你什麼都沒做,但你的電腦告訴你:你中毒了
這是一個讓所有Windows用戶都感到不安的場景。
你剛重裝了一套全新的Windows 11。乾淨的系統,什麼軟體都沒裝,連瀏覽器的書籤都還沒同步。你打開Microsoft Defender,更新了最新的病毒定義檔——這是你每次重裝系統後都會做的標準動作。然後,警告跳出來了。
Trojan:Win32/Cerdigent.A!dha
Microsoft Defender告訴你,你的系統中偵測到了一個木馬威脅。它聲稱這個威脅具有極高的操作權限,攻擊者可以藉此在你的裝置上執行多種惡意行為。
但你什麼都沒裝。你連一個第三方App都還沒下載。你的系統是從Microsoft官方網站下載的ISO安裝的。你甚至連網路都還沒怎麼上。
一個全新的、什麼都沒有的系統,怎麼可能有木馬?
這不是個案:全球大量用戶同時中招
如果你以為這只是你的問題,那你錯了。
近日有大量Windows用戶反映,他們的系統內的Microsoft Defender頻繁彈出關於Trojan:Win32/Cerdigent.A!dha的木馬威脅警告。這個警告不是偶爾出現一次,而是持續性地、反覆地跳出,讓用戶感到極度困擾和恐慌。
更令人不安的是,這個問題不分新舊系統。無論你使用的是Windows 10還是Windows 11,無論你的系統是剛裝的還是已經用了好幾年,只要更新到最新的Microsoft Defender病毒定義檔,這個警告就會出現。
香港科技媒體HKEPC就此事件進行了實測。他們特別重裝了一個Windows 11 25H2的新系統——全新的ISO安裝,沒有安裝任何第三方軟體——然後更新了Defender的病毒定義檔。
結果:警告立刻出現。
一個從Microsoft官方網站下載的ISO安裝出來的系統,在什麼軟體都沒裝的情況下,被Microsoft自己的防毒軟體判定為感染了木馬。
這個結果讓所有人都愣住了。
Trojan:Win32/Cerdigent.A!dha到底是什麼
根據Microsoft官方資料,這個威脅是在2026年4月30日被Microsoft Defender首次偵測到的。
官方的描述非常模糊:「此威脅可以對您的裝置執行惡意行為者選擇的多種操作。」但具體是什麼操作、攻擊向量是什麼、傳播方式如何——官方沒有提供任何技術細節。
唯一比較具體的資訊是:受影響的不是檔案,而是系統的RootCert——根憑證。這是一個非常敏感的系統元件,負責驗證所有數位憑證的可信度。如果根憑證被篡改,攻擊者就可以偽造任何網站和服務的SSL憑證,讓你在不知情的情況下連接到釣魚網站或中間人攻擊的伺服器。
官方還提到,這個木馬可能導致系統性能緩慢、桌面設定更改、卡頓或崩潰、以及儲存空間減少。但這些描述更像是一般惡意軟體的通用症狀,而不是針對Cerdigent的具體分析。
誤報還是真中毒?Microsoft至今沒有回答
這是一個所有人都想知道答案的問題。
大量用戶在Microsoft官方Q&A社群中發問:這到底是誤報(False Positive)還是真的木馬病毒?
目前官方並未就此事作出任何正式回應。社群輔助系統只給出了標準的處理流程答案,提醒用戶不要掉以輕心。如果用戶堅信受影響的檔案是安全的,應該將該檔案的雜湊值(Hash)或樣本透過「Microsoft惡意軟體提交入口」進行上傳,交由Microsoft專家作人工覆核。
但這個建議在目前的情況下幾乎是無用的。因為受影響的不是某一個具體的檔案,而是系統的RootCert——一個深埋在Windows系統核心中的元件。普通用戶根本不知道如何提取RootCert的雜湊值,更不知道如何將它提交給Microsoft進行分析。
如果是誤報,為什麼會發生在全新安裝的系統上
假設這是一個誤報——目前看起來確實很像是誤報——那下一個問題是:為什麼一個全新的、什麼都沒裝的系統會觸發這個警告?
