Jump to content

Defender findet Trojaner


Recommended Posts

big3mike

Hallo, 

habe mir soeben die neueste Version vom Viewer und dem Mediaserver heruntergeladen.

Beim Viewer meldet der Windows Defender: Trojan:Win32/Caynamer.A!ml

Habs für den Download und die Installation mal zugelassen. Der Viewer läuft einwandfrei. Nach der Rücknahme der Zulassung meckert er bei der Schnellüberprüfung einige Files im Programmordner an.

Nehme mal an, dass das ein "Fehlalarm" ist, aber ein wenig unwohl ist mir doch.

Grüsse, Michael

 

 

 

Link to post

Im Zweifelsfall die Datei bei VirusTotal hochladen und weitere Meinungen dazu einholen!

 

Bei Tests der DVBViewer/DMS-Setups unter Windows 10 vor dem Hochladen hatte der Defender nichts daran auszusetzen. Aber ich werde es bei nächster Gelegenheit noch einmal mit den Setup-Dateien aus dem Mitglieder-(Download-)Bereich wiederholen. Das kann sich ja bei jedem Signaturupdate ändern ;)

 

Link to post
big3mike

Danke für deine Antwort. Defender hat jetzt scheinbar etwas gelöscht. Aber der Viewer funktioniert immer noch einwandfrei.

Ich versuch mal einen Screenshot reinzustellen:

 

DVBVDefender.thumb.JPG.4eb0a5dc7cb526281434306e846aac41.JPG

 

Die untenstehende Meldung "Wartung unvollständig" stammt vom Download.

Meine Windowsversion ist die 2004 (19041.508)

Vielleicht kannst du ja mit diesen Angaben etwas anfangen.

Schönen Abend, 

Michael

 

Link to post

Das bemängelte Programm KeyTool.exe dient dazu, deine Benutzerdaten (Benutzername, Passwort, Schlüsseldatei) einzugeben oder Add-Ons wie den DVBViewer Media Server zu bestellen und freizuschalten. Es beantragt zu dem Zweck Adminrechte und wird vom DVBViewer aus durch Hilfe -> Erweiterungen bestellen/freischalten aufgerufen. Für die Benutzung des DVBViewers ist es ansonsten nicht erforderlich.

 

Wahrscheinlich ein Fehlalarm. Aber wie gesagt:

 

vor 2 Stunden schrieb Griga:

Im Zweifelsfall die Datei bei VirusTotal hochladen und weitere Meinungen dazu einholen!

 

Link to post

Ja, ich würde mal Microsoft benachrichtigen, damit es auf die Whitelist kommt (aber machen die nicht, wenn da keine Signatur von ihren Gnaden drin ist).

 

Grundsätzlich nimmt der Defender in letzter Zeit immer mehr paranoide Züge an, Microsoft versucht krampfhaft, "Freischaltetools" zu eleminieren. Ob für Windows, für Steam oder sonstige Sachen. Wenn Programme bestimmte Aktionen durchführen / in bestimmte Bereiche schreiben  / die Regstry an bestimmten Stellen verändern, dann springt die Heuristik an und arbeitet nach der Methode "better safe than sorry". Und der gemeldete ist ja auch vom Typ "Hackertool".

 

Du sollst eben Dein Programm über den Microsoft Shop verkaufen und nicht selber irgendwas rumfuckeln 😁 (ach ja, und natürlich dabei 30% der Summe abführen 🤑)

Früher durften da ja nur UWP Apps hin, nachdem die nun offiziell beerdigt sind, erinnert sich M$ wieder an andere potentielle Einnahmequellen und will sie in den Store zwingen.

 

 

Edited by MaM
Link to post
hackbart

Der Appstore ist in punkto Unübersichtlichkeit noch schlimmer, als der von Amazon. Was habe ich schon bei Apple geflucht, aber der ist dagegen recht übersichtlich. 

Es würde mich nicht wundern, wenn ein Umbenennen der Keytool.exe schon Abhilfe schafft. Ich habe hier die Version auf Windows 10 und 8.1 getestet. Da gab es keine Warnungen.

Link to post
vor 21 Minuten schrieb hackbart:

Ich habe hier die Version auf Windows 10 und 8.1 getestet. Da gab es keine Warnungen.

 

Hier ebenfalls keine.

 

Link to post

Alle diese "Stores" braucht die Welt nicht. Aber, sie sind eben eine gute Geldquelle, wie Apple beweist.

Und da springen eben alle mit auf und wollen die Leute in die Regale zwingen.

 

Und da hilft es doch deutlich, wenn der hauseigene Virenscanner die Anwender etwas aufscheucht und den Support zwingen, sich mit dem Unfug zu beschäftigen.

 

Hier meckert der Defender allerdings auch nix an wegen Keytool oder so.

 

Mag sein, dass sich der big3mike wirklich einen Trojaner eingefangen hat irgendwo.

 

Edited by MaM
Link to post
big3mike
7 hours ago, MaM said:

Mag sein, dass sich der big3mike wirklich einen Trojaner eingefangen hat irgendwo.

 

Na hoffentlich nicht. Der ganze "Spass" hat ja erst mit dem Download der DVBViewer_setup.exe begonnen.

Aber danke für eure Antworten.

Schönes Wochenende,

Michael

 

Link to post
big3mike

Hab jetzt nochmal versucht, den Viewer downzuloaden.

Hier der Screenshot vom Defender:

 

DefenderSetup.thumb.JPG.85d8ba30f80273cc2e3a17e75b9b0b19.JPG

 

Im Downloadordner findet sich nichts, ausser der gestrigen Setup, wo ich die Bedrohung zugelassen habe.

lG

Michael

 

Edit: Hab mir jetzt mal die Version 6.1.4 spasseshalber runtergeladen. Da gibts kein Problem mit dem Defender. Vielleicht hilft diese Info ja jemand weiter.

 

Edited by big3mike
Ergänzung
Link to post

Ausführbare DVBViewer-Dateien einschließlich Setup sind digital signiert, wodurch sich verifizieren lässt, dass sie wirklich vom Herausgeber/Erzeuger stammen. Sowas stimmt Virenscanner normalerweise gnädig. Überprüfe das mal (Rechtsklick auf Datei -> Eigenschaften -> Digitale Signaturen). So sollte das beim 6.1.7.1-Setup aussehen:

 

Zwischenablage01.png

 

Link to post
big3mike

Hallo,

bei mir sieht das so aus:

 

Setupsignaturen.JPG.28a2d15aac35ed9cac63a22999da391c.JPG

 

Der einzige Unterschied, der mir auffällt, ist der Dateiname (DVBViewer_setup.exe ohne "Pro" und Versionsangabe). Aber laut Eigenschaften ist es die 6.1.7.1

 

Grüsse, Michael

 

Link to post

ich würde an Deiner Stelle mal einen Offline Scan der ganzen Kiste durchführen. Geht inzwischen auch mit dem Defender, aber ich würde lieber sowas wie C't Desinfect nehmen und mehrere Scanner befragen.

 

Link to post
vor 36 Minuten schrieb big3mike:

Der einzige Unterschied, der mir auffällt, ist der Dateiname (DVBViewer_setup.exe ohne "Pro" und Versionsangabe). Aber laut Eigenschaften ist es die 6.1.7.1

 

Ist soweit in Ordnung. Das Setup wurde vor dem Upload umbenannt.

 

Die Signatur garantiert, dass der Inhalt der Datei nicht verändert wurde - es sei denn, der Angreifer hat das Zertifikat geklaut, oder die Datei wurde vor dem Signieren infiziert. Im letzteren Fall gäbe es hier aber mehr Alarm-Reports. Nichtsdestotrotz ist merkwürdig, dass es nur bei dir auftritt. Ich würde auf jeden Fall VirusTotal befragen. Dort werden eine Menge verschiedener Virenscanner auf die Datei losgelassen, und du erhälst als Liste, welcher was dazu meint.

 

Link to post
vor 9 Minuten schrieb Termalator:

Ja ein weiterer Grund die Software auf Linux zu portieren 😜

Wie? Du willst den Defender auf Linux haben? Dir graut ja vor gar nix!

😁

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...