Windows Sicherheit meldet Trojan:Win32/Vigorf.A

[Gregorie]

Unter Windows 10 vermeldete der integrierten MS Virenscanner den Befall durch Trojan:Win32/Vigorf.A als schwerwiegend.
Dies geschah nach dem ich von https://github.com/ ein Programm installieren wollte.

https://github.com/WadRex/RVCompact
Das waren "nur" 2 Batch (.bat) Dateien, die es vereinfachen solltem eine andere Repo vom git.hub automatisch unter Windows zu installieren. U.a. sollt dadurch miniconda und Microsoft Visual C++ Redistributable Package heruntergeladen werden, hatte ich aber sowieso schon installiert.
Laut der Batchdatei die als Admin im cmd auszuführen war, sollte dafür MS Bitsadmin zum herunterladen verwendet werden.
Full Install & Reinstall.bat
Das klappte aber nicht, ich bekam von Bitsadmin in der Shell die Meldung, der user sei nicht am Netzwerk angemeldet.
Kurz gegoogelt nichts gefunden, wollte das scheinbar nutzlose" Zeug" gleich wieder löschen, kommt die Meldung vom integrierten MS Virenscanner den Befall durch Trojan:Win32/Vigorf.A als schwerwiegend.
Inzwischen habe ich die Dateien gelöscht, sonst bemerke ich noch nichts, jetzt frage ich mich, ob es das nun war oder ich noch weiteres unternehmen muss und bei Github Meldung machen sollte.
Der hat auch ein YT Video hochgeladen, mit seiner Installationsanleitung, daher fand ich die Repo auf git.hub erst.

 

[Smily]

Hey,

hab deine Links unschädlich gemacht. Ich möchte nicht, dass jemand da drauf klickt und ihm das auch noch passiert. Hilfe kann es auch ohne die Datei zum Laden geben.

 

[Gregorie]

O.K. Ich dachte jemand mit Ahnung schaut sich die Batch mal an.
Jetzt habe die Datei doch nochmal gedownloaded, und bei Virustotal prüfen lassen, einige Scanner
finden ebenfallls Mailware: Heur.BZC.PZQ.Leopard.1.CF0CA741

 

[Brati23]

Es kann, muss aber nichts schlimmes sein.
Genaueres wird schwierig.
Im Zweifelsfall wie diesem: Backup einspielen.

 

[MadDog]

gemacht laut Anleitung direkt von Microsoft?

 

[Smily]

O.K. Ich dachte jemand mit Ahnung schaut sich die Batch mal an.

Dann soll derjenige aber den Link selbst kopieren und nicht durch einen Klick plötzlich drauf landen.
Du kannst den zum Beispiel in code Tags mit dicker Warnung einfügen, da wird nix umgewandelt

www.computerbase.de

 

[Redundanz]

sagt der microsoft scanner welche datei den trojaner beinhalten soll? denn in dem batch-skript werden ja sehr viele pakete von sehr unterschiedlichen quellen runtergeladen und installiert.
sprich, wurde die .bat datei bereits als trojaner erkannt, oder eine nachrangig mit dem skript heruntergeladene .exe-datei wie z.b. dieses conda ... ? oder andere

 

[Amaoto]

Diese Meldung an sich ist ein Fehlalarm, denn das Skript soll ja genau das machen. "Heur" steht für Heuristik, d.h. es wurde keine bestimmte Malware erkannt.
Was alles heruntergeladen wird, ist eine andere Sache. Dazu müsste man die entsprechenden Dateien überprüfen. Da bei dir aber scheinbar überhaupt nichts heruntergeladen werden konnte, sollte es ja auch da keine Probleme geben.

 

[Redundanz]

hab gerade selbst mal die zwei .bats vom projekt runtergeladen und die 14kb große wird in der tat via heur. erkannt.
wenn man alle links in der batch durchcheckt sind zwei downloads von microsoft direkt. (aka ms)
dann dieses miniconda tool (von anaconda com) und das programm von dem main "rvc" github repo.
sowie lauter python scripte von einem ai-portal namens "huggingface".
es scheint wirklich ein falscher alarm zu sein, da alle quellen sehr populär scheinen. generell gilt natürlich aber, dass solche verschachtelten .bats mit hintenangelagerten downloads von diversen quellen eine gewisser unübersichtlichkeit bergen, die riskant werden kann.
es muss ja nichtmal dieses portable repo etwas an der .bat nachträglich ändern (also z.b. durch ein dann offensichtliches update des repos) es reicht ja wenn ein einziges heruntergeladenes skript geändert wird, auch wenn es aufgrund des renommée der quellen eher unwahrscheinlich ist.

 

[Snoopy21]

Hi, wollte die Seite mit Full Install & Reinstall.bat öffnen.
Mein Bitdefender blockiert die Seite direkt als schädliche URL.

Name der Bedrohung: Heur.BZC.ONG.Leopard.1.6FECDC16

Installiere dir mal das Addon Trafficlight von Bitdefender, dann werden schädliche Links und Seiten direkt geblockt.

 

[PC295]

einige Scanner
finden ebenfallls Mailware: Heur.BZC.PZQ.Leopard.1.CF0CA741

Die Scanner verwenden jeweils die gleichen Signaturdatenbanken.

Avast / AVG melden die Datei, weil sie heimlich Programme installiert.

Wenn man in die Batch schaut, ist das auch so. Die meisten der dort aufgeführten Befehle enthalten einen Quiet/Silent-Parameter und werden somit ohne Bestätigung durch den Nutzer durchgeführt.
Das ist natürlich problematisch gerade wenn es um Malware geht.

An sich sind da aber keine gefährlichen Links oder Befehle zu sehen.

 

[Gregorie]

Dank Euch, bei mir läuft aktuell noch ein vollstiger Virus Scan per MS Saefty Scanner, den ich mir runtergeladen habe. Ob der auch Mailware findet, weiß ich nicht. Avast oder AVG wollte ich mir erstmal nicht installieren.
Ich glaube auch fast, es ist ein Fehlalarm gewesen.
Offtopic: Das RVC Tool habe ich mir nun nochmal vom Original Repo installiiert, lustiges Spielzeug.
Funktionierte endlich auch mal bei mir, nach einer anderen Anleitung bei YT.
Ist nur Python Code, wird keine Mailware enthalten, denke ich.

 

[PC295]

MS Saefty Scanner

Der ist nur ein reiner Sypware-Scanner, also sehr kleiner Datenbank und taugt nichts.
Zum Scannen kannst du z.B. Malwarebytes oder Emsisoft Emergency Kit nehmen.

Ich glaube auch fast, es ist ein Fehlalarm gewesen.

Davon ist ganz sicher auszugehen.

 

[orodigistan]

der windows defender hat mir in die suppe gespuckt, als ich mich mit dbswin befasst hatte. bin dabei es für einen kunden auf windows 11 als server-betriebssystem zu installieren und ein renommiertes dental depot (multident) war der meinung, dbswin läuft weder auf windows 11 noch auf windows server 2022 essentials. geld ausgeben für ein betriebssystem, dafür sind sich einige inzwischen zu schade aber die 20 tcp/ip verbindungen würden für etwas wie win11 reichen. ich würde dann eine win10 key benutzen, evtl. geht auch der key an der rückseite (win7, winserv2012). drückt mir die daumen! dbswin ist dentsle röntgen software.

 

[brianmolko]

@orodigistan

Wie gemein von ihm. Lass dir das nicht gefallen und spuck zurück.