Da qualche giorno, centinaia di file di lavoro DSM - Synology NAS sono stati intercettati da Defender come minacce!

Question

Da qualche giorno, centinaia di file di lavoro DSM - Synology NAS sono stati intercettati da Defender come minacce!

G. Grammatico 0

Ciao a tutti

Lungo, scusate..

Da un paio giorni ho un problema fastidioso e persistente, non risolvibile, che interessa la cartella di lavoro di Synology Drive Client 3.5.2.

Utilizzo Windows 11 Pro 64 bit v25H2, e da un paio di giorni ho scoperto casualmente che Windows Defender è diventato incredibilmente lento quando richiamato dalla sua icona nella barra delle applicazioni.

Una volta aperto Defender, ha presentato un report con CENTINAIA (!) di minacce, tutte causate da file (temporanei?) nella cartella di lavoro nascosta "D:.SynologyWorkingDirectory".

La stragrande maggioranza delle minacce è stata eliminata. Ma qualcuna con la classificazione "grave" e con l'avviso che Defender potrebbe non essere stato in grado di eliminarla completamente la minaccia.

Sono quasi certo che non si tratta di minacce reali, secondariamente per la mia estrema cura comportamentale e di navigazione,

ma in primo luogo perché sono centinaia e se ne creano in continuazione, solo ed esclusivamente nella cartella: D:.SynologyWorkingDirectory, mentre Defender da parte sua provvede puntualmente ad eliminarli all'infinito, diventando quindi lentissimo e altrettanto lenta lenta l'apertura della sua cronologia.

Ho fatto una scansione approfondita del sistema con Defender sia Online che Offline, ma non è emerso nulla. Ho effettuato una scansione anche con MalwareBytes e non è emerso nulla, forse anche perché i files sono rapidamente cancellati da Defender.

Sospetto quindi che Windows Defender abbia classificato arbitrariamente i file temporanei di Synology come minacce.

Ho eseguito tutte le scansioni possibili, sia con Windows Defender online che offline, e con altri prodotti, e non ho trovato nulla. Ma anche perchè i files vengono rapidamente eliminati da Defender.

Anche cancellare la cronologia di Windows Defender è stata un'operazione laboriosa a causa di numerosi (!) tentativi falliti a causa delle protezioni operative e di basso livello di Windows 11 Pro 64-bit v25H2.

L'unica soluzione è stata quella di avviare WinRE da un supporto USB di installazione di Windows, quindi eliminare la cartella delle scansioni (D:\ProgramData\Microsoft\Windows Defender\Scans) da DOS. È stato necessario procurarsi anche la chiave Bitlocker.

Ma non serve a nulla cancellare la cronologia perché si ricrea continuamente con nuove rilevazioni !

Sono costretto a mettere in pausa Synology Drive Client v3.5.2

Quali opzioni ? Un supporto ?

Saluti..

2 risposte

Risposta

Answer 1

Ciao

Stai riscontrando un falso positivo di Microsoft Defender sui file temporanei del client Synology Drive. Il modo per interrompere i rilevamenti consiste nell'escludere solo la cache di lavoro di Synology e il processo del client Synology Drive in Defender, quindi forzare un aggiornamento dell'intelligence di Defender e riprendere la sincronizzazione.

Mettere prima in pausa Synology Drive Client. Apri Sicurezza di Windows, vai a Protezione da virus e minacce, quindi Gestisci impostazioni in Impostazioni di protezione da virus e minacce, quindi Esclusioni, quindi Aggiungi o rimuovi esclusioni. Aggiungere un' esclusione di cartelle e puntarla a D:\.SynologyWorkingDirectory. Se la cartella è nascosta, digita D:\.SynologyWorkingDirectory nella barra degli indirizzi di Esplora file, premi Enter, quindi copia il percorso dalla barra alla finestra di dialogo di esclusione.

Sempre in Esclusioni, aggiungere un**'esclusione di processo** per l'eseguibile del client Synology Drive. Il modo più semplice per trovare il percorso esatto è aprire Task Manager, trovare Synology Drive Client nella scheda Processi, fare clic con il pulsante destro del mouse, scegliere Apri percorso file, quindi copiare il percorso completo dell'eseguibile nella finestra di dialogo Esclusione processo.

Torna a Sicurezza di Windows, in Protezione da virus e minacce, apri Aggiornamenti di protezione e scegli Verifica aggiornamenti per estrarre la versione più recente di Security Intelligence. Ora riprendi Synology Drive Client e lascialo funzionare per un po'. La cronologia della protezione dovrebbe smettere di riempirsi perché Defender ignorerà la cache di staging specifica e il processo di sincronizzazione, continuando a scansionare le cartelle di dati effettive e tutto il resto nel sistema.

