[gelöst] Trojaner mit Adobe reader Installation

[Fuggi]

Mir ist da was passiert das kann ich immer noch nicht glauben! Habe auf dem Lenovo Miix 310 Windows 1909 frisch gemacht mittels bereitgestellter ISO, hat zwar sehr lang gedauert im Vergleich zur Installation mit Stick aber was solls. Als es fertig war fing ich an die Programme wieder zu installieren, da auf dem kleinen Teil nicht viel gemacht wird war Adobe Reader eines der ersten Programme die drauf sollten.
Habe es von der Seite: get.adobe.com wo ichs normalerweise immer hole und kaum war die exe Datei am runterladen hat der Defender angeschlagen und sie in Quarantäne verschoben.
Na ja ein Trojaner ist mir seit 10 Jahren nicht mehr untergekommen aber zur Sicherheit habe ich dann das ganze Ding platt gemacht, alles gelöscht und in den freien Bereich dann Windows vom Stick aus nochmal installiert.
Hat geklappt und zur Sicherheit hab ich den Adobe Reader Touch aus dem Store installiert.
Läuft wieder alles aber bei meiner Google Suche fand ich einiges zum Thema Trojaner und Adobe sodaß ich mich wundere hier noch nie davon gelesen zu haben.
Wisst ihr ob das eine echte Bedrohung war oder der Defender sich geirrt hat?
Leider hab ich den Screenshot von der Defenderquarantäne mit dem Neuinstallieren platt gemacht ( im Schreck zu spät dran gedacht das runterzusichern).
Hat schon mal jemand so ein Problem gehabt? Wäre es sicher gewesen mit dieser Installation weiterzuarbeiten?
Weils der Defender ja anscheinend abgefangen hat.
Aber wie löscht man sowas vom System oder macht der Defender das selber?
Hatte ja zum Glück noch nie das Vergnügen sowas machen zu müssen. Gibts irgendwo was zum Nachlesen zu dem speziellen Thema?

 

[Gelöschtes Mitglied 107444]

Wenn du das von der offiziellen Seite geladen hast, dann sollte da auch keine Malware drin sein. Und get.adobe.com IST die offizielle Seite. Entweder Fehlalarm, oder du hattest bereits vorher was drauf.

 

[Fuggi]

ja es ist die offizielle Seite trotzdem hat der Defender den Download abgefangen weil der einen Trojaner enthielt und ich hatte gerade neu aufgesetzt da war noch nichts drauf also entweder Fehlalarm oder im Download enthalten. Google und MS auch haben da Ergebnisse aber ich möchte eigentlich nur wissen ob man die Sachen die der Defender in Quarantäne gibt selber löschen kann?

 

[florian-luca]

Hi Fuggi
nehme an Du meinst diese Version

https://get.adobe.com/de/reader/otherversions/
prüfe mal vorsichtshalber mit Malwarebytes AdwCleaner
https://de.malwarebytes.com/adwcleaner/
mfg

 

[Gast598]

Hi Fuggi,

man installiert Windows nicht neu, weil eine heruntergeladene Datei an der Freigabe blockiert bzw. in die Quarantäne verschoben ist.
Solange eine Datei nicht ausgeführt ist kann sie keinen Schaden anrichten - und Adobe-Software tut das nicht.

Einen Trojaner, egal von welcher Art, so einer steckt in keinem Acrobat-Setup, das wisse ich.



LG Naru!

 

[Fuggi]

tja ich wollte ganz sicher gehen und habe Clean installiert. Wie ist das mit Defender? Löscht der die Sachen die er in Quarantäne verschiebt selber? Kann man das manuell machen?

 

[INKA72]

@Fuggi
mir ist gestern Adobe reader auch vom Defender geblockt worden. Man kann es statt in Quarantäne zu schicken vom Defender gleich löschen lassen. Habe mir dann Adobe Reader Touch herunter geladen ohne dass der Defender wieder angeschlagen hat.
Ein Versuch ist es wert.

 

[Fuggi]

ich habe mir nach der Neuinstallation auch den Adobe Reader Touch aus dem Store geholt.

 

[_Sabine_]

Einen Trojaner, egal von welcher Art, so einer steckt in keinem Acrobat-Setup, das wisse ich.

