Zur Not müßte man's offline durchscannen oder planieren. Aber das will ich nur machen wenn's wirklich kein false Positive ist. Werde dem Nutzer Mal als erstes einen MBAM Scan nahelegen, dann schauen wir weiter.
|
MightyMaz
hat nun auch einen Titel
|
|
davebastard
Vinyl-Sammler
|
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen. ack und/oder einen scan von einer Linux rescue cd starten
|
GrandAdmiralThrawn
XP Nazi
|
Jo, meine Idee war es die SSD offline zu scannen. Linux kann ich nehmen, aber mein Gedanke war: NVMe SSD in ein USB Gehäuse (läge schon hier), ran an meine Linux Workstation und dann an eine Windows 11 VM durchreichen (vorher Snapshot). Und dann mit diversen Tools unter Windows scannen.
Aber klar, einfach ein dafür präpariertes Linux direkt auf der Maschine booten ginge auch. Wahrscheinlich weniger zeitaufwendig.
|
GrandAdmiralThrawn
XP Nazi
|
Habe gestern nochmals mit dem Nutzer gesprochen. Er hat sein System komplett gescanned, online halt nur. Ohne Funde. Zudem konnte er aus unseren internen Systemen ZIP Files laden und auch entpacken. Wollte ihm dennoch einen bereits vorbereiteten USB Stick auf's Auge drücken, wurde aber vorerst abgelehnt. Weisungsbefugnis habe ich da keine.
|
Jedimaster
Here to stay
|
Auch wenns ein Bot wieder hochgebracht hat - gibts hier neue Erkenntnisse ? - wäre echt interessant
|