Hallo,
ich erhalte von Auto-Protect (Symantec) ständig die Meldung:Trojan.Pandex!inf gefunden, danach Trojan.Pandex!inf gelöscht. Das wiederholt sich ständig.
Ich habe Norton nur zum Test installiert (Trail). Der Standard ist AntiVir.

Wenn ich das System scanne (mit folgenden Programmen:AntiVir,Norton;BitDefender Onlinescan dauerte 14Std.!!!,Dr.Web.HiJack This,Ad-Aware,Counter-Spy,Backlight) werden keine
Trojaner gefunden.Auch nicht im "Abgesicherten Modus".

Nur Auto-Protect bringt ständig diese Meldungen.
Ich kann auch nicht sehen in welchen Prozess/Ordner der Trojaner gelöscht wird.
Wo speichert Norten das ab.
Im www finde ich über diesen Typ keine Infos (deutsch) nur in anderen Sprachen findet man den einen oder anderen Hinweis.

Kann mir jemand einen Tipp geben.

Logfile of HijackThis v1.99.1
Scan saved at 00:54:00, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TuneUp Utilities 2006\Integrator.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Günter\Desktop\ProgrTroyaentf\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Gruß Buggy

hallo,
also dein logfile ist sauber,
hast du denn in der quarantäne von antivir dateien, das könnte bei norton einen fehlalarm auslöden!
ich würde norton deinstallieren, zwei virenscanner machen den pc langsam, unsichere und sie behindern sich gegenseitig!
Mfg
.::|||::.

Hallo .::|||::.,

danke für die Info. Ich habe sämtliche Dateien gelöscht und die Programme
zusätzlich in die "Ausnahmen" aufgenommen.
Das Problem besteht aber weiter.
Wenn Norton die Datei (Ort) anzeigen würde wäre dies einfacher. Aber im Protokoll speichert er nur Trojaner.Pandex!inf erkannt-gelöscht.
Die Meldungen beginnen ca. 30-45min nach dem Start(Autom. Online). Es folgen ca. 8-10 Meldungen, danach ist immer wieder für fast genau 1Std. Ruhe. Dann geht alles wieder von vorne los.
Norten habe ich nur parallel laufen bis das Problem beseitigt ist. Da er der einzige ist, der diesen Trojaner anzeigt, möchte ich ihn nicht deinstallieren. Erst wenn ich sicher bin, dass mein System weitgehend sauber ist, wird er gelöscht.

Gruß Buggy

hallo,
also ich hab mich mal über das informiert(nicht viel aber vll bringts was):
bei einigen leute hat der virus die datei/der process c:\windows\system32\winlogon.exe infiziert.
es wurde auch von einem zum virus(der als W32.agent.ady bekannt ist, jedoch nur bei wenigen av-scannern z.b symantec)berichtet-->rootkit , was erklären würde, das dein hjt-log sauber ist(eigentlich kann man dem ja nicht trauen, nicht 100%)

da die bereinigung ewig dauern würde, kann man auch neuaufsetzen.
allerdings muss beachtet werden, das ohne Neuaufsetzen die vom virus befallene datei winlogon.exe durch eine neue ersetzt werden muss und mind. diese datein(welche part des viruses sein könnten):

+ %temp%\[random number].exe, e.g. 1623906.exe
+ %windir%\system\reg.sys
+ %windir%\system\main.sys
+ %windir%\system\wsys.dll
+ (vll. noch weitere)

und es wird geraten, den rechner nicht ans netz zu hängen, weli er sonst daten versenden könnte-->trojan.backdoor???
vll. kannstu mit einem anderen rechner ans netz!

Mfg und viel Glück
.::|||::.

Hallo .::|||::. ,

danke für die Info.
Ich habe jetzt einmal zum Test den AntiVir deaktiviert, und nur Norton am laufen.
Jetzt kommt die Meldung von Norton nicht mehr. Ich lasse das einmal ein
paar Tage so laufen. Wenn die Meldungen nicht mehr kommen, deinst. ich
Norton wieder. Sollte doch dann "SICHER" sein, oder??????

P.S. Ich hatte auch verschiedene Root-Kit-Scanner am laufen, diese hatten auch nichts gefunden.

Mfg Buggy