Trojan:Win32/Cerdigent.A!dha (gelöst)

[Andreas Berger]

Diesen Trojaner fand der Defender gerade, heute Morgen noch nicht. Er ist vom 30. April 2026. Ist unter Quarantäne und wurde blockiert. Einmal heißt es, dass er unter Umständen nicht vollständig entfent werden kann. Was nun?

[Tante Google]

[moinmoin]

Steht da kein Pfad, um welche Datei es sich da handelt?
So kannst du ansonsten nichts tun.

[DK2000]

Lustig. Oder vielleicht auch nicht. Habe ich gerade jetzt auch so nebenbei in Windows 10 bekommen. Habe aber weder was installiert oder irgendwas Besonderes gemacht. Nur Edge im Forum offen. Sonst nichts. Sehr seltsam.

Screenshot 2026-05-03 125059.png

Was könnte das sein? Bin ich auch gerade überfragt. Oder wieder mal ein Problem mit dem Defender, wenn das übergreifend in verschiedenen Windows Versionen auftritt.

[Andreas Berger]

rootcert: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
rootcert: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

[Andreas Berger]

Bei mir ist es genau wie bei DK2000, nichts gemacht, nichts installiert. Ich wollte den Filter im Schutzverlauf löschen, das klappte nicht.

[DK2000]

Ich habe da nur was auf X gefunden: https://x.com/disintegr8te/status/2050880704402080219

Without Confirmation Defender signature 1.449.424.0 looks to detect two DigiCert public root CAs as Trojan:Win32/Cerdigent.A!dha — thumbprints
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 (DigiCert Trusted Root G4) and
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 (DigiCert Assured ID Root CA).

As it looks the two flagged roots are mostly used for cross‑signing legacy clients and Authenticode (code signing), not modern HTTPS. (Not in the Top Majestic Million)

Aber viel finde ich da gerade nicht. Scheint heute nach dem Update der Signaturen generell aufzutreten.

[Andreas Berger]

Ich hatte so etwas noch nie. Benutze den Defender seit Jahren.

[moinmoin]

Das wird ein Signatur-Fehler sein. Wird dann (hoffentlich) mit dem nächsten Update wieder korrigiert.
Ich hab hier noch die 1.449.421.0. Da tritt das nicht auf.

[Holgi]

https://www.reddit.com/r/DefenderATP/co ... _detected/
https://www.reddit.com/r/cybersecurity/ ... malicious/

[Andi]

Ich bin bei 1.449.422.0 unter Windows 11. Alles gut.

[Marc2]

Das ist kein Fehler. Die Zertifikate sind gesperrt wegen Signatur von Malware.

Bei der Zertifizierungsstelle kam die berüchtige "Datei im Anhang" an, auf die ein Mitarbeiter unbedacht geklickt hat. Danach konnten die Absender beliebige Malware mit gültigen Zertifikaten signieren. ( https://bugzilla.mozilla.org/show_bug.cgi?id=2033170 )

Die Zertifikate wurden dann gesperrt und widerrufen. Da typische Anwendungssoftware allerdings nie überprüft, ob Zertifikate gesperrt sind, ist es vernünftig, so etwas zusätzlich auch noch über den Virenscanner o.ä. blockieren zu lassen.

[Holgi]

ich habe von so etwas ja keine Ahnung.
Könnte es passieren, dass bei einem Windows Neustart aufgrund der unter Quarantäne stehenden Zertifikate ein Windows Startup/Login blockiert wird?

[Andreas Berger]

Eben war ein Defender-Update da. Ich habe noch W10. Es lief ohne Trojaner-Meldung durch. Um Holgi zu beruhigen: ich machte einen Neustart ohne Probleme.

[DK2000]

In der anderen VM kam jetzt das Update auf die 1.449.430.0. Die 1.449.424.0 habe ich hier ausgelassen. Hier kam die Meldung bislang nicht. Der Schuztverlauf ist leer.

[moinmoin]

Dieser "Trojan:Win32/Cerdigent.A!dha" ist auch nur in der 1.449.424.0 enthalten

https://www.microsoft.com/en-us/wdsi/de ... .449.424.0