|
Optix Pro Löschen Guten Tag! Habe leider folgendes Problem!!: Mir wurde heute leider in der Schule von einem Mitschüler Optix Pro über USB-Stick installiert! Nun weiß ich nicht ob er noch oben ist, da wenn er während der schule auf mich zugreifen kann und z.B Word Dokumente schließt geht es nicht... Wie kann man ihn am besten entfernen? bez. mit welchem Programm geht dies? Habe im Moment kaspersky 5 + Zonealarm installiert. Die Programme sind noch aktiv, ich weiß aber leider nicht ob Optik die Virenscanner irgendwie geheim deaktiviert, dass sie zwar akiv erscheinen, aber nicht aktiv sind. Der Mitschüler weiß leider auch nicht, ob er bei der Option Trojaner Manipulieren aktiviert hat. Habe ihm schon gesagt, dass ich es melden werde, wenn er es nochmal macht. Vielen Dank für Ratschläge! Grüße Roman |
@Roman15 hier ein paar infos http://www.sophos.de/virusinfo/analy...joptixpro.html http://securityresponse1.symantec.co...tixpro.12.html http://www.scanspyware.net/info/OptixPro1.3.htm lass doch mal dein kaspersky 5 in den abgesicherten modus laufen http://www.trojaner-board.de/63335-w...s-starten.html chaosman |
Guten Tag! Vielen dank für die Antwort! Ich habe es im abgesicherten Modus versucht, leider wurde ich nicht fündig. Was geschieht wenn man bei Optix Pro, Trojaner manipulieren auswählt? Da wird doch der Trojaner irgendwie instaliert, dass er nicht gefunden werden kann. Also keine Registrie einträge.. Wie könnte ich ihn dann löschen bez. finden? Grüße Roman |
@ Roman15 wenn Du ihn wirklich drauf hast, hilft nur noch formatieren. Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html |
Hallo nochmal! Danke für die rasche Antwort: Logfile of HijackThis v1.99.0 Scan saved at 14:55:09, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\userinit.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\Roman\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100450772380 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = goethegym.local O17 - HKLM\Software\..\Telephony: DomainName = goethegym.local O17 - HKLM\System\CCS\Services\Tcpip\..\{EC993786-1949-495F-BB3C-959DC7D5775A}: NameServer = 172.16.1.1,172.16.3.0 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = goethegym.local O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: HP WMI Interface - Hewlett Packard Company - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Hier das Hijackthis file! Ich habe schon einige Programme aus der Autostart genommen. Dabei ist mir aufgefallen, dass auch ein Autostart dabei war ohne Name und befehl. Er liegt im Registry ordern Current Version/ Run. Das mit dem Formatieren ist schon traurig..., nur wegen so einem blöden scherz, werde ich jetzt viel Zeit unnötig vertrödel :-). Mit freundlichen Grüßen Roman |
Wie kann man etwas auf einem USB Stick installieren? Also wenn ich deinen Post richtig verstanden habe, dann hat dein "Kollege" dir den auf den Stick kopiert. Oder hat er den ausgeführt? Ausgeführt bei dir zu hause oder in der Schule? Wenn der in der Schule ausgeführt worden ist, wäre er doch nur als Exe Datei auf derm Stick und einfach durch löschen entfernbar. Denn es muss ja eine Exe Datei sein, und wenn ich deine Erläuterung richtig verstanden habe hast du nur Worddokumente auf dem Stick, richtig? Zitat:
Das HijackThis Log sieht irgendwie nach einem Log aus einem Schulcomputer aus, oder wohnst du in einem Internat? Denn mich wundert die Domainangabe. Ansonsten kann ich nichts finden, wobei man nie ausschliessen kann das was drauf ist. - björn |
Guten Tag! Wir sind ein Informatik Real Gymnasium, und es hat sich jeder Schüler meiner Klasse einen Laptop kaufen müssen... und da wir über die Schule auch ins Internet gehen können haben wir die Domain einstellen müssen In unser Klasse ist jetzt leider so ein Hacker Boom entschanden..., naja und ein Mitschüler ist mit seinem USB Stick zu meinem Laptop gekommen und hat dann auf meinem PC die EXE Datei installiert. Gott sei dank hab ich es noch gesehen..., sonst hätte ich nicht einmal gewusst wer es war. Habe mich vorhin wohl etwas falsch ausgedrückt. Ich habe gemeint, mit den Worddokumente, dass er dann während der Stunde einfach mein WOrddokument schließt und dann ist alles weg was ich geschrieben habe. Zu Optix: Man kann beim Erstellen das Optix Servers eine Option Trojaner Manipulieren auswählen. Dabei wird der Trojaner irgendwie so eingestellt, dass er sich weder in der Registry installiert. Also man kann ihn nicht entdecken... Grüße Roman |
