Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen?

Diskutiere Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen? im Windows 10 FAQ Forum im Bereich Windows 10 Foren; Aktuell schein mal wieder ein Trojaner verstärkt aufzutreten, den es schon recht lange gibt, und zwar den AgentTesla!ml Trojaner. Seit 2014 dürfte...
Aktuell schein mal wieder ein Trojaner verstärkt aufzutreten, den es schon recht lange gibt, und zwar den AgentTesla!ml Trojaner. Seit 2014 dürfte dieser Trojaner schon im Umlauf sein, scheint aber zur Zeit quasi ein Revival zu erleben, und darum klären wir in diesem Kurztipp was genau der AgentTesla Trojaner ist und wie man diesen wieder los werden kann.

Win10,#Win10Windows10,#Windows10,#Windows,#Trojaner,#AgentTesla#Win32 AgentTesla!ml#AgentTesla...png

Alles zum Thema Windows 10 auf Amazon

AgentTesla, auch oft im Internet mit den Schreibweisen Agent Tesla, Win32/AgentTesla!ml oder nur AgentTesla!ml zu finden, ist in der Lage Passwörter abzugreifen oder auch die Tastatureingaben der Anwender*innen zu erkennen und so eben auch Passwörter und andere sensible Daten zu tracken. Erhalten kann man ihn recht leicht, da er sich innerhalb einer Installationsroutine oder auch in einem Anhang einer E-Mail befinden kann, aber man wird Ihn laut Microsoft auch sehr leicht los, auch wenn es einen kleinen Haken geben kann.

Win10,#Win10Windows10,#Windows10,#Windows,#Trojaner,#AgentTesla#Win32 AgentTesla!ml#AgentTesla...png

Mit aktivem Windows Defender sollte AgentTesla direkt erkannt werden, so dass man die betroffene Datei direkt entfernen oder in Quarantäne senden kann, natürlich werden auch viele andere aktuelle Scanner AgentTesla!ml erkennen. Auch wenn dies in der Regel recht problemlos funktioniert, sollte im Anschluss zur Sicherheit ein kompletter Scan gemacht werden. Als bereits erwähnten Haken melden manche, dass Programme unter Umständen auch fälschlicherweise anzeigen, sie wären vom AgentTesla!ml Trojaner befallen. Will man so ein Programm unbedingt nutzen, kann man das Ganze nur auf eigenes Risiko freigeben, sollte aber am besten von der Nutzung absehen.

Kommentar des Autors: Manche Klassiker kommen eben immer wieder, leider auch im Bereich der Trojaner…
Win10,#Win10Windows10,#Windows10,#Windows,#Trojaner,#AgentTesla#Win32/AgentTesla!ml#AgentTesla!ml,Trojane,Trojaner AgentTesla,Ratgeber,Tipps,Tricks,Hilfe,Anleitungen,FAQ,Tipps & Tricks für Windows 10,#Benachrichtigungen,Windows 10 Benachrichtungen Apps Anwendungen aktivieren deaktivieren personalisieren
 
Big Eddie Calzone

Big Eddie Calzone

Erfahrener Benutzer
Dabei seit
14.02.2019
Beiträge
289
Version
Win 10 Pro x64 - 21H2 Build: 19044.1466
"Evergreen" nennen wir das in der Musik.
 
Zeiram

Zeiram

Redakteur
Threadstarter
Dabei seit
30.07.2015
Beiträge
1.779
Aber einen Evergreen mag man ja, zumindest meistens... ^^
 
V

volkeru

Neuer Benutzer
Dabei seit
03.09.2021
Beiträge
4
Zuerst einmal: Microsoft stuft seit kurzem meine mit Visual Studio selbst compilierten Installer-Pakete als dieses Virus ein, was kompletter Unsinn ist. Denn nur Microsoft erkennt hier dieses Virus, kein anderer Scanner. Die Pakete sind nachweislich sauber. Das sogenannte "Revival" dieses Virus führe ich daher mehr auf umfangreiche "false positives" von Microsoft zurück (was nichts Neues ist), als auf eine Wiederkehr oder gar eine echte Bedrohung!
 
Argor

Argor

Erfahrener Benutzer
Dabei seit
30.04.2019
Beiträge
1.105
Ort
Saarland
Version
Win 10 x 64 Pro 21H1
System
Strix X570-F, R9 3900X, 32 GB, RTX 3080 Strix OC, PG348Q
@volkeru

Habe jetzt einige Zeit nicht mehr wirklich mit dem Visual Studio gearbeitet, aber ich kann mich erinnern, dass da was war und man die Dinger mit Zertifikaten signieren musste.
Kannst ja mal googlen zu dem Thema.
 
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
9.697
Version
.............Win 11 Pro 64 bit Build 22000.438
System
Desktop HP 290 G2, CPU i5 8500, Ram 16 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
... oder zu den Ausnahmen hinzufügen.
 
V

volkeru

Neuer Benutzer
Dabei seit
03.09.2021
Beiträge
4
@Argor: Sicher, wenn man das Geld hat, sich ein teures Entwickler-Zertifikat zu kaufen, kann man das machen. Kostenlose Zertifikate gibt es schon seit längerer Zeit nicht mehr. Und wenn man die Software nur für sich selbst benutzt, kann man sie natürlich auch zu den Ausnahmen hinzufügen. Für öffentliche Shareware oder kostenfreie Freeware ist das allerdings nicht drin. Ganz unabhängig davon, sollte aber ein brauchbarer Virenscanner keine False-Positives melden. Und da Microsoft immer wieder False-Positives meldet - und das laut VirusTotal als einziger von 60 Virenscannern - ist da definitiv was faul und das Teil nicht wirklich brauchbar. Oder Microsoft macht es mit Absicht, um seine teuren Zertifikate zu verkaufen und nimmt dabei in Kauf, dass die Nutzer völlig verunsichert werden. Auf jeden Fall alles andere als schön!
 
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
9.697
Version
.............Win 11 Pro 64 bit Build 22000.438
System
Desktop HP 290 G2, CPU i5 8500, Ram 16 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Das verstehe ich nicht. Du kannst jede Anwendung zur Ausnahme hinzufügen - ob das Shareware ist, Freeware oder selbst compilierte Installer - m.E. völlig egal. Du kannst auch ganze Verzeichnisse zu Ausnahmen hinzufügen, wie auch Visual Studio incl. alle Unterordner.

Das MS teure Zertifikate verkaufen will, sehe ich nicht als Anlass. MS sieht unter Sicherheitsaspekten jede solche unbekannte Anwendung als potenzielles Sicherheitsrisiko. Das ist eine System-Philosophie. Ähnlich ist das mit unzertifizierten Treibern.

Es obliegt dem Anwender, dem Defender zu sagen, dass die Anwendung akzeptabel ist.
 
V

volkeru

Neuer Benutzer
Dabei seit
03.09.2021
Beiträge
4
@runit: Ähm?! Natürlich kann man jede Anwendung als Ausnahme hinzufügen, aber man kann das als Entwickler nicht von jedem Anwender erwarten! Sollen 10.000 Anwender alle Ausnahmen hinzufügen? Wenn das Schule macht, ist der Defender nutzlos, weil ihm dann keiner mehr traut und man bei jeder Meldung eine Ausnahme hinzufügt nach dem Motto "Der meldet ja eh nur Blödsinn". Und genau dieser Effekt tritt ein, wenn man alles, was nicht mit teuren Zertifikaten erkauft ist, erstmal pauschal als Sicherheitsrisiko ansieht. Das ist keine Philosophie, das ist einfach nur dumm. Und es macht den Markt für preiswerte Software und Freeware kaputt, die mit teuren Zertifikaten nicht produzierbar ist.

Und es bleibt die Frage: Warum macht nur Microsoft das so und 60 andere Entwickler von Sicherheitssoftware nicht?

