Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

ZVHZG - Trojanerordner?

jueki / 9 Antworten / Baumansicht Nickles

Bei einer Freundin findet Eset folgende Einträge:

C:\Documents and Settings\Name\ZVHZG\start.cmd            BAT/Starter.NBI Trojaner
C:\Documents and Settings\Name\ZVHZG\start.vbs             VBS/Runner.NBV Trojaner
C:\Dokumente und Einstellungen\Name\ZVHZG\3562.vbs    VBS/Starter.NAQ Trojaner
C:\Dokumente und Einstellungen\Name\ZVHZG\start.cmd    BAT/Starter.NBI Trojaner
C:\Dokumente und Einstellungen\Name\ZVHZG\start.vbs     VBS/Runner.NBV Trojaner

und, was sicher das Gleiche ist,

C:\Users\Name\ZVHZG\3562.vbs    VBS/Starter.NAQ Trojaner
C:\Users\Name\ZVHZG\start.cmd    BAT/Starter.NBI Trojaner
C:\Users\Name\ZVHZG\start.vbs     VBS/Runner.NBV Trojaner

Ich habe allerdings bislang vergeblich nach einem relevanten Eintrag für "ZVHZG" gegogelt.
Den Inhalt der beiden vbs und der cmd kenne ich allerdings noch nicht.
Was könnte man sich unter diesen Meldungen wohl vorstellen? 

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Hyperboreal jueki „ZVHZG - Trojanerordner?“
Optionen

Hallo,

Deine Freundin hat Malware auf dem Rechner.

http://www.virusradar.com/en/BAT_Starter.NBI/description

du siehst aber nur einen Teil des Problems.

Ein Virenscanner könnte helfen. [Edit] Ach, Eset ist ja ein Scanner [/Edit]

Ich habe allerdings bislang vergeblich nach einem relevanten Eintrag für "ZVHZG"

Die Verzeichnisnamen sind zufällige Zeichenketten.

Wenn du irgendwo einbrichst hinterlässt du ja auch keinen Zettel mit deiner Anschrift...

Gruss

Hyperboreal

bei Antwort benachrichtigen
jueki Hyperboreal „Hallo, Deine Freundin hat Malware auf dem Rechner. ...“
Optionen
Wenn du irgendwo einbrichst hinterlässt du ja auch keinen Zettel mit deiner Anschrift...

Ganz selten jedenfalls...

Danke für den Hinweis.
Von Viren- und Trojanerbereinigungen halte ich garnichts.
Also wird sie  ein Image wiederherstellen müssen.  So sie eines hat...

Den Inhalt der vbs und cmd werde ich mich allerdings mal anschauen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Hyperboreal jueki „Ganz selten jedenfalls... Danke für den Hinweis. Von ...“
Optionen

Hallo,

Den Inhalt der vbs und cmd werde ich mich allerdings mal anschauen.

Ja, einfach mal doppelklicken und sehen was passiert. Lachend

Aber mit Fragmenten des Script-Codes kannst du evtl. herausbekommen, welche

Malware den Rechner befallen hat.

Also wird sie  ein Image wiederherstellen müssen.  So sie eines hat...

Welche Freundin hat schon ein Image... Die denken doch, das ist ne neue Modemarke...

Gruss

Hyperboreal

bei Antwort benachrichtigen
jueki Hyperboreal „Hallo, Ja, einfach mal doppelklicken und sehen was passiert. ...“
Optionen
Ja, einfach mal doppelklicken und sehen was passiert

Mache ich mit Sicherheit nicht.
Ich prüfe dergleichen, indem ich mit dem Totalcommander hingehe, die Datei mit Rechts rot markiere und dann "F3 - Anzeigen".
Ist das genialste Tool, was ich seit 2001 auf dem Rechner habe!

Welche Freundin hat schon ein Image...

Nee, es gibt tatsächlich auch Ausnahmen. Und nicht wenige.
Zwei meiner Freundinnen machen dergleichen mit ziemlicher Bravour.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
gelöscht_238890 jueki „ZVHZG - Trojanerordner?“
Optionen

Die haben doch sicher einen Zeitstempel, frag doch deine Freundin, ob sie noch weiß was sie zu der Zeit gemacht hat, auf welchen Seiten sie da evtl. war.

Natürlich muss sie das System terminieren, ohne wenn und aber, das ist (wie ich das sehe) ein Banking-Trojaner

bei Antwort benachrichtigen
jueki gelöscht_238890 „Die haben doch sicher einen Zeitstempel, frag doch deine ...“
Optionen

Werde ich tun, besser, ich schau mir die Sache selbst per TeamViewer an.

Ich berichte natürlich.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
jueki Nachtrag zu: „Werde ich tun, besser, ich schau mir die Sache selbst per ...“
Optionen

Ich habe mir heut die fraglichen Dateien mal angeschaut:

start.cmd:
@echo off
cd %userprofile%\ZVHZG\
start DOYKF.exe "62321.ZXH"

3562.vbs:
@echo off
cd %userprofile%\ZVHZG\
start DOYKF.exe "62321.ZXH"

start.vbs:
@echo off
cd %userprofile%\ZVHZG\
start DOYKF.exe "62321.ZXH"

Die Datei "62321.ZXH" ist eine 6MB große Datei mit solchem Inhalt:
;34398
;86593
;71740
;30785
;28966
;45566
;62177
;71558
;43736
;3593
;97422
;73896
;19780  usw.

Alles in allem konnte ich keine konkreten Hinweise auf die Wirkungsweise erkennen.

Das ganze wurde im Februar erzeugt. Ich vermute ebenfalls, das es sich um einen noch nicht fertigen Bakentrojaner handelt.
Eine Formatierung und Neuinstallation ist beschlossene Sache.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
gelöscht_238890 jueki „Ich habe mir heut die fraglichen Dateien mal angeschaut: ...“
Optionen
;3593 ;97422 ;73896

Dateien untersuchen mit dem ResourceHacker könnte zu Informationen führen...

http://www.heise.de/download/f5da032d1169aa518605460919638a92-1409168441-2245498.html

Vorsicht!  Das Programm sollte nicht jeder ausprobieren...

bei Antwort benachrichtigen
jueki gelöscht_238890 „Dateien untersuchen mit dem ResourceHacker könnte zu ...“
Optionen

Dieses Programm kenne ich - und verwende es seit längerer Zeit.
Ist ein gutes Programm.

Das erste mal -Spielerei allerdings- schon um die Startmelodie bei Win7 zu ändern.
Die Dateien kann ich damit nicht mehr untersuchen, die Platte ist inzwischen formatiert.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen