neo
/
neo-layout
15
15
Fork 24
Code Issues 69 Pull-Requests 3 Releases Wiki Aktivität

NeoVars Treiber wird von Windows Defender als Trojan:Win32/Wacatac.B!ml erkannt #541

Neues Issue
Geschlossen
von Ghost 2020-06-06 16:54:50 +02:00 geöffnet · 6 Kommentare
Ghost hat 2020-06-06 16:54:50 +02:00 kommentiert
Link kopieren

Im Netz konnte ich nur Folgendes dazu finden: https://www.mail-archive.com/search?l=diskussion@neo-layout.org&q=subject:%22%5C%5BNeo%5C%5D+%5C%5Bticket%5C%5D+%23290%5C%3A+Trojaner+versteckt%5C%3F%22&o=newest&f=1

https://developercommunity.visualstudio.com/comments/977913/view.html

Im Netz konnte ich nur Folgendes dazu finden: https://www.mail-archive.com/search?l=diskussion@neo-layout.org&q=subject:%22%5C%5BNeo%5C%5D+%5C%5Bticket%5C%5D+%23290%5C%3A+Trojaner+versteckt%5C%3F%22&o=newest&f=1 https://developercommunity.visualstudio.com/comments/977913/view.html
hrnz hat das Label
Treiber/Windows/AHK
 2020-06-06 17:09:37 +02:00 hinzugefügt
hrnz hat 2020-06-06 17:16:58 +02:00 kommentiert
Owner
Link kopieren

Ich denke nicht, dass wir da irgendwas machen können. Nach außen verhält sich das Programm wohl tatsächlich ein bisschen wie ein Keylogger und ein paar „Antivirensoftwaren“ halten es entsprechend für böse – Zur Zeit wird es von 12 von 72 namhaften Vertretern der Schlangenölbranche als schadhaft eingestuft (https://www.virustotal.com/gui/file/a297a301cf2f02d9708d292c0493315bd8c5663001b668bb92edda98e1eaca00/detection).

Ich denke nicht, dass wir da irgendwas machen können. Nach außen verhält sich das Programm wohl tatsächlich ein bisschen wie ein Keylogger und ein paar „Antivirensoftwaren“ halten es entsprechend für böse – Zur Zeit wird es von 12 von 72 namhaften Vertretern der Schlangenölbranche als schadhaft eingestuft (https://www.virustotal.com/gui/file/a297a301cf2f02d9708d292c0493315bd8c5663001b668bb92edda98e1eaca00/detection).
hrnz hat 2020-06-06 17:46:03 +02:00 kommentiert
Owner
Link kopieren

AutoHotkey selbst scheint wesentlich besser wegzukommen (https://www.virustotal.com/gui/file/f62ff2e9b365893bff3b8338ee65564a5753edfb505ab5b4964b9788d4e0df87/detection – eventuell sind sie geweißlistet?). Also könnte manuell die NeoVars-Dateien (https://git.neo-layout.org/neo/neo-layout/src/branch/master/windows/neo-vars/src) in AutoHotkey öffnen eine Lösung sein.

AutoHotkey selbst scheint wesentlich besser wegzukommen (https://www.virustotal.com/gui/file/f62ff2e9b365893bff3b8338ee65564a5753edfb505ab5b4964b9788d4e0df87/detection – eventuell sind sie geweißlistet?). Also könnte manuell die NeoVars-Dateien (https://git.neo-layout.org/neo/neo-layout/src/branch/master/windows/neo-vars/src) in AutoHotkey öffnen eine Lösung sein.
Ghost hat 2020-06-07 12:24:41 +02:00 kommentiert
Author
Link kopieren

Ok, danke für die Investigation.

Momentan benutze ich wieder den kbdneo-Treiber, aber für Leute, die gezwungenermaßen Windows auf der Arbeit/Schule nutzen müssen und keine Adminrechte haben, ist das natürlich schade.

Ok, danke für die Investigation. Momentan benutze ich wieder den kbdneo-Treiber, aber für Leute, die gezwungenermaßen Windows auf der Arbeit/Schule nutzen müssen und keine Adminrechte haben, ist das natürlich schade.
qwertfisch hat 2020-06-07 12:27:52 +02:00 kommentiert
Owner
Link kopieren

Man kann in Windows Defender Ausnahmen für einzelne Programme festlegen. Ob dies Adminrechte erfordert, kann ich leider nicht testen.

Zudem sollte man dazu bereits ausreichend Vertrauen in das Programm haben, was Neulinge dann wohl abschreckt.

