ComputerBase Menü
Aktuelles

Windows Sicherheit meldet Trojan:Win32/Vigorf.A

G

Gregorie

Lieutenant
Registriert
Apr. 2017
Beiträge
625
Unter Windows 10 vermeldete der integrierten MS Virenscanner den Befall durch Trojan:Win32/Vigorf.A als schwerwiegend.
Dies geschah nach dem ich von https://github.com/ ein Programm installieren wollte.

https://github.com/WadRex/RVCompact
Das waren "nur" 2 Batch (.bat) Dateien, die es vereinfachen solltem eine andere Repo vom git.hub automatisch unter Windows zu installieren. U.a. sollt dadurch miniconda und Microsoft Visual C++ Redistributable Package heruntergeladen werden, hatte ich aber sowieso schon installiert.
Laut der Batchdatei die als Admin im cmd auszuführen war, sollte dafür MS Bitsadmin zum herunterladen verwendet werden.
Full Install & Reinstall.bat
Das klappte aber nicht, ich bekam von Bitsadmin in der Shell die Meldung, der user sei nicht am Netzwerk angemeldet.
Kurz gegoogelt nichts gefunden, wollte das scheinbar nutzlose" Zeug" gleich wieder löschen, kommt die Meldung vom integrierten MS Virenscanner den Befall durch Trojan:Win32/Vigorf.A als schwerwiegend.
Inzwischen habe ich die Dateien gelöscht, sonst bemerke ich noch nichts, jetzt frage ich mich, ob es das nun war oder ich noch weiteres unternehmen muss und bei Github Meldung machen sollte.
Der hat auch ein YT Video hochgeladen, mit seiner Installationsanleitung, daher fand ich die Repo auf git.hub erst.
 
Zuletzt bearbeitet:
Hey,

hab deine Links unschädlich gemacht. Ich möchte nicht, dass jemand da drauf klickt und ihm das auch noch passiert. Hilfe kann es auch ohne die Datei zum Laden geben.
 
  • Gefällt mir
Reaktionen: klapproth, aragorn92, Nickel und 2 andere
O.K. Ich dachte jemand mit Ahnung schaut sich die Batch mal an.
Jetzt habe die Datei doch nochmal gedownloaded, und bei Virustotal prüfen lassen, einige Scanner
finden ebenfallls Mailware: Heur.BZC.PZQ.Leopard.1.CF0CA741
 
Gregorie schrieb:
O.K. Ich dachte jemand mit Ahnung schaut sich die Batch mal an.
Zum Vergrößern anklicken....
Dann soll derjenige aber den Link selbst kopieren und nicht durch einen Klick plötzlich drauf landen.
Du kannst den zum Beispiel in code Tags mit dicker Warnung einfügen, da wird nix umgewandelt

1698847876365.png


Code: 
www.computerbase.de
 
sagt der microsoft scanner welche datei den trojaner beinhalten soll? denn in dem batch-skript werden ja sehr viele pakete von sehr unterschiedlichen quellen runtergeladen und installiert.
sprich, wurde die .bat datei bereits als trojaner erkannt, oder eine nachrangig mit dem skript heruntergeladene .exe-datei wie z.b. dieses conda ... ? oder andere
 
  • Gefällt mir
Reaktionen: Gregorie
Diese Meldung an sich ist ein Fehlalarm, denn das Skript soll ja genau das machen. "Heur" steht für Heuristik, d.h. es wurde keine bestimmte Malware erkannt.
Was alles heruntergeladen wird, ist eine andere Sache. Dazu müsste man die entsprechenden Dateien überprüfen. Da bei dir aber scheinbar überhaupt nichts heruntergeladen werden konnte, sollte es ja auch da keine Probleme geben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Gregorie und Redundanz
hab gerade selbst mal die zwei .bats vom projekt runtergeladen und die 14kb große wird in der tat via heur. erkannt.
wenn man alle links in der batch durchcheckt sind zwei downloads von microsoft direkt. (aka ms)
dann dieses miniconda tool (von anaconda com) und das programm von dem main "rvc" github repo.
sowie lauter python scripte von einem ai-portal namens "huggingface".
es scheint wirklich ein falscher alarm zu sein, da alle quellen sehr populär scheinen. generell gilt natürlich aber, dass solche verschachtelten .bats mit hintenangelagerten downloads von diversen quellen eine gewisser unübersichtlichkeit bergen, die riskant werden kann.
es muss ja nichtmal dieses portable repo etwas an der .bat nachträglich ändern (also z.b. durch ein dann offensichtliches update des repos) es reicht ja wenn ein einziges heruntergeladenes skript geändert wird, auch wenn es aufgrund des renommée der quellen eher unwahrscheinlich ist.
 
