Was installiert mir denn Panda einen Virus da, ....kann das sein? Einstellungen

[ackermann]

Hallo.

Es ist ja bekannt, dass mehrere Virenwächter nebenher Probleme machen. Aber trotzdem berechtigt das Panda eigentlich noch lange nicht, mir einen Virus während der Installationsroutine in meinen TEMP Ordner zu legen oder was meint ihr dazu?


Ich hab ebenso Panda installiert, Testversion, frisch geladen von Pandas Site. Und piiiiip. Antivir meckert. Wieso?

Deswegen, die Datei kommt direkt von Panda und wird im frisch angelegten TEMP Verzeichnis gefunden:



Schon irgendwie dubios....dass ausgerechnet von Panda sowas kommt. Aus welchem Grund installiert ein Virenscanner erstmal ein paar Viren in dem TEMP Ordner


Kurz nachdem das Splash von Panda für die Installationsroutine erscheint, ist das Ding schon da.

....und lokal erkennt Antivir sogar noch ein bisschen mehr.

Der Beitrag wurde von ackermann bearbeitet: 16.02.2007, 22:25

[Gast_Scrapie_*]

Hi

Naja, so ein Installer macht ja erst mal auch nichts Anderes als eine "Schadsoftware":

- Systeminfos einholen
- Reg scheiben - löschen - lesen
- In Sysemverz. schreiben
- Dateien kopieren, extrahieren, etc
- Dienste starten - ändern - beenden
- ......

Das da ein Fehlalerm vorkommt ist fast logisch.
Zudem wurde ja kein "echter" Name ausgegeben. Den Bezeichnungen sieht man schon an, das es was sein könnte, aber nichts konkretes....

Scrapie

[ackermann]

Edit: Der echte Name ist scheinbar doch angegeben:
W95/Blumblebee oder so

Schau mal auf das rechte Screenshot, das hab ich nachher eingefügt

[Gast_Scrapie_*]

Laut Google hat AntiVir öfter "Probleme" mit einem Fehlalarm Namens "Virus.Win9x.Bumble.1738" ...
Und wenn er es wäre:

The virus is Win95/98 specific.

Und da ich an deinem TMP-Pfad erkenne, dass du W2k / XP hast -

Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 16.02.2007, 22:36

[ackermann]

Ok, stutzig macht mich nur, dass Panda nach seiner Installation auch merkwürdige Einträge hinterlässt, die im Hijackthis seltsam aufstoßen..... also mir ist ein Programm nicht koscher, das derlei Dinge installiert bzw. liegenlässt.....zumal Clamwin eigentlich nicht der Scanner ist, der groß Fehlalarme produziert, schon nicht mangels fehlender Heuristik....

Auch Sophos hat einen konkreten Namen dafür. Fortinet ist nicht so ernst zu nehmen, der meldet ja fast alles als suspicious und auch Avast hat eher einen heuristischen Namen.



W95/Whog-878b infiziert Windows-PE-Exe-Dateien, wenn sie geöffnet bzw. gestartet werden.

Der Virus versucht die Startseite des Internet Explorers zu ändern, indem der den folgenden Registrierungswert setzt:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page\ = http://202.115.16.8/~ekang.

Quelle:
Sophos Antivirus
http://www.sophos.de/virusinfo/analyses/w95whog878b.html

Der Beitrag wurde von ackermann bearbeitet: 16.02.2007, 22:38

[Solution-Design]

Sende die Datei an die Hersteller, welche angeben, dass es sich um Malware handelt. Im Allgemeinen erhälst du innerhalb 24h Bescheid.

[Gast_Zottel_*]

..... also mir ist ein Programm nicht koscher, das derlei Dinge installiert bzw. liegenlässt.....

Na dann versuche doch einmal NIS 2007. Was meinst du was da alles für Dinge installiert werden.
Besonders für den deinstall baute Symantec einen hauseigenen Putzteufel.

Neuste Version ist echt gut

Datum: 19. Januar 2007
• Dateigröße: 751 KB
• System: Win98/98SE/2000/ME/XP
• Web: www.symantec.com

http://software-portal.faz.net/ie/43087/Norton_Removal_Tool

[Voyager]

Dürfte diesselbe NRT-Version sein ,dafür direkt vom Hersteller.
http://service1.symantec.com/SUPPORT/tsgen...005033108162039

[dragonmale]

Edit: Der echte Name ist scheinbar doch angegeben:
W95/Blumblebee oder so

Schau mal auf das rechte Screenshot, das hab ich nachher eingefügt

Dir ist aber schon aufgefallen, dass die Datei, welche du auf VirusTotal hast prüfen lassen, nicht die selbe ist, wie die, welche im rechten Screenshot angemeckert wird, oder ?

Mal ganz davon abgesehen, kann ich das hier

Kurz nachdem das Splash von Panda für die Installationsroutine erscheint, ist das Ding schon da

nicht ganz nachvollziehen. Willst du damit allen ernstes andeuten, dass du Panda-AV, mit aktiven (also auch inkl. Guard) schon installiertem AV, installiert hast? Wenn ja, dann fällt mit nur dieser dazu ein …

Ansonsten, siehe Beiträge von SD und Scrapie

Der Beitrag wurde von dragonmale bearbeitet: 17.02.2007, 03:16

[Gast_Zottel_*]

Die neue Version ist echt ok. Die ältere kenne ich noch von früher da waren es 3 Dateien die man klicken musste. Nun ist es aber viel einfacher. Sie haben sich echt Mühe gegeben.

[ackermann]

Dir ist aber schon aufgefallen, dass die Datei, welche du auf VirusTotal hast prüfen lassen, nicht die selbe ist, wie die, welche im rechten Screenshot angemeckert wird, oder ?

Mal ganz davon abgesehen, kann ich das hier
nicht ganz nachvollziehen. Willst du damit allen ernstes andeuten, dass du Panda-AV, mit aktiven (also auch inkl. Guard) schon installiertem AV, installiert hast? Wenn ja, dann fällt mit nur dieser dazu ein …

Ansonsten, siehe Beiträge von SD und Scrapie

Stimmt, es sind 2 Dateien bzw. 2 verschiedene......das macht die Sache in deinen Augen besser? In meinen Augen nur schlimmer, dass also nicht nur ein sondern 2 Schädlinge installiert wurde.

Im Übrigen läuft Antivir als On Demand Scanner. Logischerweise lief während der INstallation der on Access Scanner nicht. Doch die dubiosen TEMP Dateien der Panda Installation blieb bestehen. Außerdem komisch, wieso muss ich alle on demand Scanner wie sogar ClamWin deinstallieren, der nicht stört, nur weil Panda installiert werden soll. Ebenso Bitdefender Free (reiner on demand Scanner) musste runter. Man kann faktisch während der Installation also keinen Scanner on access laufen lassen. On Demand wird schon schwierig.


Naja. Die Testversion von Kaspersky hab ich heute morgen gleich mal eliminiert, nachdem ich nach dem Booten erstmal 10 Popups erhalten habe, wie gefährlich all meine Treiberdateien sind (Point32.exe von Microsoft) und jeder Zugriff auf alle möglichen Programme. Puhh da muss man ja narrisch werden.


Ich verstehe nicht, wieso Norton in einigen Kreisen so einen schlechten Ruf hat, ist mir tausendmal sympathischer als Kaspersky. Mein Rechner war kaum noch zum Arbeiten zu benutzen. Mit Norton gabs hingegen keinerlei Probleme.

Der Beitrag wurde von ackermann bearbeitet: 17.02.2007, 09:21

[Solution-Design]

Besonders für den deinstall baute Symantec einen hauseigenen Putzteufel.

Wie mittlerweile auch Kaspersky, F-Secure, G Date und und und…

Ich verstehe nicht, wieso Norton in einigen Kreisen so einen schlechten Ruf hat, ist mir tausendmal sympathischer als Kaspersky. Mein Rechner war kaum noch zum Arbeiten zu benutzen. Mit Norton gabs hingegen keinerlei Probleme.

Weil 1. Antivir oder NOD32 onAccess schneller waren und auch noch sind und 2. die Trojaner-Erkennungsleistung im Jahre 2002/3 des AVs nicht so dolle war und 3. weil es modern ist, gegen vermeintlich Große zu wettern.

[Domino]

Naja. Die Testversion von Kaspersky hab ich heute morgen gleich mal eliminiert, nachdem ich nach dem Booten erstmal 10 Popups erhalten habe, wie gefährlich all meine Treiberdateien sind (Point32.exe von Microsoft) und jeder Zugriff auf alle möglichen Programme. Puhh da muss man ja narrisch werden.

Das Programm tat das, was du bei der Installation verlangt hast. Hättest du es in der Grundeinstellung gelassen wärst du nicht narrisch geworden.





Domino