PDM:Trojan.Win32.Generic - msmpeng.exe gefunden

[CronoK]

Hallo,

 

wollte gestern Kaspersky Internet Security deinstallieren, weil es nicht mehr so gearbeitet hat, wie es sollte (Beschreibung folgt). Während der Deinstallationsroutine (gestartet über "Einstellungen -> Apps -> Deinstallieren") kam kurz vor dem Durchlauf noch eine Virenmeldung von Kaspersky. Genau dann, als Windows registriert hatte, dass der aktuelle Virenschutz (Kaspersky) ausgeschaltet wurde und zur Zeit keiner aktiv ist. Der Windows Viren- und Bedrohungsschutz springt dann normalerweise erst nach einem Neustart an. Das ist glaube ich ein normales Verhalten.

 

Gefunden wurde PDM:Trojan.Win32.Generic in der Datei msmpeng.exe (Bild 1-3).

 

Pfad: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0

Nach dem Neustart hat sich der Windows Defender auch nicht angeschaltet und hat sich selbst mit "sfc /scannow" nicht reparieren lassen (Bild 4-5).

 

Mit einem Backup konnte ich das Verhalten einmal reproduzieren. Danach mit den selben Backups und dem identischen Vorgehen gab es die Virenmeldung nicht mehr. Soweit ich weiß gehört die Datei zum Windows Defender. Ich habe die Datei mit Kaspersky, Malwarebytes und bei Virustotal nochmals geprüft. Es wurden keine Viren/Trojaner gefunden (Bild 6).

Zuvor hatte sich Kaspersky anders verhalten als sonst. Im sicheren Browser wurden Seiten nicht mehr geladen (von jetzt auf gleich) und danach er ließ sich nicht mehr starten (Bild 7). Des Weiteren konnte bei gewissen Dateien keine Verbindung zum KSN bezüglich Überprüfung von Dateireputation aufgebaut werden (Bild 8).

Ich habe danach andere Backups aufgespielt, bei denen der sichere Browser sowie die KSN Überprüfung funktioniert haben. Auch da lief die Deinstallation von KIS wieder ohne Virenmeldung.

 

Die betroffene Datei habe ich aufgehoben. Logs habe ich wegen Deinstallation und Aufspielen von Backups nicht mehr. Ich kann es zur Zeit auch nicht reproduzieren. Malwarebytes läuft parallel (ich weiß - es ist nicht empfohlen) auch und hat währenddessen nichts gefunden.

System:

Windows 10, 22H2 Build 19045.2251

Kaspersky Internet Security 21.3.10.391 (j)

Malwarebytes 4.5.18

 

False-positive? Kann ich die Datei zur Untersuchung hier hochladen? Wie kann mir geholfen werden bzgl. Analyse?

 

 

[Schulte]

Hallo @CronoK,

bei einer "PDM"-Erkennung ist es unbedingt erforderlich, den Support einzuschalten.
Es handelt sich hierbei um einen Alarm des proaktiven Schutzes, also eine verhaltensbasierte Erkennung.

Der Support darf die zur Lösung benötigten Logs anfordern und auswerten, wir leider nicht.

Zum Vorfall:
als Schädling wurde offenbar eine Defender-Datei ausgemacht. Durchaus möglich, dass es sich um einen falschen Alarm handelt, ich würde es in Deinem Fall aber nicht auf die leichte Schulter nehmen, da sich der Rechner schon vorher nicht ganz korrekt verhalten hat.
Bei Deiner Dreierkombination (Defender/MBAM/KIS) wäre auch eine gegenseitige Behinderung möglich: Defender stört sich an einer Aktion von MBAM und will diese unterbinden, dies gefällt KIS nicht und blockiert den Defender.

Du solltest also vom Support das System checken lassen, ob eventuell etwas von KIS nicht erkanntes vorhanden ist.
Natürlich wird man Dir zunächst empfehlen, MBAM zu deinstallieren und dann ein neues Log zu erstellen. Ich würde dem Folge leisten, nach Klärung kannst Du MBAM bei Bedarf wieder aufspielen.

Welche Dateien bei Erkennung einer Bedrohung vom Typ PDM an die Anfrage an den technischen Support angehängt werden müssen

Da einige der benötigten Logs nicht mehr verfügbar sind, verweise bitte auch auf dieses Thema hier.

[CronoK]

Auch wenn das hier nicht der direkte Support ist:

Wie soll ich Logs liefern, wenn das Programm deinstalliert? Löscht es diese dann nicht mit? Selbst mit Backup aufspielen lässt es sich aktuelle nicht mehr reproduzieren.

[Schulte]

Hi @CronoK,

mein Rat betraf die Begutachtung Deines aktuellen Systems. Sollte darauf etwas schlummern, könnte das Problem zurückkehren. Ein GSI-Log ist immer aussagekräftig, in jede Richtung. Es ist aber Deine Sache, ob Du den Service haben möchtest.
Das vergangene Ereignis lässt sich nach Deinstallation und Backup natürlich nicht mehr exakt nachvollziehen.