Gefahr erkannt, aber nicht gebannt

Hallo,

 

ich habe mich eben so über NIS geärgert, dass ich es loswerden muss und mich angemeldet habe.

 

Gestern erschien kurz nach der Anmeldung in Windows 7 von Norton Internet Security die Meldung, dass zwei gefährliche Trojaner geblockt (oder ähnliches) wurden. Ich dachte in Ordnung, Gefahr erkannt, Gefahr gebannt.

Dazu muss ich sagen, dass ich schon darauf schaue, was ich installiere bzw. was ich mache. Und die letzten Tage hatte den PC nur kurz an und habe auch nichts installiert. Diese Meldung kam für mich überraschend, auch wenn ich weiss, sowas passiert nicht von allein. Wenn überhaupt könnte ich das nur einem von zwei Freewareprogrammen zuordnen, die ich am Wochenende installiert hatte. Da gab es aber keine Probleme und die Downloads wurden von Norton überprüft und als OK eingestuft.

 

Aber als ich heute wieder den PC hochgefahren habe, dasselbe Spiel. Das machte mich schonmal stutzig und ich habe diverses Sachen probiert. Irgendwann kam mir ein Autostartprogramm namens Traymonitor.exe verdächtig vor, vor allem weil es sich in einem Temp-Ordner befand (eine Googlesuche sagte aber, es gehöre zu einem Backupprogramm). Deshalb hab ich die Datei mit Norton geprüft, wurde aber als kein Virus erkannt, also OK. danach totaler Systemcheck, auch ohne Befund.

 

Danach aber wieder trotzdem das Gleiche, kurze Zeit nach Neustart Trojanerwarnung. Deshalb habe ich ein kostenloses Programm zum "Suchen und Entfernen" von einem anderen Hersteller (im abgesicherten Modus) versucht. Wieder ohne Befund.

 

Irgendwann hab ich mir dann den Verlauf von Norton zum wiederholten Mal angesehen, diesmal fiel mir eine Regelmässigkeit auf und ich kam zu folgendem Ergebnis:

 

-Beim Systemstart wurde das Programm Traymonitor.exe (Ort:  users\<persönlicher Ordner>\AppData\Local\Temp\Traymonitor.exe) gestartet.

 

-Danach hat sich das Programm bei Norton Internetzugang verschafft (Meldung: Sie haben den Zugriff von Traymonitor auf Ihre Netzwerkressourcen zugelassen). Ich habe diesem Programm keinen Zugriff gewährt, die Meldung ist auch jedesmal zweimal im Verlauf aufgeführt. Es ist schon fast eine Frechheit, wie dies im Verlauf zu lesen ist. Gerade so als ob ich dem Programm gerade zweimal per Klick erlaubt hätte, sich mit dem Netzwerk zu verbinden, obwohl dies offensichtlich still und heimlich geschehen ist.

 

-Danach wurden jedesmal die Dateien plg0.tmp und plg1.tmp (beide als Trojan.Gen.2 eingestuft) blockiert, diese befanden sich im selben Ordner wie Traymonitor.exe.

 

-Nach diesen Erkenntnissen habe ich ein Insight der Datei gemacht, mit dem Ergebnis, dass die Datei doch nicht so sicher sein soll, wie mir Norton weissgemacht hat.

 

 

Ich habe mir nun insoweit beholfen, dass ich die Autostartfunktion dieses Programms deaktiviert und es ausserdem noch aus dem Temp-Ordner gelöscht habe. Allerdings werden sich noch Rückstände im System befinden (Registrierung usw.), welche ich nicht selber beheben kann. Danach traten jedenfalls auch nach mehrmaligem Neustart keine solche Aktivitäten mehr auf. Ich hoffe, damit habe ich erstmal Ruhe.

 

Was mich so ärgert ist, dass Norton zwar die Folgen der Gefahr erkannt hat, aber nicht dessen Ursprung. Die meisten User müssen sich blind auf NIS verlassen können, weil sie wenig Ahnung vom PC haben. Diese sind in einem solchen Fall völlig aufgeschmissen. Ich verstehe nicht, warum Norton keine Verbindung zwischen dem Programm Traymonitor.exe und den daraus resultierenden Trojanerinfektionen schliessen kann.

 

Vielleicht kann mich ja jemand aufklären.

 

 

Grüße DJB

Hallo DJB,

Schau mal hier:
http://de.systemexplorer.net/file-database/file/traymonitor-exe/414668

Hallo Wolfgang,

 

danke für deinen Link, aber nach den ersten Zeilen (Es gibt 150 Definitionen dafür) hab ich schon wieder aufgehört zu lesen, nicht weil es mir zuviel wäre, das auch ^^. Aber den hatte ich bei der Google-Suche schon, und auch da hab ich nach den ersten Zeilen aufgehört :smileywink:.