  • Gefällt mir
Reaktionen: Gregorie
Hi, wollte die Seite mit Full Install & Reinstall.bat öffnen.
Mein Bitdefender blockiert die Seite direkt als schädliche URL.

Name der Bedrohung: Heur.BZC.ONG.Leopard.1.6FECDC16

Installiere dir mal das Addon Trafficlight von Bitdefender, dann werden schädliche Links und Seiten direkt geblockt.
 
Gregorie schrieb:
einige Scanner
finden ebenfallls Mailware: Heur.BZC.PZQ.Leopard.1.CF0CA741
Zum Vergrößern anklicken....
Die Scanner verwenden jeweils die gleichen Signaturdatenbanken.

Avast / AVG melden die Datei, weil sie heimlich Programme installiert.

Unbenannt.png


Wenn man in die Batch schaut, ist das auch so. Die meisten der dort aufgeführten Befehle enthalten einen Quiet/Silent-Parameter und werden somit ohne Bestätigung durch den Nutzer durchgeführt.
Das ist natürlich problematisch gerade wenn es um Malware geht.

An sich sind da aber keine gefährlichen Links oder Befehle zu sehen.
 
  • Gefällt mir
Reaktionen: Gregorie
Dank Euch, bei mir läuft aktuell noch ein vollstiger Virus Scan per MS Saefty Scanner, den ich mir runtergeladen habe. Ob der auch Mailware findet, weiß ich nicht. Avast oder AVG wollte ich mir erstmal nicht installieren.
Ich glaube auch fast, es ist ein Fehlalarm gewesen.
Offtopic: Das RVC Tool habe ich mir nun nochmal vom Original Repo installiiert, lustiges Spielzeug.
Funktionierte endlich auch mal bei mir, nach einer anderen Anleitung bei YT.
Ist nur Python Code, wird keine Mailware enthalten, denke ich.
 
der windows defender hat mir in die suppe gespuckt, als ich mich mit dbswin befasst hatte. bin dabei es für einen kunden auf windows 11 als server-betriebssystem zu installieren und ein renommiertes dental depot (multident) war der meinung, dbswin läuft weder auf windows 11 noch auf windows server 2022 essentials. geld ausgeben für ein betriebssystem, dafür sind sich einige inzwischen zu schade aber die 20 tcp/ip verbindungen würden für etwas wie win11 reichen. ich würde dann eine win10 key benutzen, evtl. geht auch der key an der rückseite (win7, winserv2012). drückt mir die daumen! dbswin ist dentsle röntgen software.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Fehlerhafte Meldung im Windows Defender löschen
Antworten
11
Aufrufe
1.378
SaCre
S
B
Neuinstallation von Windows um Virus zu entfernen
2
Antworten
20
Aufrufe
18.007
Bounzed
B
TryHardTim
Windows Apps beschädigt, seit Berechtigungsänderung
Antworten
4
Aufrufe
1.709
cumulonimbus8
cumulonimbus8
kryzs
Leserartikel Quake (Teil 1) Benchmark
6 7 8
Antworten
154
Aufrufe
31.672
flug_rosetto
flug_rosetto
|Moppel|
Linux ≠ Windows | Warum sollte Linux mich wollen?
30 31 32
Antworten
631
Aufrufe
66.691
Randnotiz
Randnotiz
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz