Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Norton Internet-Security von Virus deaktiert ?

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 22.12.2005, 10:29   #1
GVCom
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Seit Jahren verwende ich erfolgreich Norton Internet-Security und Norton Antivirus. Die Programm erhalten alle paar Tage ein Update und haben sich bisher bewährt. Das Programm selbst ist aus dem Jahre 2002 , das Abo wurde
aber regelmäßig erneuert. Gestern hat nun meine Ehefrau mehrere Mails abgerufen von denen 1 oder zwei verseucht waren. NAV hat die Infektion erkannt und den "Schädling" isoliert. Einige Zeit später mußte ich leider feststellen, das sowohl die Firewall als auch NAV deaktiviert waren. Auch der Versuch die Programme wieder zu aktivieren schlug fehl. Beim anschließenden Liveupdate erhielt ich die Meldung dass dieses deinstalliert wurde. Eine Neuinstallation scheiterte, weil die Datei luinsdll.dll nicht gefunden wurde.
Ich habe dann versuch die vor einigen Tagen gekaufte Version 2006 zu installieren. Dieser Versuch schlug ebenfalls fehl, weil die alte Version von Lifeupdate nicht mehr entfernt werden konnte. Nach Recherchen auf der Webseite von Symatec konnte diese dann manuell entfernt und die neue Version installiert werden. Diese fand gleich 9 Viren, zumeist Bloodhound.Beagle.....
Was mir an der Sache nun keine Ruhe läßt, ist die Frage, ob ein Virus tatsächlich aktive Antivirensoftware de-installieren oder löschen kann.
Interessanterweise ließen sich auch andere Antivirenprogramm nicht mehr installieren oder nach der Installation nicht mehr starten, weil Dateien fehlten.

Alt 22.12.2005, 10:48   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Womöglich wurde der Schädling (Mailwurm) ausgeführt. Oder das System war schon vorher verseucht, denn Virenscanner können prinzipbedingt nicht jeden Schädling erkennen.
Welches Mailprogramm verwendest Du?
Ach, und poste am besten mal so ein Log.
__________________

__________________

Alt 22.12.2005, 11:32   #3
GVCom
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Habe den "Saubär" indentifiziert.
Ich weiss zwar immer noch nicht wie er den NAV überlisten konnte, aber alles andere passt.......[/b]
Bezeichnung Name Typ Schaden
Bagle.DC Win32.Bagle.DC@mm Email-Wurm Mittel
Entdeckt Ermittelt Größe Verbreitung Noch unterwegs
20.09.2005 20.09.2005 etwa 35 kb gering Ja
Andere Namen
Win32.Bagle.dg Email-Wurm.Win32.Bagle.dc Troj/BagleDl-U Troj/BagleDl-V

virenschutz ,virenscanner
Symptome:
Notepad ist geöffnet.
- Präsenz folgender Dateien im %SYSTEM% Ordner:
winshost.exe (35 kb)
wiwshost.exe (8 kb)
- Präsent folgender Dateien im %WINDOWS% Ordner:
firewall_anti.exe (90 kb)
firewall_anti.exe.dll (77 kb)
- Präsenz eines der folgenden Registry Keys oder Entries:
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
"winshost.exe"="%SYSTEM%winshost.exe"
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
"firewall_anti"="%WINDOWS%firewall_anti.exe"
[HKEY_CURRENT_USERSoftwareFirstRun]
"FirstRunRR"=dword:00000001

wo %WINDOWS% auf den WINDOWS Ordner (oder WinNT bei auf Windows NT basierenden Systemen) weist
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen.


Technische Beschreibung:

Der Virus kommt als gezippte Exe Datei eines Email Anhangs.
Die Zip Datei ist ca. 17 kb groß und enthält eine Exe mit ca. 35 kb.
Er besteht aus 5 Komponenten, hauptsächlich Trojaner, Downloader und Dropper.
winshost.exe (~35 kb) - dropper 1
wiwshost.exe (~8 kb) - trojan/downloader 1
osa6.gif (~2 kb) - downloader 2
firewall_anti.exe (~95 kb) - dropper 2
firewall_anti.exe.dll (~70 kb) - trojan

Grundsätzlich erschafft und führt der Virus Dropper, wenn er läuft, den Trojaner aus, der in den Explorer eingebettet wird. Als nächstes versuchte er eine Datei auszuführen von einer Reihe von ferngesteuerten Servern, verhindert verschiedene Dienste und Anwendungen, die mit der Sicherheit zusammen hängen. Er schafft/überschreibt die Host Datei mit einer Default Datei. Er startet die neu herunter geladene Datei, die eine andere Datei runter lädt, die ein Dropper ist und einen Trojaner erschafft/ausführt, der AV Seiten blockt.
Anmerkung: Weil einige der Viruskomponenten unabhängig sind, werden sie eventuell aktualisiert und ihre Aktionen und Größen können leicht variieren.

Einmal in Betrieb, macht der Virus (Dropper) folgendes:
1. Erschafft die vorher genannten Keys und Dateien, die in den Symptomen genannt werden.
2. Er legt die wiwshost.exe im Explorer ab (die der erste Downloader ist)

Sobald wiwshost.exe (der Trojaner/Downloader) läuft, macht er folgendes :
1. Er entfernt die folgenden Registry Keys/Entries:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"Symantec NetDriver Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"ccApp"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"NAV CfgWiz"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"SSC_UserPrompt"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"McAfee Guardian"
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun"McAfee.InstantUpdate.Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"APVXDWIN"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"KAV50"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"avg7_cc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"avg7_emc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"Zone Labs Client
HKLMSOFTWARESymantec
HKLMSOFTWAREMcAfee
HKLMSOFTWAREKasperskyLab
HKLMSOFTWAREAgnitum
HKLMSOFTWAREPanda Software
HKLMSOFTWAREZone Labs
2. Er macht folgende Dienste funktionsunfähig:
wuauserv PAVSRV PAVFNSVR PSIMSVC Pavkre PavProt PREVSRV PavPrSrv SharedAccess navapsvc NPFMntor Outpost Firewall SAVScan SBService Symantec Core LC ccEvtMgr SNDSrvc ccPwdSvc ccSetMgr.exe SPBBCSvc KLBLMain avg7alrt avg7updsvc vsmon CAISafe avpcc fsbwsys backweb client - 4476822 backweb client-4476822 fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService navapsvc NProtectService Norton Antivirus Server VexiraAntivirus dvpinit dvpapi schscnt BackWeb Client - 7681197 F-Secure Gatekeeper Handler Starter FSMA AVPCC KAVMonitorService Norman NJeeves NVCScheduler nvcoas Norman ZANDA PASSRV SweepNet SWEEPSRV.SYS NOD32ControlCenter NOD32Service PCCPFW Tmntsrv AvxIni XCOMM ravmon8 SmcService BlackICE PersFW McAfee Firewall OutpostFirewall NWService alerter sharedaccess NISUM NISSERV vsmon nwclnth nwclntg nwclnte nwclntf nwclntd nwclntc wuauserv navapsvc Symantec Core LC SAVScan kavsvc DefWatch Symantec AntiVirus Client NSCTOP Symantec Core LC SAVScan SAVFMSE ccEvtMgr navapsvc ccSetMgr VisNetic AntiVirus Plug-in McShield AlertManger McAfeeFramework AVExch32Service AVUPDService McTaskManager Network Associates Log Service Outbreak Manager MCVSRte mcupdmgr.exe AvgServ AvgCore AvgFsh awhost32 Ahnlab task Scheduler MonSvcNT V3MonNT V3MonSvc FSDFWD
3. Er schafft einen Thread, der die Ausführung dieser Anwendungen beendet:
NUPGRADE.EXE MCUPDATE.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE FIREWALL.EXE ATUPDATER.EXE LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE UPGRADER.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE
4. Er benennt die Namen folgender Dateien um:
mysuperprog.exe CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe PcCtlCom.exe Tmntsrv.exe TmPfw.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll C1CSETMGR.EXE CC1EVTMGR.EXE NAV1APSVC.EXE NPFM1NTOR.EXE s1ymlcsvc.exe SP1BBCSvc.exe SND1Srvc.exe ccA1pp.exe cc1l30.dll ccv1rtrst.dll LUAL1L.EXE AUPD1ATE.EXE Luup1date.exe LUI1NSDLL.DLL RuLa1unch.exe CM1Grdian.exe Mcsh1ield.exe outp1ost.exe Avc1onsol.exe Vshw1in32.exe Vs1Stat.exe Av1synmgr.exe kav12mm.exe Up222Date.exe K2A2V.exe avgc3c.exe avg23emc.exe zonealarm.exe zatutor.exe zlavscan.dll zo3nealarm.exe zatu6tor.exe zl5avscan.dll zlcli6ent.exe is5a6fe.exe c6a5fix.exe vs6va5ult.dll a5v.dll ve6tre5dir.dll
5. Er versucht osa6.gif herunter zu laden und auszuführen von:
h**p://www.yannick-spruyt.be h**p://www.yayadownload.com h**p://www.yesterdays.co.za h**p://www.yesterdays.co.za h**p://www.yshkj.com h**p://www.yshkj.com h**p://www.zakazcd.dp.ua h**p://www.students.stir.ac.uk h**p://www.zenesoftware.com h**p://www.zentek.co.za h**p://www.czzm.com h**p://www.izoli.sk h**p://www.zorbas.az h**p://www.zsbersala.edu.sk h**p://www.triptonic.ch h**p://www.tv-marina.com h**p://www.travelourway.com h**p://www.megaserve.net h**p://www.trgd.dobrcz.pl h**p://www.mild.at h**p://www.mild.at h**p://www.kingsley.ch h**p://www.mild.at h**p://www.elvis-presley.ch h**p://www.gomyhome.com.tw ...
6. Er überschreibt die Host Datei
7. Er öffnet Notepad

