Release-EXE als Virus erkannt



  • Ich habe bei einem meiner Programme folgendes Problem:
    Wenn ich die EXE aus dem Release-Ordner kopieren oder ausführen will, dann kommt die Meldung vom Windows-Defender => Bedrohung erkannt und die EXE-Datei wird sofort vom Defender gelöscht. Das passiert unter Windows 11 auch.
    Die EXE aus dem Debug-Ordner macht keinerlei Probleme.

    Ich habe es mit anderen Programmen getestet, da ist es nicht so.
    Das Programm dient der Fotoanzeige, also nichts Besonderes.

    Hat jemand schon so etwas erlebt ?



  • Hatte mal so etwas mit einem eigen erstellten Programm.
    Schau mal unter "Hinzufügen eines Ausschlusses zu Windows-Sicherheit"

    Ist nichts für unbekannte Programme.



  • @hkdd
    Habe dies schon mehrmals erlebt. Lade doch mal die Datei auf VirusTotal hoch und schaue dir die Ergebnisse an.

    Ich vermute da schlägt irgenteine Heuristik an. Als Virus dürfte dann Heur.... oder Gen.... stehen.

    Notfalls kannst du die Datei auch melden. Hat bei mir unter Bitdefender und Avast problemlos geklappt.

    PS:
    Ich habe mir auch mal die Gründe hierfür angeschaut. Einmal störte sich der Virensscanner an einer Kompilieroption, einmal nutze ich für die WinAPI Funktion CreateProcess einen undokumentierten Parameter, s.d. der Virensscanner meinte, ich würde einen Prozess im Suspenden Mode starten, was offenbar ein Indiz ist.



  • Das wird angezeigt

    Bedrohung blockiert       Schwerwiegend
    17.11.2022 08:25
    Erkannt: Trojan:Script/Wacatac.B!ml
    Status: Unter Quarantäne
    Unter Quarantäne gestellte Dateien befinden sich in einem eingeschränkten
    Bereich, in dem Sie Ihr Gerät nicht beschädigen können. Diese werden
    automatisch entfernt.
    
    Datum: 17.11.2022 08:25
    Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus
    
    Betroffene Elemente:
    file: V:\#PgmHK\VC20xx\HKcs\HkPicW\bin\Release\HkPicW.exe
    
    Weitere Informationen (der folgende Link)
    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aScript%2fWacatac.B!ml&threatid=2147735503
    

    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3AScript%2FWacatac.B!ml&threatid=2147735503
    Ich kann dazu auch nichts einstellen.

    Die Debug-Version ist ja benutzbar, deshalb ist das nicht weiter schlimm, aber ärgerlich.



  • Ich hatte das letztens auch. Mit einer selbsterstellten DLL die wir ordentlich signiert haben und allem durm und dran. War auch nur im release und nur eine bestimmte Version irgendwie.

    Bei uns ist nicht Windows Defender angesprungen, sondern andere. Das haben wir als false-positive gemeldet und die haben jeweils ihre Heuristiken sehr schnell angepasst, so dass die DLL nicht mehr als Virus erkannt wurde.

    Auch beim Windows Defender kann man false positives melden: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/defender-endpoint-false-positives-negatives?view=o365-worldwide



  • @hkdd
    Nochmal die Frage. Was meldet Virustotal? Nur mal um sicherzugehen.



  • @Schlangenmensch ,
    bei Deinem Link muss man sich zunächst bei folgender Adresse anmelden
    https://security.microsoft.com
    Wenn ich das mit meinem MS-Konto mache, kommt folgende Meldung

    Microsoft
    Anmelden
    Leider können wir Sie nicht anmelden.
    
    AADSTS500200: User account '<mein user>@t-online.de' is a personal Microsoft account. 
    Personal Microsoft accounts are not supported for this application unless explicitly invited to an organization. 
    Try signing out and signing back in with an organizational account.
    
    auf DEUTSCH:
    AADSTS500200: Benutzerkonto '<mein user>@t-online.de' ist ein persönliches Microsoft-Konto.
    Persönliche Microsoft-Konten werden für diese Anwendung nicht unterstützt, es sei denn, 
    Sie werden ausdrücklich zu einer Organisation eingeladen.
    Versuchen Sie, sich mit einem Unternehmenskonto abzumelden und wieder anzumelden.
    

    Ich kann also nicht unternehmen.

    @Quiche-Lorraine ,
    was ist Virustotal ? Ein externes AV-Programm ?



  • @hkdd sagte in Release-EXE als Virus erkannt:

    @Quiche-Lorraine ,
    was ist Virustotal ? Ein externes AV-Programm ?

    Ein Webserver, der serverseitig eine hochgeladene Datei von einem Haufen Antivirus Programme prüfen lässt und die jeweiligen Ergebnisse anzeigt. Wenn du zB eine Alarmierung bei 2 von 75 Antivirenprogrammen hast ist deine Datei vermutlich virenfrei und für die beiden Anti-Virenprogramme ein false positive.



  • @DocShoe
    Ich habe es gefunden und das Programm (man muss es vorher neu compilieren / erstellen) hochgeladen.
    Es wird folgendes Ergebnis angezeigt

    1 security vendor and no sandboxes flagged this file as malicious
    MaxSecure Trojan.Malware.300983.susgen

    Ich hatte bei diesem Programm bei den Einstellungen für die CPU Varianten ausprobiert: Any CPU, x86, x64.

    Zuletzt war Any CPU eingestellt => Release-Version angeblich Virus.

    Nun habe ich bei der CPU mal alle Einstellungen probiert und jedesmal die EXEn erstellt.
    Nun meldet der Defender keinen Fehler mehr.
    Bei Virustotal werden aber jetzt zwei Fehler gemeldet.

    2 security vendors and no sandboxes flagged this file as malicious
    MaxSecure Trojan.Malware.300983.susgen / SecureAge Malicious



  • @hkdd https://www.microsoft.com/en-us/wdsi/filesubmission/ hätte ich noch gefunden. Da sollte man sich entsprechend als "Home user" auch mit einem privaten Account anmelden können.

    Virus Total gibt dir auch aus, welche Hersteller ein Virus melden. Bei denen kann man i.d.R. auch False Positives melden.


Log in to reply