Trojaner-Board - TR/Dropper.Gen (Endlich hab ich auch einen)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dropper.Gen (Endlich hab ich auch einen) (https://www.trojaner-board.de/72206-tr-dropper-gen-endlich-hab.html)

Fixe folgendes: R3 - URLSearchHook: (no name) - - (no file)

Do a System scan only - Haken reinsetzen - Fix checked.

Deinstalliere:
Superantispyware
Adobe Reader 8.1.4 - Deutsch
(Bessere Alternative zu diesem wäre Foxit Reader)

Hinweis: Norton und Avira bremsen sich gegenseitig in ihrer Arbeit aus und behindern sich. Suche dir lieber nur ein Antivirenprogramm aus.

Deaktivieren der Systemwiederherstellung in Vista: Klicke mit der rechten Maustaste auf den Desktop
gehe auf "Eigenschaften" in dem Drop Down menü.
Wähle Computerschutz an.
Entferne das Häkchen vor dem Datenträger.
Es erscheint eine Warnmeldung, indem Du auf Systemwiederherstellung ausschalten klickst.
Reboot machen.
Danach die Systemwiederherstellung genau auf diesem Wege wieder Aktivieren.

Wegen dem Norton vs. Avira
Die Sache ist folgende: In letzter Zeit hab ich einige Probleme mit Hackern. Zumindest zeigt Norton mir gelegentlich an, das mal wieder ein Angriff, von der und der IP, geblockt wurde.
Was denn Viren Schutz angeht bin ich jedoch immer ganz gut mit AntiVir gefahren.
Ich hab einfach schiss das die Angriffe erfolgreicher sind wenn ich auf Norton verzichte!

Wie ist der Schutz in der Beziehung bei Avira!? Oder anders gefragt welches kannst du mir empfehlen!?

bis...
Koresh

Was genau zeigt Norton denn an?
Poste mal bitte ein Log von Norton, indem ein Angriff verzeichnet wurde.

Poste mir das alles rein, was ich brauche, ich gehe jetzt ins bett, bin Morgen gegen Mittag da und betrachte mir das alles mal in Ruhe :)

Geht leider nich zu kopieren! Da kommt immer so ein kleines Fenster über meiner Uhr, mit einem entsprechendem Hinweis!

Im Norten Security-Center steht folgendes:

*** *** *** ***

Name des Risikos:
Portscan

Risikostufe:
Mittel [x] [x] [ ]

Standartaktion:
Blockieren

Durchgeführte Aktion:
Blockieren

Angreifender Computer:
193.254.160.1, 53

Zieladresse:
xx.xxx.x.xxx, xxxxx (schätze mal das wird meine sein!)

Traffic-Beschreibung:
UDP, 53

Und untendrunter steht:
Netzwerk-Traffic von 193.254.160.1 entspricht der Signatur eines Bekannten Angriffs.
Wenn sie nicht mehr auf Traffic dieses Typs hingewiesen werden möchten, wählen sie... (bla bli blub etc.)

*** *** *** ***

Deine Hinweise hab ich (so weit mir möglich war) durchgeführt.

R3 - URLSearchHook: (no name) - - (no file) ist gefixt.
Superantispyware und Adobe Reader 8.1.4 - Deutsch sind runner geschmisse.
Nach Foxit Reader werd ich gleich suchen...

Bleibt nur noch das ding mit Avira vs. Norton

Problematisch ist allerdings die Tatsache das ich deiner Aufforderung die System-Wiederherstellung zu deaktivieren nich nachkommen kann, da es in meinem Drop Down Menü auf dem Dasktop nicht die Option "Eigenschaften" giebt. Und da ich nich genau weiss welchen Datenträger du meinst, lass ich es vorerst mal lieber, bis du mir eine alternativen Weg mitgeteilt hast. Weil bevor ich da auf "Gut-Glück" irgendwo rum mache...

Auch wenn du's nich mehr lesen kannst, wünsch ich dir eine gute Nacht. Und bedanke mich soweit für deine Hilfe und vor allem für deine Geduld! :)

Hab morgen allerdings SD und kann daher erst gegen 09:30Uhr online kommen!

bis...
Koresh

Versuch das mal auf diesem Wege mit der Systemwiederherstellung.