Es ist nicht die Aufgabe des Anwenders, dem Virenscanner zu sagen, was eine Bedrohung ist und was nicht, sondern es ist die Aufgabe des Virenscanners, dies dem Anwender mitzuteilen! 60 andere Hersteller sind dazu ja auch in der Lage...
 
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
9.697
Version
.............Win 11 Pro 64 bit Build 22000.438
System
Desktop HP 290 G2, CPU i5 8500, Ram 16 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Und kann denn jeder Anwender mit Visual Studio Installer selbst compilieren? Ich kann das nicht und habe auch gar keinen Bedarf dafür, wie wohl auch kaum ein anderer normaler Nutzer. Wen betrifft das Problem also primär? Ich bin ein normaler Nutzer und habe keine Probleme mit false/positiv-Meldungen meiner Anwendungen. So eine Meldung habe ich sehr sehr selten und weiß dann zumeist auch, warum diese erscheint. Wenn der Defender höhere oder auf das eigene BS bezogen andere Sicherheitskriterien zum Schutz des Systems ansetzt als Fremdprodukte, sehe ich das eher positiv. Dem Defender bei einer so speziellen Datei dann zu sagen, hey, die ist ok, finde ich nicht dramatisch.
 
Zuletzt bearbeitet:
V

volkeru

Neuer Benutzer
Dabei seit
03.09.2021
Beiträge
4
Und kann denn jeder Anwender mit Visual Studio Installer selbst compilieren?
Nee, natürlich nicht. ;) Aber der Installer produziert ein Installationspaket (also eine EXE), die der Anwender dann ausführt, um das Programm zu installieren. Diese EXE verteilt man an die Anwender. Und die wird nun vom Defender als schädlich angesehen, obwohl sie von Microsoft selbst produziert wurde. Zu deutsch: Microsoft sieht die von ihren eigenen Entwicklungstools erstellten Produkte als schädlich an, wenn sie nicht zertifiziert sind. Etwas absurd. Andere haben sich darüber auch schon beschwert, siehe hier. Die Antwort von Microsoft, dies sei kein Fehler, weil man das Problem ja beseitigen könnte, indem man den Defender deaktiviert oder Ausnahmen hinzufügt, ist dabei ebenfalls ziemlich absurd. Passt aber irgendwie zu Microsoft.

Wen betrifft das Problem also primär? Ich bin ein normaler Nutzer und habe keine Probleme mit false/positiv-Meldungen meiner Anwendungen. So eine Meldung habe ich sehr sehr selten und weiß dann zumeist auch, warum diese erscheint. Wenn der Defender höhere Sicherheitskriterien zum Schutz des Systems ansetzt als Fremdprodukte, sehe ich das eher positiv. Dem Defender bei einer so speziellen Datei dann zu sagen, hey, die ist ok, finde ich nicht dramatisch.
Das Problem betrifft alle Nutzer, die kostenfreie oder sehr preiswerte Shareware / Freeware nutzen wollen, die mit Microsoft Visual Studio ohne Zertifikate erstellt wurde. Microsoft meldet dabei aber auch nicht jede erstellte Anwendung als Virus, sondern nur manche. So werden bei mir etwa in 50% der Fälle die Pakete als Virus gemeldet. Die anderen 50% scheinen für den Defender okay zu sein, obwohl alle okay sind. Das deutet auf ein ziemlich unzuzverlässiges Erkennungssystem hin. Das Problem ist, dass solche Probleme das Vertrauen in die Leistungsfähigkeit des Defenders beschädigen. Ich bin ja kein Feind des Defenders und bin auch froh, dass es ihn (mittlerweile) gibt. Ich bin aber sehr kritisch und finde, dass er genauso zuverlässig funktionieren sollte, wie andere Malware-Produkte.
 
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
9.697
Version
.............Win 11 Pro 64 bit Build 22000.438
System
Desktop HP 290 G2, CPU i5 8500, Ram 16 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Ok. Danke. Ich glaube, ich habe das Problem erst jetzt vollständig verstanden. Dann sehe ich es auch als unbefriedigend an. Ob das Erkennungssystem so unzuverlässig ist, kann ich nicht beurteilen. Vielleicht ist es ein bestimmtes Kriterium, das unterschiedlich in den Installern enthalten ist, worauf der Defender anspringt.

Wie Du schreibst, ist MS das Problem nicht unbekannt und offenbar so gewollt. Ich weiß ja nicht, ob man mit Visual Studio auch Schadware erstellen kann. Insofern wäre ja nicht automatisch jede Datei unbedenklich, nur weil sie mit Visual Studio erstellt worden wäre. Bei einer Zertifizierung würde die Datei näher geprüft, um sie als unbedenklich einstufen zu können. Wenn es hier nicht um ein Produkt geht, welches einen größeren Gewinnertrag bringen soll, scheut man natürlicherweise die Kosten der Zertifizierung.

Der Moderator @areiland hat ein Service-Tool entwickelt und zur Verfügung gestellt. Bei dessen Installation meckert der Defender, weil der Installer bzw. das Produkt ebenfalls nicht zertifiziert ist. Hier klickt man bei der Installation einfach - Trotzdem Ausführen. Einen Eintrag im Defender gibt es in dem Fall nicht.

Da MS offenbar nicht bereit ist, eine Anpassung vorzunehmen, müssen wir damit leben. Ob das dem Ruf des Defenders schadet - vielleicht ein wenig. Die erhöhte False/Positiv-Quote gegenüber anderen Produkten wird dem Defender regelmäßig nachgesagt, bzw. in Tests von AV Comparatives bescheinigt. Ich konnte es bisher nicht nachvollziehen. Dein Beispiel zeigt mir, durch welche Dateien so ein Ergebnis entstehen kann. Vielleicht besteht hier tatsächlich Optimierungsbedarf beim Defender.

Da Win 10 ausläuft und ab Herbst der Fokus auf Win 11 liegen wird, wäre interessant, ob sich der Defender im neuen BS anders verhält.
 
Zuletzt bearbeitet:
Wolf.J

Wolf.J

Super-Moderator
Dabei seit
28.02.2017
Beiträge
6.115
Version
Verschiedene WIN 10 und WIN 11
Nur zur Info, Winset 10 von @areiland ist ebenfalls mit Visual Studio entwickelt und kompiliert.
 
Thema:

Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen?

Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen? - Ähnliche Themen

Windows 10 Benachrichtungen für alle oder einzelne Anwendungen deaktivieren oder aktivieren: In der Regel sind Benachrichtungen doch eher nützlich da sie eventuell über Neuigkeiten informieren oder wichtige Vorgänge anzeigen, aber jeder...
Windows 11 Update ausblenden – So kann man den Hinweis auf das Windows 11 Update entfernen: Viele, die bereits Windows 10 nutzen, können sich das Windows 11 Update kostenfrei installieren, wenn sie möchten. Nicht jeder will das, wird dann...
Windows 11 Kurztipp - Schaltfläche für Sprachwahl aus der Windows 11 Taskleiste entfernen: Auch unter Windows 11 hat man natürlich die Möglichkeit, verschiedene Sprachen zu nutzen und es gibt dann auch bei Bedarf eine Schaltfläche dazu...
Windows 10 Suchverlauf löschen auf dem PC - So löscht man den Verlauf der Suche in Windows 10: Viele aktivieren den Suchverlauf in Windows 10 erst gar nicht, manche nutzen diesen aber gern, weil er mit der Zeit die Suchergebnisse durchaus...
Windows 10 Kurztipp - Wetteranzeige in Windows 10 Taskleiste entfernen oder personalisieren: Man sagt nicht umsonst, dass der Mensch ein Gewohnheitstier ist, denn oft sind es die kleinen Dinge die man als störend empfindet und für nicht...
Oben