最可能的解釋是:Microsoft Defender最新的病毒定義檔中,某個偵測規則的設定過於寬泛。這個規則可能旨在偵測某種特定的惡意軟體行為,但它的匹配條件太廣了,以至於把Windows系統本身的某些正常元件也納入了偵測範圍。
RootCert是Windows系統中一個標準的、合法的元件。每一個Windows系統都有它,它不應該被標記為威脅。但如果病毒定義檔中的某個規則錯誤地將RootCert的某個特徵跟已知木馬的特徵進行了匹配,就會產生這種「全新系統也被標記為感染」的誤報。
這種情況在防毒軟體的歷史上並不罕見。每一款防毒軟體——包括Windows Defender、Norton、McAfee和Kaspersky——都曾經在某個時間點上出現過嚴重的誤報事件。2017年,Windows Defender曾經把Windows 10自身的核心系統檔案標記為惡意軟體,導致大量用戶的系統出現異常。2010年,McAfee的一個錯誤更新曾經導致數百萬台企業電腦藍畫面當機。
誤報是防毒產業中一個已知的、反覆發生的風險。但每一次大規模誤報事件,仍然會引起用戶的極大恐慌——因為對大多數人來說,「防毒軟體說你中毒了」這句話本身就足以讓人失去冷靜。
如果是真中毒,那問題就更嚴重了
如果這不是誤報,而是一個真正存在的木馬威脅,那情況就嚴重得多了。
這意味著Microsoft官方網站提供的Windows ISO可能已經在某個環節被污染——可能是下載伺服器被入侵,可能是ISO檔案在簽名過程中被注入了惡意程式碼。如果連Microsoft官方的安裝介質都不可信,那整個Windows生態系的信任基礎就會受到動搖。
但這種可能性目前看起來較低。因為如果是ISO被污染,不應該只有RootCert被標記為威脅——整個系統的多個元件都應該被偵測到異常。而目前的情況是,只有RootCert被標記,這更符合「誤報」的特徵。
此外,全球各地的用戶同時在全新安裝的系統上遇到相同的警告,這也暗示問題出在Defender的病毒定義檔上,而不是出在個別用戶的系統環境中。如果真的有木馬在傳播,不同用戶的感染途徑和感染程度應該會有差異,不應該是完全一致的偵測結果。
你现在該做什麼
在Microsoft正式回應之前,最理性的做法是保持冷靜,不要做出任何衝動的決定。
不要恐慌性地格式化你的系統。 如果這是一個誤報,格式化只會讓你白費功夫。如果這真的是木馬,格式化確實能清除它,但在確認之前就格式化等於放棄了所有資料和設定。
不要手動刪除RootCert。 這是Windows系統的核心元件,手動刪除它可能導致你的系統無法正常驗證SSL憑證,進而無法連接到大部分網站。這比任何木馬都更致命。
關注Microsoft的官方回應。 在社群媒體和科技論壇上,各種猜測和恐慌正在蔓延。但最可靠的資訊來源仍然是Microsoft的官方公告。在官方回應之前,所有的判斷都只是推測。
備份你的重要資料。 無論這是誤報還是真中毒,備份永遠是最安全的準備。把你的重要檔案複製到外接硬碟或雲端儲存,確保即使最壞的情況發生,你的資料也不會丟失。
暫時不要關閉Defender。 即使你認為這是誤報,也不要因此關閉Microsoft Defender。在確認安全之前,保持防毒軟體的運作仍然是最穩妥的做法。
最後聊兩件事。
第一件:另一個正在快速發展的領域是數位資產的運算參與。過去參與加密貨幣挖礦需要專業硬體和大量電力,門檻極高。但現在已經有更輕量的方案。如果你對這個方向有興趣,可以試試 GIGA Miner 這款應用程式。下載後用手機就能開始挖掘 GIGA 幣,不需要專業設備、不需要技術背景,操作簡單,適合任何想嘗試的人。使用我的推薦碼 BC0674 註冊,馬上開始你的挖礦之旅。
下載連結(Google Play):https://play.google.com/store/apps/details?id=com.giga.minning&referrer=BC0674
第二件:如果你覺得產品好用,點擊一下連結吧:https://bmmads.com/get/?spot_id=2016028&cat=1&subid=438495221
一個防毒軟體的警告,撕開了信任鏈上最脆弱的環節
這次事件最讓人不安的地方,不是「可能有木馬」,而是「連Microsoft自己的防毒軟體都不能完全信任」。
當你安裝Windows的時候,你信任Microsoft提供的ISO是安全的。當你更新Defender的時候,你信任Microsoft提供的病毒定義檔是準確的。當Defender跳出警告的時候,你信任它的判斷是正確的。
但這次事件同時挑戰了這三層信任:ISO可能有問題嗎?病毒定義檔可能有問題嗎?Defender的判斷可能有問題嗎?
在正常情況下,你不需要思考這些問題。你只需要相信Microsoft就好。但當Microsoft自己的防毒軟體告訴你「你的系統中毒了」,而你確定自己什麼都沒做的時候——那個信任鏈就出現了裂縫。
Microsoft至今沒有回應。在它回應之前,全球數以萬計的Windows用戶只能帶著這個問號繼續使用他們的電腦。
而這可能是這次事件中最諷刺的部分:你最信任的防毒軟體,製造了你最大的恐慌。