Das Alles hört sich ein wenig unklar an, wie Lucky schon schrieb. Und Optix hinterlässt wenn man ihn ausgeführt hat, auf alle Fälle Einträge im Autostart und in der reg, auch wenn er getarnt wurde! Formatieren wegen eines Optix, auf einer Informatikschule? Das ist ja fast schon Satire! Verpasse deinem Mitschüler einen Satz warme Ohren, dann frag ihn welchen Port er eingestellt hat, danach besorge dir den Klienten von Optix, connecte dich selbst, und klicke auf entfernen und der Fisch ist gegessen! LG, Charlie |
Zitat:
Ich fass es nicht, so was ist mir noch nicht untergekommen, was habt ihr für Lehrer, entschuldige Kollege, bei uns wird gelehrt, wie man solche Sachen, auch getarnte, aufspürt und dann zu Fuß entfernt. Denn, woher sollen, denn die Schüler ihr Rüstzeug haben, wenn sie mal AVer werden möchten? LG, Charlie |
Danke für die sehr Hilfreiche Antwort... Jo, werde ihn dann mit dem Clienten löschen. Noch zu unserem Info Unterricht: Wir hatten leider noch keine Zeit solche Sachen durchzunehmen, da wir noch nicht sehr viel Informatik Unterrichtsstunden zugeiltbekommen haben. Es wird erst mal WOrd, Powerpoint, Aufbau des Pcs (Schaltungen), Zahlensysteme... durchgenommen, und solche sachen kommen denk ich erst später dran. Bei zwei Stunden pro Woche lernt man da leider sehr wenig, und in der Unterstufe hatten wir nur eine pro Woche. Das mit dem Trojaner manipulieren, habe ich im Steganus Video gehört, dort heißt es, dass der Trojaner irgendwie versteckt wird keine Ahnung wie.., ist dort leider auch nicht näher beschrieben worden. Ja der Mitschüler hat sich sehr entschuldigt, da ich gedroht habe, dass ich zum Lehrer gehen *gg*(ist scheiße ich weiß) aber ich lass mich sicher nicht von jemanden hacken, und dass er dann noch auf alle meine Daten zugreifen kann. Weiters habe ich gesagt, dass man da sogar eine Anzeige machen kann.., es gibt sogar zeugen. Mach ich natürlich nicht. Vielen dank nochmals für die sehr guten Ratschläge, und ich hoffe, dass ich mich wieder an euch wenden kann wenn ich Problem mit Trojanern habe :heulen: mfg Roman |
Ja und jeder der mich kennt, weiß natürlich, dass ich da mal wieder getestet habe. Hier das Ergebnis vom "Kasper", der hat sogar den sub 7 Start erkannnt und gekillt, Note: sehr gut. File D:\Dokumente und Einstellungen\charlie\Desktop\cgilogger.zip infected by "Backdoor.SubSeven.22.a" Virus. Action Taken: File Renamed. File D:\Dokumente und Einstellungen\charlie\Desktop\Client.exe infected by "Backdoor.Optix.Pro.13" Virus. Action Taken: File Renamed. File D:\Dokumente und Einstellungen\charlie\Desktop\phplogger.zip infected by "Backdoor.Optix.Pro.131" Virus. Action Taken: File Renamed. File D:\Dokumente und Einstellungen\charlie\Desktop\alternativecgilogger.zip infected by "Backdoor.Optix.Pro.131" Virus. Action Taken: File Renamed. File D:\Dokumente und Einstellungen\charlie\Desktop\Builder.exe infected by "Backdoor.Optix.Pro.13" Virus. Action Taken: File Renamed. Aber, HJT hat total versagt, wenn man das Teil ein wenig packt. Liebe Grüße, Charlie Logfile of HijackThis v1.99.0 Scan saved at 14:07:14, on 17.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Skype\Phone\Skype.exe D:\WINDOWS\System32\cisvc.exe D:\Programme\ewido\security suite\ewidoctrl.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\WINDOWS\System32\wuauclt.exe D:\WINDOWS\System32\cidaemon.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX00.999\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358 O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
@ charlie1 Mal ne Frage: Ist das dein Testsystem oder dein Arbeitssystem? Zitat:
|
Hi Cidre, ich verstehe deine Frage nicht ganz. Es ist ein Test-PC, aber mit dem arbeite ich auch, halt zum testen und falls es um SP2 geht, dass brauche ich nicht wirklich, denn da muss ich ja erst einmal eine Unmenge Dienste deinstallieren, dass die Sache einigermaßen übersichtlich und sicher wird, wie überhaupt bei XP! Und zum richtig arbeiten benutze ich Linux, aber damit kann ich ja kein HJT posten. Liebe Grüße, Charlie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board