* Windows Vista:
* Windows Vista Symbol anklicken
* In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
* Klicke auf den link systemwiederherstellung aktivieren - deaktivieren * Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<< * Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche Datei SWH aktiviert werden soll
* Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Moinsen!

Das scheint etwas anders zu laufen bei mir als du es geschildert hast. oder ich mach was falsch!? Aber ich glaub ich habs!

"SWHP" = Wiederherstellungspunkt?

Ja, das ist der Wiederherstellungspunkt. Nachdem du alles gemacht hattest kümmern wir uns um dein Problem, was Norton schildert.

Nur zum Verständniss:

Ich entferne das häckchen das Häckchen, starte neu, erstelle ein SWHP, tu das Häckchen wieder rein und dan noch mal neu starten!?

Nein, mach das Häckchen nur in die Laufwerke rein, dann tust du neustarten und dann die Häckchen wieder rausnehmen bitte.
KEINE systemwiederherstellung selbst machen, weil du dich sonst neu infizierst mit Navipromo.

okay, done...

und nu!?

Kümmern wir uns um dein Norton Kram.

Gehe mal bitte auf die Windows Firewall und sage mir ob sie Aktiv ist.
Gehe bitte in die Eingabeaufforderung und gebe hier "cmd" ein um zu schauen wie es mit deinen Verbindungen im Netzwerk aussieht/bwz. im Rechner zum Internet.
Schau auch in der Eingabeaufforderung nach wegen "netstat -a" und poste es hier.

Die Win-FW is nich aktiv:

*** *** *** ***

Wenn ich "cmd" eingebe kommt lediglich:

C:\Users\xxx>cmd
Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

*** *** *** ***

bei "netstat -a" kommt:

C:\Users\xxx>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:445 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:554 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:2869 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:5357 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:10243 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49152 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49153 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49154 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49155 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49156 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49157 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49158 xxx-PC:0 ABHÖREN
TCP 10.221.155.68:49196 72.5.124.55:http SCHLIESSEN_WARTEN
TCP 10.221.155.68:49197 80.12.97.27:http SCHLIESSEN_WARTEN
TCP 10.221.155.68:49401 mail:https SCHLIESSEN_WARTEN
TCP 127.0.0.1:49159 xxx-PC:0 ABHÖREN
TCP [::]:135 xxx-PC:0 ABHÖREN
TCP [::]:445 xxx-PC:0 ABHÖREN
TCP [::]:554 xxx-PC:0 ABHÖREN
TCP [::]:2869 xxx-PC:0 ABHÖREN
TCP [::]:5357 xxx-PC:0 ABHÖREN
TCP [::]:10243 xxx-PC:0 ABHÖREN
TCP [::]:49152 xxx-PC:0 ABHÖREN
TCP [::]:49153 xxx-PC:0 ABHÖREN
TCP [::]:49154 xxx-PC:0 ABHÖREN
TCP [::]:49155 xxx-PC:0 ABHÖREN
TCP [::]:49156 xxx-PC:0 ABHÖREN
TCP [::]:49157 xxx-PC:0 ABHÖREN
TCP [::]:49158 xxx-PC:0 ABHÖREN
TCP [::1]:49160 xxx-PC:0 ABHÖREN
UDP 0.0.0.0:123 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5004 *:*
UDP 0.0.0.0:5005 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49152 *:*
UDP 10.221.155.68:1900 *:*
UDP 10.221.155.68:53452 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:53453 *:*
UDP 127.0.0.1:58609 *:*
UDP 127.0.0.1:58700 *:*
UDP 127.0.0.1:58701 *:*
UDP 127.0.0.1:58702 *:*
UDP [::]:123 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5004 *:*
UDP [::]:5005 *:*
UDP [::]:49153 *:*
UDP [::1]:1900 *:*
UDP [::1]:53450 *:*
UDP [fe80::100:7f:fffe%9]:1900 *:*
UDP [fe80::100:7f:fffe%9]:53451 *:*
UDP [fe80::fd6c:d596:66d2:1a95%8]:1900 *:*
UDP [fe80::fd6c:d596:66d2:1a95%8]:53449 *:*

Schau mal hier vorbei > Shutdown Windows' servers

Okay, klingt erst emol nich schlecht... Aber da steht gor nüscht über Win-Vista in der BEschreibung! Wie gut isses also geeignet für mich!?