Windows Defender meldet osk.exe als Trojaner

[English]Lustige Geschichte, auf die mich Blog-Leser Paul B. gerade aufmerksam gemacht hat. Der Windows Defender löst einen Fehlalarm bei einer Windows-eigenen Datei aus, weil diese angeblich einen Trojaner Win32.AccessibilityEscalation.a enthält.


Anzeige

Paul schrieb mir dazu folgenden Text (danke für die Info und den Screenshot):

Nach den heutigen Update der Virensignaturen für den Defender KB2267602 erkennt dieser die “osk.exe” von Microsoft, zu finden im \system32-Verzeichnis, als Trojaner infiziert.

Dabei handelt es sich um das ” On Screen Keyboard” die Windows eigene Bildschirmtastatur.

Spass mit Microsoft!

Defender-Fehlalarm

Noch jemand von diesem Fehlalarm bezüglich des Trojaners Win32.AccessibilityEscalation.a betroffen?

Ergänzung: Kein Fehlalarm – it’s by design

Es wurde ja in nachfolgendem Kommentar kurz angesprochen – das ist kein Fehlalarm, sondern eine Schutzmaßnahme des Betriebssystems. Der Defender-Alarm tritt immer auf, wenn Systemdateien scheinbar manipuliert wurden. Ich habe am Ende des Beitrags Vom Windows-Administratorkonto ausgesperrt – II ein paar Informationen nachgetragen, die erläutern, was Sache ist.


Anzeige

Dieser Beitrag wurde unter Virtualisierung, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Responses to Windows Defender meldet osk.exe als Trojaner

  1. Guido sagt:

    Hallo, KB2267602 hat bei mir noch keinen Fehlalarm ausgelöst.KB2267602 gibt es schon sehr lange, lediglich die Definitionen ändern sich ja ständig. Bei mir aber auch dort keinen Fehlalarm. Habe gerade einmal die Bildschirmtastatur getestet aber auch beim benutzen dieser keinen Alarm.

  2. mandril sagt:

    Nö!
    macht defender nicht. egal ob w7-osk oder w10.
    auch virustotal sagt: Null.
    Da ist dann wohl was anderes faul…

  3. Frank sagt:

    nö , bei mir auch kein problem mit der “osk.exe”

  4. Martin B sagt:

    Vielleicht befand sich ja ein Trojaner gleichen Namens auf dem System, vgl. https://www.symantec.com/security-center/writeup/2016-030408-0817-99

  5. Werbung

  6. Ravi sagt:

    Simillary am also getting alerts for “sethc.exe” and “utilman.exe” as Trojan:Win32/AccessibilityEscalation.a Trojan.

  7. Herr IngoW sagt:

    Hier ist der Defender mit diesen Versionen:
    Antimalware-Clientversion: 4.18.1807.18075
    Modulversion: 1.1.15200.1
    Antiviren-Version: 1.275.898.0
    Antispyware-Version: 1.275.898.0
    Alles von Heute 07.09.2018 von 11:38:49.
    Alles easy, keine Alarme irgendwelcher Art.
    Auf dem Bildschirmfoto ist der Defender aus oder.

  8. Ravi sagt:

    Windows released this signature last week.

    This alert is generated, if you replace cmd.exe to Seth.exe, utilman.exe, osk.exe for privilege escalation in windows.

    After the execution of this replaced file defender will trigger it as Accessibility escalation and removes the file.

    So no more windows login bypass is possible from now onwards if defender is fully updated.

  9. Stefan sagt:

    Nö, hatte ich auch, mit MSERT auf nem uralten 2k3-Server

    Threat detected: Trojan:Win32/AccessibilityEscalation.A
    file://C:\WINDOWS\system32\sethc.exe
    SigSeq: 0x00002E964F5EE241
    SHA1: e6da68dc4004009faaae568c11363d4237fb7bae

  10. Dekre sagt:

    Interessant, MSE erkennt am 11.09.2018 diverse Programmdateien vom Hersteller EaseUS als PUA:Win32/FusionCore

    MS schreibt dazu in Ihrer Datenbank:
    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=PUA%3aWin32%2fFusionCore&threatid=229442&enterprise=0

    Ich habe von EaseUS nur die Freeversionen zum testen installiert. Hat das jemand auch festgestellt?

  11. Rob van Tiel sagt:

    I have exactly the same problem : AccessibilityEscalation.A seen as virus.
    This happened after I assisted a friend , who lost his Windows local logon password.
    To overcome that problem . I have replaced utilman.exe in cmd.exe
    ( then at poweron , when you select onscreen keyboard , you will get a cmd screen , so that you can create a new logon etc….
    When I replace utilman.exe with the original one ( instead of cmd ) the virus is not found

  12. Och Günther, jetzt bin ich aber enttäuscht von dir.
    Bringe diese Meldung doch bitte mal im Zusammenhang mit Utilman.exe
    Na? Klingelt das was? Jetzt verstehst du weinigstens warum ich so enttäuscht bin.

    Für alle die mit dem Tipp nichts anfangen können:
    Bei diversen Problemen und Crypto-Trojanern war es echt hilfreich eine CMD oder andere Systemtools zu starten. Blöd nur, wenn der Crypto-Trojaner direkt nach der Anmeldung den Zugriff auf die CMD verhinderte. Man musste also eine Möglichkeit schaffen, die CMD zu starten, bevor man sich einloggt.
    Allerdings hat man ja nicht viele Möglichkeiten ein Programm vor Login zu starten (https://goo.gl/images/uSQ1B6)

    Einzige Möglichkeit? Systemprogramme auszutauschen und den Programmverweis damit auszutricksen. Beispiel
    Eine Kopie der Ultilman.exe (Erleichterte Bedienung) anfertigen und anschließend das Original gegen die cmd.exe auszutauschen.
    Schon konnte man Versuche unternehmen um den Trojaner zu killen.
    Als kleines Beispiel, bei dem dies so gemacht wurde GemaVirus3.0 (https://www.youtube.com/watch?v=szFJxqRviuo)
    In der Videobeschreibung ist auch der Link, wie man diese Systemdatei ändert.

    Also: Microsoft erkennt sich jetzt nicht selbst als Virus, sondern möchte den Nutzer auch vor diesem Angriff schützen und warnt ihn deshalb, dass Systemdateien genutzt werden können um Angriffe zu starten

    Mit freundlichem Gruß
    InformatikTube

    • Günter Born sagt:

      Ok, der Kommentar steckte im Spam-Ordner und ist mir heute untergekommen. Das Thema ist inzwischen oben im Text, an anderen Stellen und in nachfolgendem Kommentar angesprochen. Der Kommentator zieht das Ganze zu einem Link zusammen – da versteht man mit wenigen Worten, um was es geht ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.