Wenn osa6.gif ausgeführt ist, passiert dieses:
1. Er lädt herunter und führt aus die 2.jpg Datei von keysi.ru
2. Er erschafft einen Thread, der auf Port 0x3C4 lauscht.

Sobald 2.jpg ausgeführt ist, macht er dieses:
1. Er schafft eine Kopie von sich selbst.
2. Er erschafft die firewall_anti.exe.dll im %WINDOWS% Ordner, der eine Massenmailer Komponente ist
3. Er schafft den Registry Key, um beim Neustart zu laufen:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"firewall_anti.exe"="%WINDOWS%firewall_anti.exe"

Wenn firewall_anti.exe.dll läuft, macht er folgendes:
1. Der Zugang zu folgendes Seiten wird geblockt:
ftpav.ca.com pandasoftware.com pandasoftware.com clamav.net clamav.net bitdefender.com bitdefender.com ravantivirus.com ravantivirus.com drweb.ru drweb.com drweb.com antivir.de antivir.de 216.200.68.152 212.113.20.69 63.210.193.12 84.53.142.22 84.53.142.6 kaspersky.ru grisoft.com www3.ca.com viruslist.ru viruslist.com trendmicro.com symantec.com sophos.com networkassociates.com nai.com my-etrust.com mcafee.com kaspersky.ru kaspersky.com kaspersky-labs.com grisoft.com fastclick.net f-secure.com awaps.net avp.ru avp.com avp.ch windowsupdate.microsoft.com viruslist.ru viruslist.com vil.nai.com us.mcafee.com updates5.kaspersky-labs.com updates4.kaspersky-labs.com updates3.kaspersky-labs.com updates2.kaspersky-labs.com updates1.kaspersky-labs.com updates.symantec.com update.symantec.com trendmicro.com symantec.com support.microsoft.com spd.atdmt.com sophos.com service1.symantec.com securityresponse.symantec.com secure.nai.com rads.mcafee.com phx.corporate-ir.net office.microsoft.com networkassociates.com nai.com my-etrust.com msdn.microsoft.com media.fastclick.net mcafee.com mast.mcafee.com liveupdate.symantecliveupdate.com liveupdate.symantec.com kaspersky.com kaspersky-labs.com ids.kaspersky-labs.com go.microsoft.com ftp.sophos.com ftp.kasperskylab.ru ftp.f-secure.com ftp.downloads2.kaspersky-labs.com ftp.avp.ch fastclick.net f-secure.com engine.awaps.net downloads4.kaspersky-labs.com downloads3.kaspersky-labs.com downloads2.kaspersky-labs.com downloads1.kaspersky-labs.com downloads.microsoft.com downloads-us3.kaspersky-labs.com downloads-us2.kaspersky-labs.com downloads-us1.kaspersky-labs.com downloads-eu1.kaspersky-labs.com download.microsoft.com download.mcafee.com dispatch.mcafee.com customer.symantec.com clicks.atdmt.com click.atdmt.com ca.com ca.com banners.fastclick.net banner.fastclick.net awaps.net avp.ru avp.com avp.ch atdmt.com ar.atwola.com ads.fastclick.net ad.fastclick.net report.bitdefender.com upgrade.bitdefender.com ad.doubleclick.net
indem er sich selbst als Paketfilter registriert, was den Update von Sicherheitsprodukten verhindert.

