フルScan後、PCにウイルスやトロイの木馬はありませんが、

timco89 解決済 最終更新日:2020-08-23 09:15

こんにちは、

これが私の問題です:

Windows 10を実行しています.

Visual Studio 2019で.exeプログラムを作成し、DefenderでこのファイルをScanした後、「現在の脅威はありません」と表示されます.

これまでのところ、とても良い.

このファイルをonedriveにアップロードするか、ローカルファイルをonedriveに同期するとすぐに、問題が発生します.

ブラウザ(ChromeまたはEdge)からファイルをダウンロードしようとすると、トロイの木馬に感染していると表示されます.

その後、Defenderは私のPC上のこのファイルのすべてのコピーを感染したものとして扱います.

なぜ最初は脅威がないと言うのに、ダウンロードしようとするとすぐに感染したと表示されるのですか?

返信リスト(回答:10)

1 #

bhringe 2020-02-27 14:02 1

デベロッパーの方は、以下をご覧ください:

ソフトウェア開発者向けリソースhttps://docs.microsoft.com/ja-jp/Windows/security/threat-protection/intelligence/developer-resources

~bhringer

2 #

timco89 2020-02-28 19:55

HI、

私は非常に奇妙なトロイの木馬の警告を受けています.

私はVisual Studio 2019を搭載したc++でWindowsApplication(.exe)を開発しました.

コードを作成した後、リリースフォルダにあると、PCのWindows DefenderフルScanと新しいApplication(.exeファイル)のカスタムScanの両方を実行します.私はウイルスやトロイの木馬の警告を受けません.

このApplication(.exe)を実行しませんが、Visual StudioプロジェクトファイルもMyOneDriveStorageに同期させるので、ローカルおよびクラウドには.

しばらくした後(翌日)私はWindows DefenderからTrojan警告を受けます:

トロイの木馬:Win32/Wacatac.c！ml

このApplication(.exe)で

が検出されます

他の警告なし、未使用からのこの警告のみが存在しません.

私は本当にWindows DefenderがOky One DayとTrojanが検出されたと言っていると言う方法は本当にわかりません.OKと警告の間のApplicationコードで何も変更されていません.

トロイの木馬として解釈できるApplicationコードには特定のフットプリントがありますか?

これを取り除く方法についてのアイデアは非常に歓迎されています.

応答2# ->にスキップ
3 #
bhringe 2020-02-28 20:221
@

同じ件名に複数のスレッドを起動しないでください.私は2つをマージしました、そして私が提供したリソースをチェックしたかどうかについての私の以前の返事に対する返信を感謝します.

リンクされた参照の手順を見つけた場合は、新しいクロムベースのEdgeブラウザを使用している場合は、Applicationがホワイトリストされている場合があります.

<強力>マイクロソフトEdgeで潜在的に不要なApplicationからユーザーを保護する https://blogs.windows.com/msedev/2020/02/27/jpprotection-users-potially-unwanted-apps//apps/

問題のサイトやアプリを所有している場合は、ここでお知らせください.あなたのフィードバックは私達のチームによってレビューして適切なフォローアップアクションを決定する.

~bhringer

応答3# ->にスキップ
4 #
timco89 2020-03-01 19:29
Visual StudioBuildApplicationからのトロイの木馬の警告にまだ苦労しています.

私はマイクロソフトと連絡を取り、最新のWindows Defenderアンチウイルス定義から私のアプリをホワイトリストに登録しました.

マイクロソフトが私のファイルを削除したとMicrosoftが言った新しいWindows Defenderアンチウイルス定義では、問題ありません.

警告なしで一日中ファイルをScanできます.

ファイルがonedriveにコピーされた後も警告は表示されません.警告なしでScanできます.

しかし、ダウンロードしようとするとすぐに、そのファイルはトロイの木馬であるためブロックされていると表示されます.

その後、削除され、ローカルコピーもトロイの木馬として扱われます.

その後、同じコードのVisual Studioから新しいBuildを作成すると、すべてが再び正常になります.

しかし、一度ダウンロードすると、上記と同じことが起こります.

この新しいファイルを顧客に配布する必要があるので、これは私を混乱させています.

応答4# ->にスキップ
5 #
RobKoch 2020-03-02 00:39
デジタル署名したアプリの実行可能ファイルは?

実際にWindows DefenderまたはMicrosoft SmartScreenを表示する警告の送信元ですか?

私たちは、デジタル署名なしまたは最近変更された証明書がスマートスクリーンフィルタをオフにしていない過去の類似した状況で説明したので、ここで議論したので、ダウンロード
Windows Defender自体ではなくファイルファイル.

スマートスクリーンとWindows Defenderは数年前にマイクロソフトクラウドを介してインテリジェンスを共有し始めてから、実際に1つのセキュリティコンポーネントがトリガされているように思われるので、この関係は分離または理解するのが難しくなっています.
警告を実行するためにWindows Defender for Windows Defenderの情報を渡したその他.