Auch bei Adobe arbeiten nur Menschen, die Fehler machen können (bzw. ständig machen). Wäre nicht der erste Fall, dass ein Download von offizieller Quelle aus Schadsoftware beinhaltet. Zudem Adobe ja auch das sehr charmante Konzept hat bei der Softwareverteilung auch gleich noch unerwünschte Software zu beinhalten, wenn man als User zu wenig Ahnung hat / nicht genau darauf achtet. Von Java sollte man besser gar nicht erst anfangen. Sicherheit ist nicht wirklich eine Stärke von Adobe.

Ich halte es zwar auch für eher unwahrscheinlich in diesem Fall und würde - wie florian - auf die Erkennung der unerwünschten Softwarebeigabe tippen, aber einen pauschale Unbedenklichkeitsbescheinigung würde ich keinem Unternehmen ausstellen.

 

[Gast598]

Moin Fuggi,

ich habe mal nachgeschaut, was für ein Setup auf der Seite bereitgestellt wird.
Das ist "noch nicht" der Adobe Acrobat Reader DC, sondern ein Web-Installer, der auf den Download zur Bloatware von Symantec verweist.
Das ist es, worauf der Windows Defender anspringt.

Zu meiner Schande muss ich gestehen - ich benutze den Offline-Installer "Acrobat_DC_Web_WWMUI.exe" zur Installation. Der Namenszusatz "Web" steht in diesem Fall für ein aus dem Internet bezogenes Setup, also die Testversion, den der Web-Installer, diesen Du benutzt hast, erst herunterlädt.

Es gibt noch einen weiteren Standalone-Installer, ESD bzw. Retail genannt, der den Zusatz "Web" im Namen nicht enthält, er kann größer sein, mehr Features enthalten, siehe Pro-Lizenz-Plugins für Adobe After Effects, und keine Testversion (Trial-Setup) ist.
Dieses Setup ist eine Electronic Software Delivery (ESD) bzw. eine Electronic Software Distribution (ESD).
Bei Kauf einer digitalen Lizenz - über einen Web-Store - erhält man "meistens" einen Download dazu, dieser auf ein Setup verweist, das keine Testversion ist, dabei mitunter eine umständliche Validierung entfällt.
Dieses Setup kennen die meisten Besitzer, die sich eine Software im Handel gekauft haben.

Der Umstand hier ist einfach, dass ein Web-Installer benutzt worden ist, der Bloatware mit sich bringt, diese der Windows Defender an der Ausführung verhindert.

Über diese Verlinkung gelangst Du zu den Offline-Installer von Adobe Acrobat Reader DC:
https://get.adobe.com/de/reader/enterprise/

LG Naru!

 

[Fuggi]

#10 ich wollte nur darauf hinweisen dass es passieren kann, nehme in Zukunft einfach den aus dem Store. Danke für die zahlreichen Informationen.

 

[Wollfgang]

Was ich bei der ganzen Sache nicht verstehe, dass es unbedingt der
Reader von Adobe sein muss mit seinen 169 MB. Sumatra hat da weniger,
schlank, schnell und ist verlässlich.

https://www.sumatrapdfreader.org/free-pdf-reader.html

 

[Gelöschtes Mitglied 107444]

Von Java sollte man besser gar nicht erst anfangen. Sicherheit ist nicht wirklich eine Stärke von Adobe.

Ich möchte hier keine Grundsatzdiskussion anfangen, aber... Adobe hat mit Java rein gar nichts zu tun, das ist Oracle. Und, zweitens, Adobe ist einer der größten Softwarehersteller der Welt, wenn die von Sicherheit keinen blassen Schimmer hätten, dann wäre dies nicht der Fall. Ist bloß so, dass die Deutschen, und, generell, die Erdenbürger bei solch großen Firmen einfach mehr den Finger drauf haben, und jede Kleinigkeit zum dritten Weltkrieg aufgespielt wird, weil, große Firma und so. Bei Microsoft und Apple ist es ja genau dasselbe.

 

[Big Eddie Calzone]

... Wie ist das mit Defender? Löscht der die Sachen die er in Quarantäne verschiebt selber? Kann man das manuell machen?

Bei mir ist der Defender bisher erst ein Mal angesprungen, das war am 15. Februar diesen Jahres.





In diesem Fall hatte der Defender die verdächtigen Dateien, die offenbar schon seit dem 9. Feb. in dem benannten Temp-Verzeichnis geschlummert hatten, selbsttätig gelöscht. Eventuell hat er sie vorher in Quarantäne verschoben und dann erst gelöscht, im Quarantäne-Verzeichnis war später jedenfalls nichts zu finden. Das ist dieses:

C:\ProgramData\Microsoft\Windows Defender\Quarantine