Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Fund in mehreren Programmen (https://www.trojaner-board.de/53375-fund-mehreren-programmen.html)

Minksi 03.06.2008 13:06
Fund in mehreren Programmen
 
Hallo!
Neulich wollte ich mir das Programm "Pando" herunterladen. Von der Homepage geladen und wollte es installieren ... Antivir fand bei der Installation einen Virus oder ein unerwünschtes Programm (DR/MartShop.1' [dropper] ).
Also deinstalliert, den Fund als "löschen" deklariert und neu versucht.
Diesmal über chip.de

Bei der Installation kam die Warnung "Erkennungsmuster Trojaner" - da ich dann ein altes Abbild zurückgespielt habe von Windoof, weiß ich auch nicht mehr, was das war.

So - nun lasse ich heute Antivir einen Suchlauf machen und er findet in PCWcleaner\pcwkill.exe ein Virus oder unerwünschtes Programm (SPR/Tool.ProcKill.1) ... 3 Meldungen hatte ich heute schon.

Kann mir einer sagen, ob das gefährliche Programme sind?

Ich hätte Pando ganz gerne, traue mich nun natürlich nicht mehr, das nochmal runterzuladen ...

Und was soll ich von dem im PCWcleaner halten? Das Programm hab ich schon lange (mal auf CD gehabt) und hatte bisher nie Warnungen.
Hab vor ein paar Tagen (am 30.5.) ein Produktupdate von Antivir gemacht, seit gestern bekomm ich die Warnungen beim PCWcleaner.

Die Pandosache war am 27.5. - also noch vorher.

Hilfe bitte!

Gruß Minksi

Minksi 03.06.2008 17:39
Mein Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:09, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Clock\TClock.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Elster-Formular\2007-2008\Elfo2007.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: firefox.exe.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O4 - Startup: Sygate Personal Firewall.lnk = C:\Programme\Sygate\SPF\Smc.exe
O4 - Startup: TClock.lnk = C:\Programme\T-Clock\TClock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4167 bytes
Gruß Minksi

markusg 06.06.2008 17:42
installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.

-SkY- 06.06.2008 17:47
markus hast du auch einen anderen Text? Bei jedem Thread ohne durchzulesen eine Anleitung hinzuklatschen ist auch ein bisschen doof?

@Minksi:
Aufgedröselt bedeutet SPR/Tool.ProcKill.1 nichts anderes als Security Privacy Risk: Tool zum Killen von Prozessen. Also ist die dies ein möglicherweise unerwünschtes Programm, da es ja auch in Schadprogramme integriert wurde. Also sozusagen ein heuristischer Treffer. Dein Log sieht sauber aus, kann ja noch jemand drübergucken ;)

Pando wird soweit ich weiß durch AdWare finanziert, vielleicht wirds dadurch entdeckt, sollte aber clean sein. Kannst ja den setup-Fiel bei www.virustotal.com hochladen.

lg :)

Minksi 08.06.2008 11:42
DAnke!
Bei Virustotal wurde in der Setup-exe nichts gefunden.
Dann kann ich das Programm also bedenkenlos installieren?

Ach so - ich hatte es bei chip.de auch nochmal gepostet und mir dann die Exe nochmal runtergeladen und installieren wollen ... dabei kamen wieder die Meldungen von wegen Trojanisches Pferd ... moment - ich such das mal gerade ...

C:\Programme\...\VeohMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl.1
Zugriff verweigern

Direkt danach nächste Meldung:
C:\Programme\...\AskMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opm
Zugriff verweigern

Kaum auf OK geklickt - nächste Meldung:
C:\Programme\...\JamanMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl
Zugriff verweigern

Und hier hab ich dann abgebrochen.

Bei Antivir:
Macrovirenheuristik ist angehakt und Erkennungsstufe hoch. Antivir aktuell.

Gruß Minksi

markusg 08.06.2008 12:03
könntest du die entsprechenden dateien mal hier hochladen?
VirusTotal - Free Online Virus and Malware Scan
einfach die pfade kopieren dann einfügen und auf absenden klicken dann warten bis status beendet dort steht. poste das erbgebniss mit tabellenkopf und zusätzliche informationen.

Minksi 08.06.2008 13:55
Ich habe die Setup.exe nochmal gescannt bei virustotal ... da müsste das ja eigentlich auch drin sein ... wenn nicht, muß ich mal gucken - denn ich habe den Zugriff letztes Mal verweigert und alles komplett gelöscht.

Code:
Datei PandoSetup2.exe empfangen 2008.05.30 20:19:28 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.5.30.1        2008.05.30        -
AntiVir        7.8.0.25        2008.05.30        -
Authentium        5.1.0.4        2008.05.29        -
Avast        4.8.1195.0        2008.05.30        -
AVG        7.5.0.516        2008.05.30        -
BitDefender        7.2        2008.05.30        -
CAT-QuickHeal        9.50        2008.05.30        -
ClamAV        0.92.1        2008.05.30        -
DrWeb        4.44.0.09170        2008.05.30        -
eSafe        7.0.15.0        2008.05.29        -
eTrust-Vet        31.4.5835        2008.05.30        -
Ewido        4.0        2008.05.30        -
F-Prot        4.4.4.56        2008.05.29        -
F-Secure        6.70.13260.0        2008.05.30        -
Fortinet        3.14.0.0        2008.05.30        -
GData        2.0.7306.1023        2008.05.30        -
Ikarus        T3.1.1.26.0        2008.05.30        -
Kaspersky        7.0.0.125        2008.05.30        -
McAfee        5307        2008.05.30        -
Microsoft        1.3520        2008.05.30        -
NOD32v2        3148        2008.05.30        -
Norman        5.80.02        2008.05.29        -
Panda        9.0.0.4        2008.05.30        -
Prevx1        V2        2008.05.30        -
Rising        20.46.42.00        2008.05.30        -
Sophos        4.29.0        2008.05.30        -
Sunbelt        3.0.1139.1        2008.05.29        -
Symantec        10        2008.05.30        -
TheHacker        6.2.92.326        2008.05.30        -
VBA32        3.12.6.6        2008.05.30        -
VirusBuster        4.3.26:9        2008.05.30        -
Webwasher-Gateway        6.6.2        2008.05.30        -
weitere Informationen
File size: 4741176 bytes
MD5...: b287f993debc36799c6a3929c8e38d4b
SHA1..: 8cfa81cca1f5ac1f78c7d9795921de2bfd7f05dc
SHA256: 8e4ef64af4f7541b31b673767b6c15e12584403a53015b8d9486e6bd7dd407c6
SHA512: af3e3d8d7e3a1e07207cbb8aabacd988cb9f23d2b9cb7d9043b3521f9818d7e4
b2fbe2e1a660522ca0c209ff274ed1484ae3a61f818ed3bc12f70271e3ac4262
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4307c7
timedatestamp.....: 0x4475d17c (Thu May 25 15:47:08 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b89e 0x3c000 6.57 4c2e581d76a7af22c861f278ff4f895e
.rdata 0x3d000 0x70d8 0x8000 4.48 23793df89ad5ecca5d73df3e15408764
.data 0x45000 0xa044 0x6000 3.25 b53877299b3ac43abe5e13c25e6aa28d
.rsrc 0x50000 0xa668 0xb000 7.54 f8ce68330a16b9040b9a178569310d1d

( 10 imports )
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> SHELL32.dll: SHGetPathFromIDListA, ShellExecuteA, SHBrowseForFolderA, SHGetMalloc
> COMCTL32.dll: -
> KERNEL32.dll: GetCurrentProcess, ExitProcess, Sleep, RemoveDirectoryA, DeleteFileA, WaitForSingleObject, CreateProcessA, GetVersion, lstrcpyA, GetWindowsDirectoryA, SetErrorMode, GetTempPathA, ExpandEnvironmentStringsA, lstrcmpA, lstrcmpiA, GetTickCount, GetExitCodeThread, CreateThread, CopyFileA, InterlockedIncrement, InterlockedDecrement, QueryPerformanceFrequency, CreateEventA, lstrcatA, GetTempFileNameA, CompareStringA, CompareStringW, GetVersionExA, SetFilePointer, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, FreeLibrary, GetProcAddress, LoadLibraryA, LockResource, LoadResource, SizeofResource, FindResourceA, ExitThread, GetCommandLineA, GetSystemDefaultLCID, GlobalHandle, VerLanguageNameA, SetCurrentDirectoryA, FindClose, FindNextFileA, CompareFileTime, FindFirstFileA, GetSystemTimeAsFileTime, GetSystemInfo, MulDiv, IsValidCodePage, GetExitCodeProcess, GetCurrentDirectoryA, GetSystemDirectoryA, FileTimeToLocalFileTime, GetFileTime, FlushFileBuffers, CreateFileA, LocalFree, FormatMessageA, GetDiskFreeSpaceA, GetDriveTypeA, CreateDirectoryA, GetCurrentThread, DuplicateHandle, GetOEMCP, GetACP, GetCPInfo, SetUnhandledExceptionFilter, LCMapStringW, LCMapStringA, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, TlsGetValue, TlsAlloc, TlsSetValue, GetCurrentThreadId, HeapSize, GetStartupInfoA, HeapReAlloc, RaiseException, RtlUnwind, LeaveCriticalSection, DeleteCriticalSection, InterlockedExchange, InitializeCriticalSection, EnterCriticalSection, SystemTimeToFileTime, QueryPerformanceCounter, ResetEvent, SetEvent, GetShortPathNameA, VirtualProtect, VirtualQuery, GetFileType, GetModuleHandleA, TerminateProcess, SearchPathA, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GlobalFree, GetThreadContext, VirtualProtectEx, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, WriteProcessMemory, FlushInstructionCache, SetThreadContext, ResumeThread, GetFileAttributesA, GetProcessHeap, HeapAlloc, HeapFree, WriteFile, lstrcpynA, GetModuleFileNameA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetLastError, SetLastError, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetLocaleInfoA, lstrlenA, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, SetEndOfFile
> USER32.dll: GetWindowPlacement, DrawIcon, DestroyIcon, GetDlgCtrlID, FillRect, GetSysColor, GetSysColorBrush, GetSystemMetrics, SetRect, FindWindowA, MoveWindow, GetWindowTextA, GetWindowTextLengthA, GetParent, GetDlgItemTextA, GetWindow, SetCursor, UpdateWindow, GetClassInfoA, wvsprintfA, IntersectRect, SubtractRect, CreateDialogParamA, LoadStringA, IsDialogMessageA, SendMessageA, MessageBoxA, SetWindowTextA, GetWindowRect, ScreenToClient, IsWindow, DestroyWindow, WaitForInputIdle, GetWindowLongA, BeginPaint, EndPaint, SetWindowLongA, GetClientRect, ClientToScreen, SetWindowPos, GetWindowDC, EndDialog, GetDlgItem, ShowWindow, DialogBoxParamA, GetDesktopWindow, wsprintfA, MsgWaitForMultipleObjects, PeekMessageA, DefWindowProcA, PostMessageA, KillTimer, PostQuitMessage, SetTimer, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, GetMessageA, TranslateMessage, DispatchMessageA, GetDC, ReleaseDC, CharPrevA, ExitWindowsEx, SendDlgItemMessageA, CharNextA, CharUpperA, CharLowerBuffA, EnableWindow
> GDI32.dll: GetTextExtentPoint32A, SetBkMode, SetTextColor, GetObjectA, CreateFontIndirectA, CreateSolidBrush, CreateCompatibleDC, SelectObject, CreateFontA, DeleteDC, DeleteObject, GetStockObject, GetSystemPaletteEntries, CreatePalette, GetDeviceCaps, SelectPalette, RealizePalette, CreateDIBitmap, BitBlt, TranslateCharsetInfo
> ADVAPI32.dll: RegQueryValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegCreateKeyExA, RegDeleteValueA, RegEnumValueA, RegOpenKeyA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, FreeSid, EqualSid, AllocateAndInitializeSid, GetTokenInformation, OpenThreadToken, RegSetValueExA
> RPCRT4.dll: UuidToStringA, UuidCreate, RpcStringFreeA
> ole32.dll: StgIsStorageFile, StgOpenStorage, CoUninitialize, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -

( 0 exports )
Gruß Minksi

-SkY- 08.06.2008 14:22
Zitat:
C:\Programme\...\VeohMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl.1
Zugriff verweigern
Das ist wohl der VeohPlayer/VeohTV oder? Wenn ja, dann sollte das clean sein..

Zitat:
C:\Programme\...\AskMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opm
Zugriff verweigern
Code:
3. ACTIVITY ANALYSIS OF: ASKMINIINST.EXE

    * The following behaviors have been observed for this object:
    * Installs programs.
    * Deletes programs.
    * Runs temporary programs.
    * Runs other programs.
    * Communicates with web sites using httpout protocols.
Naja, sowas will man nicht aufm System haben :balla: Ist wohl die AskBar?
Zitat:
C:\Programme\...\JamanMiniInst.exe
Ist das Trojanische Pferd TR/Dldr.Agent.opl
Zugriff verweigern
Dasselbe wie oben, sieht irgendwie verdächtig aus, und jaman.com sieht ziemlich nach abzocke aus :balla:

Lade alle 3 mal bei virustotal hoch..


Edit: Omg, Lesen will gelernt sein :balla:

"TR/Dldr.Ag..." = Downloader. Und wenn ich mir auch mal die Namen der Installer so ansehe.. MiniInst. Die Installationen werden wohl runtergeladen? Aber scan die bei VT, dann sehen wir weiter

Minksi 09.06.2008 10:57
Die Dateien sind alle in dem Setup von Pando drin.
Ich müsste es dafür nochmal in Gang setzen, damit ich die einzelnen bei virustotal hochladen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131