Hallo!
Neulich wollte ich mir das Programm "Pando" herunterladen. Von der Homepage geladen und wollte es installieren ... Antivir fand bei der Installation einen Virus oder ein unerwünschtes Programm (DR/MartShop.1' [dropper] ).
Also deinstalliert, den Fund als "löschen" deklariert und neu versucht.
Diesmal über chip.de

Bei der Installation kam die Warnung "Erkennungsmuster Trojaner" - da ich dann ein altes Abbild zurückgespielt habe von Windoof, weiß ich auch nicht mehr, was das war.

So - nun lasse ich heute Antivir einen Suchlauf machen und er findet in PCWcleaner\pcwkill.exe ein Virus oder unerwünschtes Programm (SPR/Tool.ProcKill.1) ... 3 Meldungen hatte ich heute schon.

Kann mir einer sagen, ob das gefährliche Programme sind?

Ich hätte Pando ganz gerne, traue mich nun natürlich nicht mehr, das nochmal runterzuladen ...

Und was soll ich von dem im PCWcleaner halten? Das Programm hab ich schon lange (mal auf CD gehabt) und hatte bisher nie Warnungen.
Hab vor ein paar Tagen (am 30.5.) ein Produktupdate von Antivir gemacht, seit gestern bekomm ich die Warnungen beim PCWcleaner.

Die Pandosache war am 27.5. - also noch vorher.

Hilfe bitte!

Gruß Minksi

Mein Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:09, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Clock\TClock.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Elster-Formular\2007-2008\Elfo2007.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: firefox.exe.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O4 - Startup: Sygate Personal Firewall.lnk = C:\Programme\Sygate\SPF\Smc.exe
O4 - Startup: TClock.lnk = C:\Programme\T-Clock\TClock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4167 bytes
         

Gruß Minksi

installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.

markus hast du auch einen anderen Text? Bei jedem Thread ohne durchzulesen eine Anleitung hinzuklatschen ist auch ein bisschen doof?

@Minksi:
Aufgedröselt bedeutet SPR/Tool.ProcKill.1 nichts anderes als Security Privacy Risk: Tool zum Killen von Prozessen. Also ist die dies ein möglicherweise unerwünschtes Programm, da es ja auch in Schadprogramme integriert wurde. Also sozusagen ein heuristischer Treffer. Dein Log sieht sauber aus, kann ja noch jemand drübergucken

Pando wird soweit ich weiß durch AdWare finanziert, vielleicht wirds dadurch entdeckt, sollte aber clean sein. Kannst ja den setup-Fiel bei www.virustotal.com hochladen.

lg

DAnke!
Bei Virustotal wurde in der Setup-exe nichts gefunden.
Dann kann ich das Programm also bedenkenlos installieren?

Ach so - ich hatte es bei chip.de auch nochmal gepostet und mir dann die Exe nochmal runtergeladen und installieren wollen ... dabei kamen wieder die Meldungen von wegen Trojanisches Pferd ... moment - ich such das mal gerade ...

C:\Programme\...\VeohMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl.1
Zugriff verweigern

Direkt danach nächste Meldung:
C:\Programme\...\AskMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opm
Zugriff verweigern

Kaum auf OK geklickt - nächste Meldung:
C:\Programme\...\JamanMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl
Zugriff verweigern

Und hier hab ich dann abgebrochen.

Bei Antivir:
Macrovirenheuristik ist angehakt und Erkennungsstufe hoch. Antivir aktuell.

Gruß Minksi

könntest du die entsprechenden dateien mal hier hochladen?
VirusTotal - Free Online Virus and Malware Scan
einfach die pfade kopieren dann einfügen und auf absenden klicken dann warten bis status beendet dort steht. poste das erbgebniss mit tabellenkopf und zusätzliche informationen.

Ich habe die Setup.exe nochmal gescannt bei virustotal ... da müsste das ja eigentlich auch drin sein ... wenn nicht, muß ich mal gucken - denn ich habe den Zugriff letztes Mal verweigert und alles komplett gelöscht.

Code: Alles auswählenAufklappen

ATTFilter

 Datei PandoSetup2.exe empfangen 2008.05.30 20:19:28 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.5.30.1 	2008.05.30 	-
AntiVir 	7.8.0.25 	2008.05.30 	-
Authentium 	5.1.0.4 	2008.05.29 	-
Avast 	4.8.1195.0 	2008.05.30 	-
AVG 	7.5.0.516 	2008.05.30 	-
BitDefender 	7.2 	2008.05.30 	-
CAT-QuickHeal 	9.50 	2008.05.30 	-
ClamAV 	0.92.1 	2008.05.30 	-
DrWeb 	4.44.0.09170 	2008.05.30 	-
eSafe 	7.0.15.0 	2008.05.29 	-
eTrust-Vet 	31.4.5835 	2008.05.30 	-
Ewido 	4.0 	2008.05.30 	-
F-Prot 	4.4.4.56 	2008.05.29 	-
F-Secure 	6.70.13260.0 	2008.05.30 	-
Fortinet 	3.14.0.0 	2008.05.30 	-
GData 	2.0.7306.1023 	2008.05.30 	-
Ikarus 	T3.1.1.26.0 	2008.05.30 	-
Kaspersky 	7.0.0.125 	2008.05.30 	-
McAfee 	5307 	2008.05.30 	-
Microsoft 	1.3520 	2008.05.30 	-
NOD32v2 	3148 	2008.05.30 	-
Norman 	5.80.02 	2008.05.29 	-
Panda 	9.0.0.4 	2008.05.30 	-
Prevx1 	V2 	2008.05.30 	-
Rising 	20.46.42.00 	2008.05.30 	-
Sophos 	4.29.0 	2008.05.30 	-
Sunbelt 	3.0.1139.1 	2008.05.29 	-
Symantec 	10 	2008.05.30 	-
TheHacker 	6.2.92.326 	2008.05.30 	-
VBA32 	3.12.6.6 	2008.05.30 	-
VirusBuster 	4.3.26:9 	2008.05.30 	-
Webwasher-Gateway 	6.6.2 	2008.05.30 	-
weitere Informationen
File size: 4741176 bytes
MD5...: b287f993debc36799c6a3929c8e38d4b
SHA1..: 8cfa81cca1f5ac1f78c7d9795921de2bfd7f05dc
SHA256: 8e4ef64af4f7541b31b673767b6c15e12584403a53015b8d9486e6bd7dd407c6
SHA512: af3e3d8d7e3a1e07207cbb8aabacd988cb9f23d2b9cb7d9043b3521f9818d7e4
b2fbe2e1a660522ca0c209ff274ed1484ae3a61f818ed3bc12f70271e3ac4262
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4307c7
timedatestamp.....: 0x4475d17c (Thu May 25 15:47:08 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b89e 0x3c000 6.57 4c2e581d76a7af22c861f278ff4f895e
.rdata 0x3d000 0x70d8 0x8000 4.48 23793df89ad5ecca5d73df3e15408764
.data 0x45000 0xa044 0x6000 3.25 b53877299b3ac43abe5e13c25e6aa28d
.rsrc 0x50000 0xa668 0xb000 7.54 f8ce68330a16b9040b9a178569310d1d

( 10 imports )
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> SHELL32.dll: SHGetPathFromIDListA, ShellExecuteA, SHBrowseForFolderA, SHGetMalloc
> COMCTL32.dll: -
> KERNEL32.dll: GetCurrentProcess, ExitProcess, Sleep, RemoveDirectoryA, DeleteFileA, WaitForSingleObject, CreateProcessA, GetVersion, lstrcpyA, GetWindowsDirectoryA, SetErrorMode, GetTempPathA, ExpandEnvironmentStringsA, lstrcmpA, lstrcmpiA, GetTickCount, GetExitCodeThread, CreateThread, CopyFileA, InterlockedIncrement, InterlockedDecrement, QueryPerformanceFrequency, CreateEventA, lstrcatA, GetTempFileNameA, CompareStringA, CompareStringW, GetVersionExA, SetFilePointer, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, FreeLibrary, GetProcAddress, LoadLibraryA, LockResource, LoadResource, SizeofResource, FindResourceA, ExitThread, GetCommandLineA, GetSystemDefaultLCID, GlobalHandle, VerLanguageNameA, SetCurrentDirectoryA, FindClose, FindNextFileA, CompareFileTime, FindFirstFileA, GetSystemTimeAsFileTime, GetSystemInfo, MulDiv, IsValidCodePage, GetExitCodeProcess, GetCurrentDirectoryA, GetSystemDirectoryA, FileTimeToLocalFileTime, GetFileTime, FlushFileBuffers, CreateFileA, LocalFree, FormatMessageA, GetDiskFreeSpaceA, GetDriveTypeA, CreateDirectoryA, GetCurrentThread, DuplicateHandle, GetOEMCP, GetACP, GetCPInfo, SetUnhandledExceptionFilter, LCMapStringW, LCMapStringA, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, TlsGetValue, TlsAlloc, TlsSetValue, GetCurrentThreadId, HeapSize, GetStartupInfoA, HeapReAlloc, RaiseException, RtlUnwind, LeaveCriticalSection, DeleteCriticalSection, InterlockedExchange, InitializeCriticalSection, EnterCriticalSection, SystemTimeToFileTime, QueryPerformanceCounter, ResetEvent, SetEvent, GetShortPathNameA, VirtualProtect, VirtualQuery, GetFileType, GetModuleHandleA, TerminateProcess, SearchPathA, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GlobalFree, GetThreadContext, VirtualProtectEx, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, WriteProcessMemory, FlushInstructionCache, SetThreadContext, ResumeThread, GetFileAttributesA, GetProcessHeap, HeapAlloc, HeapFree, WriteFile, lstrcpynA, GetModuleFileNameA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetLastError, SetLastError, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetLocaleInfoA, lstrlenA, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, SetEndOfFile
> USER32.dll: GetWindowPlacement, DrawIcon, DestroyIcon, GetDlgCtrlID, FillRect, GetSysColor, GetSysColorBrush, GetSystemMetrics, SetRect, FindWindowA, MoveWindow, GetWindowTextA, GetWindowTextLengthA, GetParent, GetDlgItemTextA, GetWindow, SetCursor, UpdateWindow, GetClassInfoA, wvsprintfA, IntersectRect, SubtractRect, CreateDialogParamA, LoadStringA, IsDialogMessageA, SendMessageA, MessageBoxA, SetWindowTextA, GetWindowRect, ScreenToClient, IsWindow, DestroyWindow, WaitForInputIdle, GetWindowLongA, BeginPaint, EndPaint, SetWindowLongA, GetClientRect, ClientToScreen, SetWindowPos, GetWindowDC, EndDialog, GetDlgItem, ShowWindow, DialogBoxParamA, GetDesktopWindow, wsprintfA, MsgWaitForMultipleObjects, PeekMessageA, DefWindowProcA, PostMessageA, KillTimer, PostQuitMessage, SetTimer, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, GetMessageA, TranslateMessage, DispatchMessageA, GetDC, ReleaseDC, CharPrevA, ExitWindowsEx, SendDlgItemMessageA, CharNextA, CharUpperA, CharLowerBuffA, EnableWindow
> GDI32.dll: GetTextExtentPoint32A, SetBkMode, SetTextColor, GetObjectA, CreateFontIndirectA, CreateSolidBrush, CreateCompatibleDC, SelectObject, CreateFontA, DeleteDC, DeleteObject, GetStockObject, GetSystemPaletteEntries, CreatePalette, GetDeviceCaps, SelectPalette, RealizePalette, CreateDIBitmap, BitBlt, TranslateCharsetInfo
> ADVAPI32.dll: RegQueryValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegCreateKeyExA, RegDeleteValueA, RegEnumValueA, RegOpenKeyA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, FreeSid, EqualSid, AllocateAndInitializeSid, GetTokenInformation, OpenThreadToken, RegSetValueExA
> RPCRT4.dll: UuidToStringA, UuidCreate, RpcStringFreeA
> ole32.dll: StgIsStorageFile, StgOpenStorage, CoUninitialize, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -

( 0 exports )
         

Gruß Minksi

Zitat:

C:\Programme\...\VeohMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl.1
Zugriff verweigern

Das ist wohl der VeohPlayer/VeohTV oder? Wenn ja, dann sollte das clean sein..

Zitat:

C:\Programme\...\AskMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opm
Zugriff verweigern

Code: Alles auswählenAufklappen

ATTFilter

3. ACTIVITY ANALYSIS OF: ASKMINIINST.EXE

    * The following behaviors have been observed for this object:
    * Installs programs.
    * Deletes programs.
    * Runs temporary programs.
    * Runs other programs.
    * Communicates with web sites using httpout protocols.
         

Naja, sowas will man nicht aufm System haben Ist wohl die AskBar?

Zitat:

C:\Programme\...\JamanMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl
Zugriff verweigern

Dasselbe wie oben, sieht irgendwie verdächtig aus, und jaman.com sieht ziemlich nach abzocke aus

Lade alle 3 mal bei virustotal hoch..


Edit: Omg, Lesen will gelernt sein

"TR/Dldr.Ag..." = Downloader. Und wenn ich mir auch mal die Namen der Installer so ansehe.. MiniInst. Die Installationen werden wohl runtergeladen? Aber scan die bei VT, dann sehen wir weiter

Die Dateien sind alle in dem Setup von Pando drin.
Ich müsste es dafür nochmal in Gang setzen, damit ich die einzelnen bei virustotal hochladen kann.