 

Trotzdem Danke für deine Mühe :smileyhappy:.

Hallo DJB,

 

ich denke, wenn es Dir zuviel ist, bestimmte Dinge zu lesen, wird es schwierig werden, Dir zu helfen. :smileywink:

 

Du schreibst im Eröffnungsbeitrag: "eine Googlesuche sagte aber, es gehöre zu einem Backupprogramm".

Hast Du so etwas, insbesondere von Acronis?

 

Zumindest sollte Dir die Seite, auf die ich verlinkt habe, soviel gegeben haben, dass es wichtig ist, dass Du Dir mal die Eigenschaften der Datei (Rechtsklick-Eigenschaften) anschaust und, wenn Du Hilfe möchtest, diese Eigenschaften hier mal einstellst bitte.

 

 

Hallo Wolfgang,

 

entschuldige bitte, denke irgendwie war mein Posting missverständlich, wenn du mir so helfen wolltest (oder vielleicht war es dir auch zuviel zum Lesen :smileywink: ).

 

Ich habe mein Problem, wie im Posting beschrieben, ja selbst gelöst. Ich hätte gerne eine Erklärung von jemanden (Norton-Mitarbeiter?) gehabt, warum Norton mir die Infektionen anzeigt und bereinigt, aber nicht das Programm, welches es verursacht.

 

Grüße DJB

Hallo DJB,

wenn man so etwas in einem User-to-User-Forum schreibt, in dem sich von Symantec/Norton so gut wie nie jemand beteiligt, muss man sich nicht darüber beschweren noch, wenn tatsächlich User zu helfen versuchen, ok?

Andererseits darf man auch nicht so egoistisch sein und keine Angsben machen wollen, die für andere wichtig sein könnten.

Du hast doch selbst anklingen lassen, dass solch ein Problem weniger Bewanderte vor Schwierigkeiten stellen würde, oder?

Wäre es jetzt wirklich zuviel verlangt, dass Du mal die Herkunft von Deiner Traymonitor.exe hier bekannt machst?

Hallo Wolfgang,

 

ehrlich gesagt weiss ich nicht, was du von mir willst. Du bist nicht auf meine eigentliche Frage eingegangen:

 

"Was mich so ärgert ist, dass Norton zwar die Folgen der Gefahr erkannt hat, aber nicht dessen Ursprung. Die meisten User müssen sich blind auf NIS verlassen können, weil sie wenig Ahnung vom PC haben. Diese sind in einem solchen Fall völlig aufgeschmissen. Ich verstehe nicht, warum Norton keine Verbindung zwischen dem Programm Traymonitor.exe und den daraus resultierenden Trojanerinfektionen schliessen kann.

Vielleicht kann mich ja jemand aufklären."

 

Alles vorher waren Angaben zu meinem Problem und meinem Weg zur Lösung, egoistisch? Wenn du meinst...

 

Dort steht übrigens auch, dass es für mich überraschend war und ich die Infektion höchstens zwei Freewareprogrammen zuordnen könnte, Betonung auf könnte. Sicher weiss ich das auch nicht, weil wie erwähnt Norton beim Download beide Dateien als sicher eingestuft hat und es auch schon ein paar Tage her war.

 

Damit dachte ich wär klar, dass ich anderes schon ausgeschlossen habe. Soviel sollte man jemanden schon zutrauen, in Google "was ist traymonitor.exe" einzugeben. Ich habe aufgehört zu lesen bei dem von dir genannten Link (auch bei meinem eigenen Treffer bei Google), weil ich gesehen hatte, dass sie als sicher eingestuft ist.

 

Ausserdem ist in meinem Post zu lesen, dass ich die Datei zur Lösung des Problems gelöscht habe, deshalb kann ich verständlicherweise auch nicht mehr in die Eigenschaften.

 

Wenn du die Programme wissen hast wollen, warum hast du nicht gefragt? Eines war eine Codecsammlung namens Windows Codec Pack (oder zusammengeschrieben), dass andere ein Programm namens MusicBrainz Picard. Ich hatte die in meinem Posting übrigens nicht genannt, weil sie bei Google nicht als Bedrohung zu finden und somit mMn nicht relevant waren.

 

Aber damit das hier nicht ausartet werde ich nur noch auf Antworten auf meine eigentlich Frage bzw. eindeutige Fragen zu meinem Posting antworten, falls ich wieder mal vorbeischaue :smileywink:.

 

 

Grüße DJB

 

 

PS: Ich hatte mich nicht über deinen Link beschwert, sondern mich für deine Mühe bedankt. Das war auch so gemeint, auch wenn es in meinem Fall nicht hilfreich war. Kann sein, dass du das anders interpretiert hast.