Trojan:Win32/Cerdigent.A!dha

[KnolleJupp]

Da gibt es nichts zu entfernen.
Wenn du die aktuellen Virensignaturen des Defenders drauf hast, düfte diese False-Positiv Meldung gar nicht mehr kommen.
Müsste aktuell die Version 1.449.477.0 sein.

 

[Michele Halagar]

Tut mir leid, habe immer alles aktuell, Update jeden Tag Updates wenn da und auch aktualisiere Defender oftmals am Tag. Der Trojaner ist immer nich in Quarantäne angezeigt, 3x, weil ich 3 x am 4.5.26 den Def-Test hatte laufen lassen. Bei WIN 10 und WIN 11 Michele

 

[KnolleJupp]

Der Grund ist ganz einfach: Es gibt keinen Trojaner.
OK, es gibt ihn schon, aber der Rechner ist nicht damit infiziert.
(Es wäre auch ziemlich seltsam, wenn plötzlich weltweit jeder Windows Rechner gleichzeitig mit der gleichen Sache infiziert wäre...)

Der Defender glaubt nur er würde diesen Trojaner erkennen in gewissen Stammzertifikaten.
Die sind sauber, enthalten aber Code-Schnipsel, die eben auch dieser Trojaner enthält und damit erkennt der Defender diese völlig harmlosen Zertifikate fälschlicherweise als bösen Trojaner. Die Virensignaturen erhielten bereits kurz nachdem die Sache bekannt wurde ein Update.

Die Zertifikate werden auch einfach wieder nachgeladen, falls sie gelöscht/entfernt werden.
Dieses Nachladen kann man - wenn man ganz auf Nummer Sicher gehen will - auch manuell anstoßen.

Also....
1. Das ist keine echte Infektion, sondern der Defender erkennt in was harmlosem fälschlicherweise einen Trojaner.
2. Die Stammzertifikate werden automatisch nachgeladen, wenn z.B. irgendein Dienst oder irgendeine Webseite diese anfordert.
3. Man kann die Zertifikate auch manuell erneuern, wenn man das will oder meint machen zu müssen.
4. Nicht nur werden diese Zertifikate nach dem Update der Signaturen nicht mehr falsch erkannt,
auch der Herausgeber der Zertifikate "DigiCert" hat diese - glaube ich - umgehend zurückgezogen und aktualisiert neu veröffentlicht.

Ich hatte sie beim ersten Alarm nicht in Quarantäne verschoben, sondern löschen lassen.
Dann habe ich sie mir einfach wiedergeholt, nachdem klar war das das ein Fehlalarm war. Hätte das Betriebssystem aber auch von alleine gemacht.

 

[lordZ]

Ähm, der Trojaner dürfte bei ihm schon seit Tagen nicht mehr angezeigt werden, es sei denn, er ist oder war wirklich damit infiziert?

 

[1lluminate23]

Ach Menschschade, ich hatte gehofft der Microsoft Defender würde mir mal eine Erkennung anzeigen. /Ironie aus

Nein, Spaß beiseite: Mein Microsoft Defender hat seit seiner Nutzung noch nie einen Alarm/Fund/False Positive gemeldet.

 

[BFF]

Dann bau Dir mit z.B. AutoIT einen Tool was z.B. Netzwerklaufwerke verbindet und aus IP den Namen des NAS macht. Dann kompilierst Du das für x86/x64 mit maximaler Komprimierung.

Defender fängt mich da jedesmal weg. 😂

Passiert auch wenn Du Batchkonstrukte per Bat2Exe wandelst.

 

[kartoffelpü]

@lordZ wenn einmal was in der Quarantäne gelandet ist, wird es da auch drinbleiben, bis du es selber löscht oder wiederherstellst. Oder nach (afaik) 30 Tagen wird es automatisch gelöscht.

 

[Michele Halagar]

Re: FTrojan Win32/Certigent.A!dha

Hallo sehr geschätzte Spezialisten,
in Sachen Trojan:Win32/Certigent schreibt man mir, soll mich nicht darum kümmern, sei falsche Meldung, sei kein Fehler. Aber was ist, inzwichen 3 Fehlermeldungen, alle sollen mit unterschiedlichen Adressen in Quarantäne sein. Also Platz belegen. Bedeutet doch, dem Betriebssystem fehlen doch die Daten / Steuerbefehle, die in dem angeblichen Trojaner sind, weil die in Quarantäne. . Müsste man die Quarantäne nicht aufheben, den Inhalt nicht auflösen? Falls ja, wie machte man das? Bei jedem Testlauf kommen keine neue Fehlermeldungen. Bin da ganz irritiert, weil auch keine Ahnung was zu tun oder zu unterlassen ist und ob ich mit den 3 Fehlereintragungen leben muss, oderob die eines Tages von selbst veschwinden?
Viele Grüße Michele

 

[BFF]

Was mit den Meldungen passiert steht exakt ein Post ueber Dir. @Michele Halagar

 

[Michele Halagar]

Was ist afaik? Habe noch aus früheren Tagen Fehlermeldungen, die in Qurantäne seien. Die müssten wie auch immer schon längst gelöscht worden sein, sind sie aber nicht. Wenn also afaik bei mir nicht funktioniert, wie bekomme ich die Meldungen aus Quarantäne aufgelöst. Michele

 

[kartoffelpü]

Wobei ich korrigieren muss: Scheinbar ist die Standardeinstellung, dass Dateien aus der Quarantäne nicht automatisch gelöscht werden:

Und der benötigte Platz ist so minimal, dürften nur wenige KB sein.

as far as I know > soweit ich weiß

 

[KnolleJupp]

@Michele Halagar
Dann lösch doch erstmal einfach alles was in Quarantäne ist.

Gib im Suchfeld in der Taskleiste "Windows-Sicherheit" ein, dann
Viren- & Bedrohungsschutz --> Schutzverlauf
Den Filter einstellen auf "Elemente unter Quarantäne". Und dann bei jedem Eintrag der angezeigt wird "Entfernen".

Danach:
Win+X drücken und "Terminal (Administrator)" auswählen, dann im Terminal diese zwei Befehle eingeben:

certutil -generateSSTFromWU roots.sst
gpupdate /force

Dann sind alle Zertifikate wieder da und das Problem hoffentlich gelöst.
Nochmal, es handelt sich um eine Falsch-Positv Meldung. In den beanstandeten Zertifikaten war nie ein Trojaner drin.
Was soll er da auch...?!
Und eigentlich sind die beiden Schritte im Terminal auch gar nicht nötig,
da Windows die eventuell fehlenden Zertifikate automatisch im Hintergrund erneuert.

Wenn du dann noch die Einträge unter "Schutzverlauf" weg haben willst,
gib im Suchfeld in der Taskleiste "Ereignisanzeige" ein, dann
Anwendungs- und Dienstprotokolle --> Microsoft --> Windows --> Windows Defender --> Operational,
Rechtsklick auf "Operational" und "Protokoll löschen" auswählen.