[English]Es sieht so aus, als ob der Microsoft Defender unter Windows fälschlich einen Trojaner meldet. Betroffen sind wohl Systeme von Dell, bei denen der DellSupportAssistRemedationService bemängelt wird. Dieser wird mit Dell-Rechnern über deren SupportAssist mit ausgeliefert. Nachdem ein Blog-Leser mich über den Sachverhalt informiert hat, nehme ich die verfügbaren Informationen mal hier im Blog mit auf.
Anzeige
Leserhinweis auf Defender-Fehlalarm
Blog-Leser Martin B. hat sich vor einigen Stunden per E-Mail gemeldet und wies mich darauf hin, dass es wohl ein false positive beim Microsoft Defender gäbe. Hier sein Hinweis:
Moin,
auf Reddit gefunden, nachdem das Problem bei uns auftrat.
Der MS Defender erkennt wohl auf Dell Laptops einen Trojaner, scheint sich aber um den DellSupportAssistRemedationService zu handeln.
Danke an Martin für diesen Hinweis auf die mögliche Fehlalarmierung durch den unter Windows standardmäßig vorhandenen Microsoft Defender.
Fundstellen bei reddit.com
Geht man im Web nach den Begriffen "DellSupportAssistRemedationService Defender" auf die Suche, sollte dieser wenige Stunden alte Thread bei reddit.com aufgelistet werden.
"CryptoStealBTC" and DellSupportAssistRemedationService.exe
Hi,
We run Dell Latitude Laptops with Defender ATP and started getting alerts a few hours ago.
All the Alerts are for "CryptoStealBTC" Malware was prevented.
The alert history, we always see this "DellSupportAssistRemediationService.exe" interacting with a Inetcache file on disk volume shadow copy…
Looks to be a false positive?
Anyone else seeing this?
Es wird ein CryptoStealBTC-Trojaner gemeldet und in Quarantäne geschickt. Der Betroffene hat noch obigen Screenshot (lässt sich durch Anklicken vergrößern) gepostet. Im Thread bestätigen mehrere Betroffene, dass dieser Fehlalarm des Defender auf ihren Systemen von Dell ebenfalls auftritt. Zudem wurde ein Verweis auf diesen reddit.com-Forenpost eingestellt, wo das Problem auch beschrieben wird.
Dell Support assist installing MalWare
Has anyone had reports of this? was informed we needed to start removing support assist due to MalWare, but the only articles i can find on it are from last year.
Auch in diesem Thread wurden diese Treffer von weiteren Nutzern bestätigt. Es sieht so aus, als ob eine am 2. März 2022 verteilte Signatur-Datei für den Microsoft Defender die Datei DellSupportAssistRemediationService.exe im Verzeichnis:
C:\Program Files\Dell\SARemediation\agent\
fälschlich als Trojaner einstuft. Martin hat mir in seiner E-Mail einen Link auf diesen Thread bei reddit.com mitgeschickt. Dort wird ebenfalls ein Trojaner-Fund diskutiert und mit Dell-Geräten verortet und ein Teilnehmer schreibt:
Anzeige
Do you have Dell support assist installed? It looks like defender is flagging the Dell Support Remediation service under
C:\Program Files\Dell\SARemediation\agent\DellSupportAssistRemediationService.exe
Geht man die Treffer in diversen reddit.com-Posts durch, tritt der Fund auf verschiedenen Rechnern von Dell auf. Unter der Annahme, dass die bemängelte Dell-Datei nicht über einen Lieferkettenangriff kompromittiert wurde, lässt dies nur den Schluss auf einen Fehlalarm des Defender zu.
Auf den meisten Dell PCs mit Windows 10 wird der SupportAssist installiert. Dies ist eine Technologie, die laut Dell auf dem PC dafür sorgt, dass alles reibungslos funktioniert. Die Funktion kann Viren entfernen, Probleme erkennen, Einstellungen optimierten und den Benutzer darauf hinweisen, wenn Updates durchzuführen sind. Ich tippe darauf, dass der Dell SupportAssist Remediation Service zu dieser Technologie gehört und als Wiederherstellungsdienst direkt unter Windows mitläuft.
Dieser SupportAssist ist nach meinen Recherchen immer wieder für Probleme gut. Vor gut 8 Monaten gab es diesen Forenbeitrag bei Kaspersky. Dort schreibt jemand, dass immer wenn "DellSupportAssistRemedationService" versucht, ein Backup zu erstellen, Kaspersky einen Trojaner mit hohem Risiko identifiziert und versucht, diese Datei zu löschen.
2015