Se qualcosa nel percorso differisce nel PC o non è possibile aggiungere l'esclusione del processo tramite l'interfaccia utente, è possibile farlo con PowerShell con privilegi elevati. Eseguire PowerShell come amministratore, quindi usare:

Add-MpPreference -ExclusionPath D:\SynologyWorkingDirectory

seguito da

Add-MpPreference -ExclusionProcess <full-path-to-your-synology-exe>

Questa operazione funziona esattamente come l'interfaccia utente.

Prova prima questa singola modifica. In quasi tutti i casi, come il tuo, si interrompe immediatamente il ciclo mentre tu mantieni la protezione completa ovunque.

G. Grammatico 0 Punti di reputazione

2025-11-03T13:40:14.01+00:00

Gerntilissimo Francisco, grazie per la tua risposta e il tuo consiglio. La soluzione da te proposta è funzionale e già nelle mie corde, tuttavia, in primo luogo è come mettere la spazzatura sotto il tappeto perché non risolve :) Spero condividerai questa posizione.

Secondariamente, benché entrambi immaginiamo la rilevazione come di un falso positivo, non si può escludere al 100% la presenza di una minaccia, magari anche in uno solo dei mille files rilevati e nonostante il mio atteggiamento prudente e accorto.

Per ora ho messo in pausa il client Synology e spero in un paio di giorni di leggere novità in merito, poiché sono quasi sicuro della responsabilità di Defender che rileva arbitrariamente files sconosciuti con nomi del tipo "m97wao-X" come minacce. Quindi credo e spero in una rapida correzione del comportamento di Defender da parte del team che lo sviluppa.

Nel frattempo ho segnalato il problema anche a Synology, poiché ho motivo di credere di non essere l'unico interessato dal problema. Spero di avere ragione e nelle segnalazioni di altri utenti, così Synology si interfaccerà direttamente con MS Defender per trovare una soluzione, o magari verrà risolta direttamente suo team.

Se il problema non si risolve in pochi giorni e avrò certezza di un falso positivo, attuerò la soluzione da te proposta.

Dimenticavo... in cinque/sei anni di utilizzo di Synology NAS questa è la prima volta che succede.

Grazie, a presto. Se hai novità accoda... Ciao !
Francisco Montilla 20,585 Punti di reputazione Consulente indipendente

2025-11-04T11:05:33.8833333+00:00

I agree, blanket exclusions would only hide the symptom. If you want to be sure, the next step is to capture one of the flagged cache files and submit it to Microsoft Security Intelligence as a suspected false positive. That gets a human verdict and, if confirmed, Microsoft ships an updated Security Intelligence that stops the loop for everyone without weakening your protection.

In Windows, open PowerShell as Administrator and run Get-MpThreatDetection to read Defender's exact threat name, the path under D:\.SynologyWorkingDirectory, and the detection timestamp. If you want a file you can refer to later, export it with:

Get-MpThreatDetection | Export-Csv "$env:USERPROFILE\Desktop\DefenderHistory.csv" -NoTypeInformation

This gives you the evidence you will include in the submission.

Open Windows Security and briefly turn off Real-time protection. Immediately copy one or two of the smallest just-flagged files from D:\.SynologyWorkingDirectory to a staging folder like C:\SubmitToMS, then turn Real-time protection back on right away. If you prefer not to toggle protection, you can also do the copy from WinRE as you did before, which is safer but more work.

Submit the sample to Microsoft's official portal and label it as Clean false positive. Go to Submit a file for malware analysis, sign in with your Microsoft account, upload the file and paste the Defender threat name plus a short note that these are "Synology Drive Client temporary files created under .SynologyWorkingDirectory with names like m97wao-*".

If you want to double check that this is a known pattern, Synology's own guidance explains that antivirus engines can trip on the hidden .SynologyWorkingDirectory working cache and describes it as a false alarm scenario for temp files.

Answer 2

G. Grammatico 0

Thanks for your further help.

Contrary to my initial plan, I chose the easiest and quickest solution, considering the app's history and my behavior, and also making sense:

I deleted Defender's history and added the *drive.exe folder and file to the exclusion list. However, I'm wondering why I've had no alerts for six years, and now I've had a thousand false positives in a single day. And just as many the next day.

Condividi tramite

Da qualche giorno, centinaia di file di lavoro DSM - Synology NAS sono stati intercettati da Defender come minacce!

2 risposte

Risposta