Man kann in Windows Defender Ausnahmen für einzelne Programme festlegen. Ob dies Adminrechte erfordert, kann ich leider nicht testen. Zudem sollte man dazu bereits ausreichend Vertrauen in das Programm haben, was Neulinge dann wohl abschreckt.
cpuesser hat 2020-06-07 14:57:13 +02:00 kommentiert
Member
Link kopieren

Ich habe das File mal zur händischen untersuchung eingeschickt und bekam grad folgende Rückmeldung:
Submission ID: 3ccf9344-b924-463c-b971-??????
Status: Completed
Submitted by: ????????
Submitted: Jun 7, 2020 12:48:11 PM
User Opinion: Incorrect detection
Analyst comments:

We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions.

  1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender
  2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures”
  3. Run "MpCmdRun.exe -SignatureUpdate"

Alternatively, the latest definition is available for download here: https://www.microsoft.com/en-us/wdsi/definitions

Beim download und beim starten bekommt man zwar noch eine Warnung, aber der Windows Defender hat sie zumindest bei mir nicht entfernt oder gesperrt.

Kann jemand anderes das bestätigen?

Ich habe das File mal zur händischen untersuchung eingeschickt und bekam grad folgende Rückmeldung: Submission ID: 3ccf9344-b924-463c-b971-?????? Status: Completed Submitted by: ???????? Submitted: Jun 7, 2020 12:48:11 PM User Opinion: Incorrect detection Analyst comments: We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions. 1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender 2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures” 3. Run "MpCmdRun.exe -SignatureUpdate" Alternatively, the latest definition is available for download here: https://www.microsoft.com/en-us/wdsi/definitions Beim download und beim starten bekommt man zwar noch eine Warnung, aber der Windows Defender hat sie zumindest bei mir nicht entfernt oder gesperrt. Kann jemand anderes das bestätigen?
Xanius hat 2020-06-08 19:01:26 +02:00 kommentiert
Member
Link kopieren

Ich kann das bestätigen. Ich habe gerade NeoVars heruntergeladen und nach Defender-Abfrage das Programmk öffnen können.

Ich kann das bestätigen. Ich habe gerade NeoVars heruntergeladen und nach Defender-Abfrage das Programmk öffnen können.
qwertfisch hat diesen Issue 2020-06-10 12:12:08 +02:00 geschlossen
Anmelden, um an der Diskussion teilzunehmen.
Keine Branch/Tag angegeben
Branches Tags
master
ticket/618
macos-layouts
grafik-cleanup
referenz-korrektur
feature/programmer
Label
Label entfernen   
(╯°□°)╯︵ ┻━┻

   
Bug

   
Diskussion

Besprechungen zu einem Thema mit offenem Ausgang

  
Dokumentation

   
Duplikat

Ähnliche Issues vorhanden

  
Gitea

   
Hardware

   
Hilfe

Unterstützung gesucht

  
Invalid

   
Java

   
Lernen

Tipptrainer und andere Hilfsmittel

  
Qt

   
Remote

VM, Remote Desktop usw.

  
Subversion

   
Tablet

   
Tastaturbelegung

   
Test

   
Treiber/Android

   
Treiber/iOS

   
Treiber/Linux/Konsole

   
Treiber/Linux/xkbmap

   
Treiber/Linux/xmodmap

   
Treiber/MacOS

   
Treiber/Windows/AHK

   
Treiber/Windows/kbdneo

   
Treiber/Windows/ReNeo

   
Verbesserung

   
Website

   
Windows 11

   
Wontfix

Wird nicht behoben

  
Worksforme
Kein Label
(╯°□°)╯︵ ┻━┻
Bug
Diskussion
Dokumentation
Duplikat
Gitea
Hardware
Hilfe
Invalid
Java
Lernen
Qt
Remote
Subversion
Tablet
Tastaturbelegung
Test
Treiber/Android
Treiber/iOS
Treiber/Linux/Konsole
Treiber/Linux/xkbmap
Treiber/Linux/xmodmap
Treiber/MacOS
Treiber/Windows/AHK
Treiber/Windows/kbdneo
Treiber/Windows/ReNeo
Verbesserung
Website
Windows 11
Wontfix
Worksforme
Meilenstein
Meilenstein entfernen
Keine Einträge
Kein Meilenstein
Zuständig
Zuständige entfernen
Niemand zuständig
5 Beteiligte
Nachrichten
Fällig am
Das Fälligkeitsdatum ist ungültig oder außerhalb des zulässigen Bereichs. Bitte verwende das Format „jjjj-mm-tt“.

Kein Fälligkeitsdatum gesetzt.

Abhängigkeiten

Dieses Issue hat momentan keine Abhängigkeiten.

Reference: neo/neo-layout#541
Hier gibt es bis jetzt noch keinen Inhalt.
Branch „%!s(<nil>)“ löschen

Das Löschen eines Branches ist permanent. Es KANN NICHT rückgängig gemacht werden. Fortfahren?