NeoVars Treiber wird von Windows Defender als Trojan:Win32/Wacatac.B!ml erkannt #541

닫힘
opened 2020-06-06 16:54:50 +02:00 by Ghost · 6개의 코멘트
Im Netz konnte ich nur Folgendes dazu finden: https://www.mail-archive.com/search?l=diskussion@neo-layout.org&q=subject:%22%5C%5BNeo%5C%5D+%5C%5Bticket%5C%5D+%23290%5C%3A+Trojaner+versteckt%5C%3F%22&o=newest&f=1 https://developercommunity.visualstudio.com/comments/977913/view.html
hrnz added the
Treiber/Windows/AHK
label 2020-06-06 17:09:37 +02:00
소유자

Ich denke nicht, dass wir da irgendwas machen können. Nach außen verhält sich das Programm wohl tatsächlich ein bisschen wie ein Keylogger und ein paar „Antivirensoftwaren“ halten es entsprechend für böse – Zur Zeit wird es von 12 von 72 namhaften Vertretern der Schlangenölbranche als schadhaft eingestuft (https://www.virustotal.com/gui/file/a297a301cf2f02d9708d292c0493315bd8c5663001b668bb92edda98e1eaca00/detection).

Ich denke nicht, dass wir da irgendwas machen können. Nach außen verhält sich das Programm wohl tatsächlich ein bisschen wie ein Keylogger und ein paar „Antivirensoftwaren“ halten es entsprechend für böse – Zur Zeit wird es von 12 von 72 namhaften Vertretern der Schlangenölbranche als schadhaft eingestuft (https://www.virustotal.com/gui/file/a297a301cf2f02d9708d292c0493315bd8c5663001b668bb92edda98e1eaca00/detection).
소유자

AutoHotkey selbst scheint wesentlich besser wegzukommen (https://www.virustotal.com/gui/file/f62ff2e9b365893bff3b8338ee65564a5753edfb505ab5b4964b9788d4e0df87/detection – eventuell sind sie geweißlistet?). Also könnte manuell die NeoVars-Dateien (https://git.neo-layout.org/neo/neo-layout/src/branch/master/windows/neo-vars/src) in AutoHotkey öffnen eine Lösung sein.

AutoHotkey selbst scheint wesentlich besser wegzukommen (https://www.virustotal.com/gui/file/f62ff2e9b365893bff3b8338ee65564a5753edfb505ab5b4964b9788d4e0df87/detection – eventuell sind sie geweißlistet?). Also könnte manuell die NeoVars-Dateien (https://git.neo-layout.org/neo/neo-layout/src/branch/master/windows/neo-vars/src) in AutoHotkey öffnen eine Lösung sein.
Author

Ok, danke für die Investigation.

Momentan benutze ich wieder den kbdneo-Treiber, aber für Leute, die gezwungenermaßen Windows auf der Arbeit/Schule nutzen müssen und keine Adminrechte haben, ist das natürlich schade.

Ok, danke für die Investigation. Momentan benutze ich wieder den kbdneo-Treiber, aber für Leute, die gezwungenermaßen Windows auf der Arbeit/Schule nutzen müssen und keine Adminrechte haben, ist das natürlich schade.
소유자

Man kann in Windows Defender Ausnahmen für einzelne Programme festlegen. Ob dies Adminrechte erfordert, kann ich leider nicht testen.

Zudem sollte man dazu bereits ausreichend Vertrauen in das Programm haben, was Neulinge dann wohl abschreckt.

Man kann in Windows Defender Ausnahmen für einzelne Programme festlegen. Ob dies Adminrechte erfordert, kann ich leider nicht testen. Zudem sollte man dazu bereits ausreichend Vertrauen in das Programm haben, was Neulinge dann wohl abschreckt.
멤버

Ich habe das File mal zur händischen untersuchung eingeschickt und bekam grad folgende Rückmeldung:
Submission ID: 3ccf9344-b924-463c-b971-??????
Status: Completed
Submitted by: ????????
Submitted: Jun 7, 2020 12:48:11 PM
User Opinion: Incorrect detection
Analyst comments:

We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions.

  1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender
  2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures”
  3. Run "MpCmdRun.exe -SignatureUpdate"

Alternatively, the latest definition is available for download here: https://www.microsoft.com/en-us/wdsi/definitions

Beim download und beim starten bekommt man zwar noch eine Warnung, aber der Windows Defender hat sie zumindest bei mir nicht entfernt oder gesperrt.

Kann jemand anderes das bestätigen?

Ich habe das File mal zur händischen untersuchung eingeschickt und bekam grad folgende Rückmeldung: Submission ID: 3ccf9344-b924-463c-b971-?????? Status: Completed Submitted by: ???????? Submitted: Jun 7, 2020 12:48:11 PM User Opinion: Incorrect detection Analyst comments: We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions. 1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender 2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures” 3. Run "MpCmdRun.exe -SignatureUpdate" Alternatively, the latest definition is available for download here: https://www.microsoft.com/en-us/wdsi/definitions Beim download und beim starten bekommt man zwar noch eine Warnung, aber der Windows Defender hat sie zumindest bei mir nicht entfernt oder gesperrt. Kann jemand anderes das bestätigen?
멤버

Ich kann das bestätigen. Ich habe gerade NeoVars heruntergeladen und nach Defender-Abfrage das Programmk öffnen können.

Ich kann das bestätigen. Ich habe gerade NeoVars heruntergeladen und nach Defender-Abfrage das Programmk öffnen können.
"로그인하여 이 대화에 참여"
마일스톤 없음
담당자 없음
참여자 5명
알림
마감일
기한이 올바르지 않거나 범위를 벗어났습니다. 'yyyy-mm-dd'형식을 사용해주십시오.

마감일이 설정되지 않았습니다.

의존성

No dependencies set.

Reference: neo/neo-layout#541
No description provided.