"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Windows 11 Defender läßt keine ZIP Files mehr zu, meldet Wacatac.B!ml

GrandAdmiralThrawn 11.03.2024 - 13:09 4819 8
Posts

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3693
Ein Windows 11 Nutzer hier bei uns hat seit heute das Problem, daß er keine ZIP Dateien mehr verwenden kann, weil sich Windows Defender in allen Fällen mit der Meldung des Trojaners "Wacatac.B!ml" querlegt. Scheinbar eine "ML" Decision, also Machine Learning denke ich, wird wohl KI-basiert sein. Das vermute ich aber nur Mal so dahin.

Er kann:
  • keine ZIP Dateien mehr herunterladen (auch bekanntermaßen saubere Archive)
  • keine ZIP Dateien mehr hochladen
  • keine ZIP Dateien mehr öffnen (auch bekanntermaßen saubere Archive)
  • keine ZIP Dateien mehr erstellen (auch nicht von nicht ausführbaren Dateien, z.B. Plaintext)

Also sprich: Wenn er einen Ordner rechts klickt um den Ordner zu einer ZIP Datei zu packen, dann schlägt das sofort fehl und man bekommt ein entsprechendes Defender Popup. Ähnliche Probleme gab es scheint's auch schon in vergangenen Jahren in unterschiedlichen Ausprägungsformen.

Meine Frage: Wie löst man das vernünftig, also ohne gleich den ganzen Defender abzudrehen?

Danke!

Bearbeitet von GrandAdmiralThrawn am 11.03.2024, 13:17

Jedimaster

Here to stay
Avatar
Registered: Dec 2005
Location: Linz
Posts: 3019
Evtl. ne Windows - Datei korrupt die fürs handling der Zipfiles zuständig ist ?

sfc /scannow und dism /online /cleanup-image /restorehealth durchlaufen lassen ob was korrupt ist.

Der Defender ist in letzter Zeit wieder etwas auffälliger geworden mit 'false positives', trotzdem muss man dem aber leider nachgehn was los ist.

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6464
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3693
Das schlimmere wäre noch, wenn das System irgendwie wirklich befallen wäre und sich die Malware transparent in sämtliche ZIP Dateien die das System erreichen oder verlassen wollen mit irgendwie reinpackt. Konnte aber kein derartig beschriebenes Verhalten im Netz finden.

Zur Not müßte man's offline durchscannen oder planieren. Aber das will ich nur machen wenn's wirklich kein false Positive ist. Werde dem Nutzer Mal als erstes einen MBAM Scan nahelegen, dann schauen wir weiter.

MightyMaz

hat nun auch einen Titel
Registered: Feb 2003
Location: .de
Posts: 620
Zum Thema hab ich folgende Threads gefunden, vielleicht hilft das weiter:
https://answers.microsoft.com/en-us...f4-fcfe8f0b966c
https://answers.microsoft.com/en-us...94-625a3402d26a

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12201
Zitat aus einem Post von mr.nice.
Ich würde im abgesicherten Modus einen Scan starten, da dürfte die malware nicht geladen werden. Von einem false positive würde ich erstmal nicht ausgehen.

ack und/oder einen scan von einer Linux rescue cd starten

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3693
Jo, meine Idee war es die SSD offline zu scannen. Linux kann ich nehmen, aber mein Gedanke war: NVMe SSD in ein USB Gehäuse (läge schon hier), ran an meine Linux Workstation und dann an eine Windows 11 VM durchreichen (vorher Snapshot). Und dann mit diversen Tools unter Windows scannen.

Aber klar, einfach ein dafür präpariertes Linux direkt auf der Maschine booten ginge auch. Wahrscheinlich weniger zeitaufwendig.

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3693
Habe gestern nochmals mit dem Nutzer gesprochen. Er hat sein System komplett gescanned, online halt nur. Ohne Funde. Zudem konnte er aus unseren internen Systemen ZIP Files laden und auch entpacken.

Wollte ihm dennoch einen bereits vorbereiteten USB Stick auf's Auge drücken, wurde aber vorerst abgelehnt. Weisungsbefugnis habe ich da keine. ;)

Jedimaster

Here to stay
Avatar
Registered: Dec 2005
Location: Linz
Posts: 3019
Auch wenns ein Bot wieder hochgebracht hat - gibts hier neue Erkenntnisse ? - wäre echt interessant :)
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz