Hallo,
ich habe mich eben so über NIS geärgert, dass ich es loswerden muss und mich angemeldet habe.
Gestern erschien kurz nach der Anmeldung in Windows 7 von Norton Internet Security die Meldung, dass zwei gefährliche Trojaner geblockt (oder ähnliches) wurden. Ich dachte in Ordnung, Gefahr erkannt, Gefahr gebannt.
Dazu muss ich sagen, dass ich schon darauf schaue, was ich installiere bzw. was ich mache. Und die letzten Tage hatte den PC nur kurz an und habe auch nichts installiert. Diese Meldung kam für mich überraschend, auch wenn ich weiss, sowas passiert nicht von allein. Wenn überhaupt könnte ich das nur einem von zwei Freewareprogrammen zuordnen, die ich am Wochenende installiert hatte. Da gab es aber keine Probleme und die Downloads wurden von Norton überprüft und als OK eingestuft.
Aber als ich heute wieder den PC hochgefahren habe, dasselbe Spiel. Das machte mich schonmal stutzig und ich habe diverses Sachen probiert. Irgendwann kam mir ein Autostartprogramm namens Traymonitor.exe verdächtig vor, vor allem weil es sich in einem Temp-Ordner befand (eine Googlesuche sagte aber, es gehöre zu einem Backupprogramm). Deshalb hab ich die Datei mit Norton geprüft, wurde aber als kein Virus erkannt, also OK. danach totaler Systemcheck, auch ohne Befund.
Danach aber wieder trotzdem das Gleiche, kurze Zeit nach Neustart Trojanerwarnung. Deshalb habe ich ein kostenloses Programm zum "Suchen und Entfernen" von einem anderen Hersteller (im abgesicherten Modus) versucht. Wieder ohne Befund.
Irgendwann hab ich mir dann den Verlauf von Norton zum wiederholten Mal angesehen, diesmal fiel mir eine Regelmässigkeit auf und ich kam zu folgendem Ergebnis:
-Beim Systemstart wurde das Programm Traymonitor.exe (Ort: users\<persönlicher Ordner>\AppData\Local\Temp\Traymonitor.exe) gestartet.
-Danach hat sich das Programm bei Norton Internetzugang verschafft (Meldung: Sie haben den Zugriff von Traymonitor auf Ihre Netzwerkressourcen zugelassen). Ich habe diesem Programm keinen Zugriff gewährt, die Meldung ist auch jedesmal zweimal im Verlauf aufgeführt. Es ist schon fast eine Frechheit, wie dies im Verlauf zu lesen ist. Gerade so als ob ich dem Programm gerade zweimal per Klick erlaubt hätte, sich mit dem Netzwerk zu verbinden, obwohl dies offensichtlich still und heimlich geschehen ist.
-Danach wurden jedesmal die Dateien plg0.tmp und plg1.tmp (beide als Trojan.Gen.2 eingestuft) blockiert, diese befanden sich im selben Ordner wie Traymonitor.exe.
-Nach diesen Erkenntnissen habe ich ein Insight der Datei gemacht, mit dem Ergebnis, dass die Datei doch nicht so sicher sein soll, wie mir Norton weissgemacht hat.
Ich habe mir nun insoweit beholfen, dass ich die Autostartfunktion dieses Programms deaktiviert und es ausserdem noch aus dem Temp-Ordner gelöscht habe. Allerdings werden sich noch Rückstände im System befinden (Registrierung usw.), welche ich nicht selber beheben kann. Danach traten jedenfalls auch nach mehrmaligem Neustart keine solche Aktivitäten mehr auf. Ich hoffe, damit habe ich erstmal Ruhe.
Was mich so ärgert ist, dass Norton zwar die Folgen der Gefahr erkannt hat, aber nicht dessen Ursprung. Die meisten User müssen sich blind auf NIS verlassen können, weil sie wenig Ahnung vom PC haben. Diese sind in einem solchen Fall völlig aufgeschmissen. Ich verstehe nicht, warum Norton keine Verbindung zwischen dem Programm Traymonitor.exe und den daraus resultierenden Trojanerinfektionen schliessen kann.
Vielleicht kann mich ja jemand aufklären.
Grüße DJB