Hello,
I’m using Cryptomator 1.4.15 with Dokany for a while now. Today I got a message from Windows Defender about a “Backdoor:ASP/WebShell.E” in element “boot: \Device\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx” instead of a file. The windows event history shows some more details in two entries naming “Cryptomator.exe” (in German):
Windows Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:ASP/WebShell.E&threatid=2147694140&enterprise=0
Name: Backdoor:ASP/WebShell.E
ID: 2147694140
Schweregrad: Schwerwiegend
Kategorie: Hintertür
Pfad: boot:_\Device\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: xxxxxxxxxxxxx
Prozessname: C:\Program Files\Cryptomator\Cryptomator.exe
Sicherheitsversion: AV: 1.313.1065.0, AS: 1.313.1065.0, NIS: 1.313.1065.0
Modulversion: AM: 1.1.16900.4, NIS: 1.1.16900.4
Windows Defender Antivirus hat Maßnahmen ergriffen, um den Computer vor Schadsoftware oder anderer potenziell unerwünschter Software zu schützen.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:ASP/WebShell.E&threatid=2147694140&enterprise=0
Name: Backdoor:ASP/WebShell.E
ID: 2147694140
Schweregrad: Schwerwiegend
Kategorie: Hintertür
Pfad: boot:_\Device\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Erkennungsursprung: Lokaler Computer
Erkennungstyp: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: NT-AUTORITÄT\SYSTEM
Prozessname: C:\Program Files\Cryptomator\Cryptomator.exe
Aktion: Quarantäne
Aktionsstatus: No additional actions required
Fehlercode: 0x00000000
Fehlerbeschreibung: Der Vorgang wurde erfolgreich beendet.
Sicherheitsversion: AV: 1.313.1065.0, AS: 1.313.1065.0, NIS: 1.313.1065.0
Modulversion: AM: 1.1.16900.4, NIS: 1.1.16900.4
Do you have any idea what this is about? Is the “boot: \Device\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx” device some hidden device used by Dokany? There is no file in quarantine, I don’t know where Windows Defender found the Backdoor or thinks to have found one.
Thanks