WACATACのような非特異的な一般的な検出に関するそのような問題を見ることは一般的であるため、説明はこれがこれがこれがあるものですが、「！ML」部分とともに脅威に関する特定の情報の欠如が指定されていません.拡張子の
Microsoftが人工知能、したがってクラウドベースの検出である「機械学習」を介して検出されたことを意味します.

https://www.microsoft.com/ja-jp/wdsi/threats/malware-enyclopedia-description?name=trojan:win32/wacatac.c.ml.
あなたがスマートスクリーンのサポートを使って仕事をしているべきか、そして他の問題はここで忍び寄ることは、時間が経つにつれて不可能なものではありませんが、私は真実が相互作用の中でどこかに隠されていると思われる
これらのシステム間.

rob

応答5# ->にスキップ
6 #
timco89 2020-03-02 01:31
これはデジタル署名されていません.私の多くのApplicationでは決して行われていません.

onedriveからダウンロードする前にSmartscreenを無効にしようとしましたが、それでもWindows Defenderからブロックされます.

私も彼のポップアップを取得します

docs.microsoft.com/ja-jp/Windows/security/threat-protection/Windows-defender-antivirus...
しかし、 Windows Defender Antivirusの定義、私が使用しているものは、ブロックせずに通過させる必要がありますが、それでも起こります.

私はこの奇妙な行動の論理を本当に理解していません.

応答6# ->にスキップ
7 #
RobKoch 2020-03-03 02:14
Frist SightでのEnable Blockのドキュメントでは、有効化の方法を詳しく説明しているセクションで次のように言及しているため、実際に検出を実行しているものを見つけたようです.

Windowsセキュリティアプリで一目でブロックが有効になっていることを確認する

Windowsのセキュリティ設定で一目でブロックが有効になっていることを確認できます.
クラウドによる保護と自動サンプル送信が行われている限り、一目でブロックが自動的に有効になります両方ともオンになっています.

実行可能ファイルをマルウェアとして実際に検出しているのは、この最初のブロックシステムであるように見えます.そのドキュメントの上部近くにある「しくみ」の最初の段落では、何が起こっているのかを完全に説明しているためです.

「Windows Defenderアンチウイルスは、疑わしいが検出されないファイルに遭遇すると、クラウド保護バックエンドにクエリを実行します.クラウドバックエンドは、ヒューリスティック、機械学習、および自動分析を適用します
ファイルが悪意のあるものかクリーンなものかを判断するためのファイル.」

これがなぜファイルを検出し続けるのかが不明確である理由ですが、前述したように、過去にマルウェアで使用された可能性がある未署名のファイルやプログラムモジュールに対するマイクロソフトの許容度は急速に低下しています.

署名されていない実行可能ファイルを配信することは最終的には不可能であるように思われます.少なくとも、個人がセキュリティ設定を手動で変更して操作を許可しない限り、広く配布したい実行可能ファイルは配信できません.

Bhringerが示唆したようにマイクロソフトに直接連絡していない場合は、それが最善の方法です.そうである場合は、ブロックによって引き続きフラグが立てられていると彼らが信じている理由を理解することが、本当に理解する必要があります.

ロブ

応答7# ->にスキップ
8 #
timco89 2020-03-03 03:22
先に述べたように、マイクロソフトがテストするファイルを送信し、ホワイトリストに登録されていることを確認しました.

また、ホワイトリストに登録する前とは異なり、ローカルPC上のWindows Defender Antivirusを通過します.

しかし、Scanにはいくつかの方法があり、それらの定義ファイルやホワイトリストファイルが同期していないため、行き詰まっています.

~~それが唯一の方法であると思われるので、ファイルをデジタル署名する方法を見つけるように努めます.~~

Windowsクラウド保護システムを通過するため、このファイルをセットアップファイルに含めることにしました.ユーザーはセットアップファイルを実行した後、Windows Defenderアンチウイルスを使用して、ファイルにトロイの木馬が含まれていないことを確認できます.

この問題の奇妙な点は、何年も前からこのファイルの以前のversionを何回も問題なく使用していたことです.

問題のあるファイルには、重要でないコード行の小さなバグ修正のみが含まれています.
√

応答8# ->にスキップ
9 #
RobKoch 2020-03-03 05:58
セットアップパッケージにアプリを含めることで問題全体がどのように解決されるかはよくわかりませんが、問題なく機能すれば問題ありません.

署名されていないアプリの新しい問題は時々ポップアップし続けます.そのため、デジタル署名なしでコードを配布することはより困難になると思います.これらはコードの開発者ソースを特定するだけでなく、コードが
変更されており、マルウェアが含まれているかどうかはもちろん、ファイルのソースを保証する唯一の方法です.

これらの検出は明らかに機械学習によるものであるため、シグネチャベースではないため、既知のマルウェアを識別しません.代わりに、ディスプレイを検出するために設計されたマルウェアのセットと同様の動作が表示されます
同様に.

ロブ
√

応答9# ->にスキップ
10 #
timco89 2020-03-04 04:05
このファイルをSetup.exeに含めることにより、警告なしでダウンロードできます.

これが機能する理由はわかりません.