[edit]
links entfernt
[/edit]
__________________

Geändert von GUA (22.12.2005 um 19:26 Uhr)

Alt 22.12.2005, 11:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Zitat:
Zitat von GVCom
Ich weiss zwar immer noch nicht wie er den NAV überlisten konnte, aber alles andere passt.......
Wenn der Schädling imstande ist, andere Virenscanner zu beenden, wird der es auch schaffen die Super-Duper-Suite von Norton zu beenden.
Verlass Dich nicht zu sehr auf diese "Sicherheitsprodukte"! Siehe auch hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.12.2005, 13:27   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Übrigens: Eine PFW ist so nötig wie eine Schwimmweste in der Wüste... -> http://www.ntsvcfg.de

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.12.2005, 18:40   #6
Maggie
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Ich hatte auch Probleme Norten konnte mein Trojaner weder Isolieren noch löschen unter http://www.microsoft.com/germany
Downloads anklicken Nr. 2 Windows-Tool zum Entfernen Bösartige Software. Auf gleicher Seite 3Wichtige Schritte um Ihren PC zu schützen anklicken, dann Anti-Spyware-Software Instalieren.Welcher von beiden geholfen hat weiss ich nicht mein trojaner Backdoor.Haxdoor konnte von meinem PC verschwinden, der hat ja verhintert das ich meine Update machen konnte hatte alles deakiviert. Ausprobieren man kann nichts verlieren sondern nur gewinnen
Gruss Maggie

Alt 22.12.2005, 19:05   #7
MightyMarc
 
Norton Internet-Security von Virus deaktiert ? - Standard

Norton Internet-Security von Virus deaktiert ?



Zitat:
Zitat von Maggie
Ich hatte auch Probleme
Du hast vermutlich immer noch Probleme.... :

Zitat:
Backdoor.Haxdoor
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Antwort

Themen zu Norton Internet-Security von Virus deaktiert ?
antivirenprogramm, datei, dateien, deaktiviert, erkannt, firewall, frage, infektion, löschen, mails, mehrere, meldung, neue version, neuinstallation, nicht gefunden, nicht mehr, norton, programm, programme, schädling, software, starten, symatec, update, verseucht, version, viren, virus



Ähnliche Themen: Norton Internet-Security von Virus deaktiert ?


  1. Norton Internet security
    Diskussionsforum - 01.05.2014 (6)
  2. Unlogik von Norton Internet Security
    Diskussionsforum - 23.04.2014 (29)
  3. Norton Internet Security extrem langsam
    Antiviren-, Firewall- und andere Schutzprogramme - 13.10.2013 (29)
  4. Norton Internet Security ausschalten
    Alles rund um Windows - 23.09.2013 (4)
  5. Was haltet ihr von Norton Internet Security??
    Diskussionsforum - 22.09.2013 (19)
  6. Norton Internet Security
    Überwachung, Datenschutz und Spam - 21.06.2010 (1)
  7. Norton Internet Security
    Antiviren-, Firewall- und andere Schutzprogramme - 29.10.2009 (2)
  8. Norton Internet Security / AntiVirus
    Antiviren-, Firewall- und andere Schutzprogramme - 29.04.2006 (2)
  9. Norton Internet Security 2006
    Antiviren-, Firewall- und andere Schutzprogramme - 26.03.2006 (28)
  10. Norton Internet Security ?
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2006 (10)
  11. Norton Internet Security - rate ab!
    Antiviren-, Firewall- und andere Schutzprogramme - 12.08.2005 (8)
  12. Norton Internet Security 2005
    Antiviren-, Firewall- und andere Schutzprogramme - 12.07.2005 (2)
  13. Norton Internet Security Problem
    Plagegeister aller Art und deren Bekämpfung - 19.02.2005 (3)
  14. Norton Internet Security 2003
    Antiviren-, Firewall- und andere Schutzprogramme - 10.01.2005 (1)
  15. Bugs bei Norton Internet Security 2005?!
    Antiviren-, Firewall- und andere Schutzprogramme - 24.10.2004 (7)
  16. Norton Internet Security 2003
    Plagegeister aller Art und deren Bekämpfung - 10.02.2003 (17)
  17. Norton Internet Security 2003
    Antiviren-, Firewall- und andere Schutzprogramme - 04.02.2003 (7)

Zum Thema Norton Internet-Security von Virus deaktiert ? - Seit Jahren verwende ich erfolgreich Norton Internet-Security und Norton Antivirus. Die Programm erhalten alle paar Tage ein Update und haben sich bisher bewährt. Das Programm selbst ist aus dem Jahre - Norton Internet-Security von Virus deaktiert ?...
Archiv
Du betrachtest: Norton Internet-Security von Virus deaktiert ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.