Guten Tag!

Habe leider folgendes Problem!!:
Mir wurde heute leider in der Schule von einem Mitschüler Optix Pro über USB-Stick installiert! Nun weiß ich nicht ob er noch oben ist, da wenn er während der schule auf mich zugreifen kann und z.B Word Dokumente schließt geht es nicht...
Wie kann man ihn am besten entfernen? bez. mit welchem Programm geht dies?
Habe im Moment kaspersky 5 + Zonealarm installiert.
Die Programme sind noch aktiv, ich weiß aber leider nicht ob Optik die Virenscanner irgendwie geheim deaktiviert, dass sie zwar akiv erscheinen, aber nicht aktiv sind.
Der Mitschüler weiß leider auch nicht, ob er bei der Option Trojaner Manipulieren aktiviert hat.
Habe ihm schon gesagt, dass ich es melden werde, wenn er es nochmal macht.

Vielen Dank für Ratschläge!

Grüße Roman

@Roman15
hier ein paar infos
http://www.sophos.de/virusinfo/analy...joptixpro.html
http://securityresponse1.symantec.co...tixpro.12.html
http://www.scanspyware.net/info/OptixPro1.3.htm
lass doch mal dein kaspersky 5 in den abgesicherten modus laufen
http://www.trojaner-board.de/63335-w...s-starten.html

chaosman

Guten Tag!

Vielen dank für die Antwort!
Ich habe es im abgesicherten Modus versucht, leider wurde ich nicht fündig.
Was geschieht wenn man bei Optix Pro, Trojaner manipulieren auswählt?
Da wird doch der Trojaner irgendwie instaliert, dass er nicht gefunden werden kann. Also keine Registrie einträge..
Wie könnte ich ihn dann löschen bez. finden?

Grüße Roman

@ Roman15

wenn Du ihn wirklich drauf hast, hilft nur noch formatieren.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo nochmal!

Danke für die rasche Antwort:
Logfile of HijackThis v1.99.0
Scan saved at 14:55:09, on 16.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\userinit.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\Roman\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100450772380
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = goethegym.local
O17 - HKLM\Software\..\Telephony: DomainName = goethegym.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC993786-1949-495F-BB3C-959DC7D5775A}: NameServer = 172.16.1.1,172.16.3.0
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = goethegym.local
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: HP WMI Interface - Hewlett Packard Company - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Hier das HijackThis file!
Ich habe schon einige Programme aus der Autostart genommen.
Dabei ist mir aufgefallen, dass auch ein Autostart dabei war ohne Name und befehl. Er liegt im Registry ordern Current Version/ Run.
Das mit dem Formatieren ist schon traurig..., nur wegen so einem blöden scherz, werde ich jetzt viel Zeit unnötig vertrödel :-).

Mit freundlichen Grüßen

Roman

Wie kann man etwas auf einem USB Stick installieren?
Also wenn ich deinen Post richtig verstanden habe, dann hat dein "Kollege" dir den auf den Stick kopiert. Oder hat er den ausgeführt? Ausgeführt bei dir zu hause oder in der Schule? Wenn der in der Schule ausgeführt worden ist, wäre er doch nur als Exe Datei auf derm Stick und einfach durch löschen entfernbar.

Denn es muss ja eine Exe Datei sein, und wenn ich deine Erläuterung richtig verstanden habe hast du nur Worddokumente auf dem Stick, richtig?

Zitat:

Der Mitschüler weiß leider auch nicht, ob er bei der Option Trojaner Manipulieren aktiviert hat.

Das musst du mir mal erklären, was meinst du damit? Optix ist ein Trojaner, was will man da manipulieren?

Das HijackThis Log sieht irgendwie nach einem Log aus einem Schulcomputer aus, oder wohnst du in einem Internat? Denn mich wundert die Domainangabe. Ansonsten kann ich nichts finden, wobei man nie ausschliessen kann das was drauf ist.

- björn

Guten Tag!

Wir sind ein Informatik Real Gymnasium, und es hat sich jeder Schüler meiner Klasse einen Laptop kaufen müssen... und da wir über die Schule auch ins Internet gehen können haben wir die Domain einstellen müssen
In unser Klasse ist jetzt leider so ein Hacker Boom entschanden..., naja und ein Mitschüler ist mit seinem USB Stick zu meinem Laptop gekommen und hat dann auf meinem PC die EXE Datei installiert. Gott sei dank hab ich es noch gesehen..., sonst hätte ich nicht einmal gewusst wer es war. Habe mich vorhin wohl etwas falsch ausgedrückt. Ich habe gemeint, mit den Worddokumente, dass er dann während der Stunde einfach mein WOrddokument schließt und dann ist alles weg was ich geschrieben habe.
Zu Optix: Man kann beim Erstellen das Optix Servers eine Option Trojaner Manipulieren auswählen. Dabei wird der Trojaner irgendwie so eingestellt, dass er sich weder in der Registry installiert. Also man kann ihn nicht entdecken...
Grüße
Roman

Das Alles hört sich ein wenig unklar an, wie Lucky schon schrieb.
Und Optix hinterlässt wenn man ihn ausgeführt hat, auf alle Fälle Einträge im Autostart und in der reg, auch wenn er getarnt wurde!
Formatieren wegen eines Optix, auf einer Informatikschule?
Das ist ja fast schon Satire!
Verpasse deinem Mitschüler einen Satz warme Ohren, dann frag ihn welchen Port er eingestellt hat, danach besorge dir den Klienten von Optix, connecte dich selbst, und klicke auf entfernen und der Fisch ist gegessen!
LG, Charlie

Zitat:

Zitat von Shadowdance

@ Roman15

wenn Du ihn wirklich drauf hast, hilft nur noch formatieren.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html

Nichts für Ungut:

Ich fass es nicht, so was ist mir noch nicht untergekommen, was habt ihr für Lehrer, entschuldige Kollege, bei uns wird gelehrt, wie man solche Sachen, auch getarnte, aufspürt und dann zu Fuß entfernt.
Denn, woher sollen, denn die Schüler ihr Rüstzeug haben, wenn sie mal AVer werden möchten?
LG, Charlie

Danke für die sehr Hilfreiche Antwort...
Jo, werde ihn dann mit dem Clienten löschen.
Noch zu unserem Info Unterricht: Wir hatten leider noch keine Zeit solche Sachen durchzunehmen, da wir noch nicht sehr viel Informatik Unterrichtsstunden zugeiltbekommen haben. Es wird erst mal WOrd, Powerpoint, Aufbau des Pcs (Schaltungen), Zahlensysteme... durchgenommen, und solche sachen kommen denk ich erst später dran.
Bei zwei Stunden pro Woche lernt man da leider sehr wenig, und in der Unterstufe hatten wir nur eine pro Woche.

Das mit dem Trojaner manipulieren, habe ich im Steganus Video gehört, dort heißt es, dass der Trojaner irgendwie versteckt wird keine Ahnung wie.., ist dort leider auch nicht näher beschrieben worden.
Ja der Mitschüler hat sich sehr entschuldigt, da ich gedroht habe, dass ich zum Lehrer gehen *gg*(ist scheiße ich weiß) aber ich lass mich sicher nicht von jemanden hacken, und dass er dann noch auf alle meine Daten zugreifen kann.
Weiters habe ich gesagt, dass man da sogar eine Anzeige machen kann.., es gibt sogar zeugen. Mach ich natürlich nicht.
Vielen dank nochmals für die sehr guten Ratschläge, und ich hoffe, dass ich mich wieder an euch wenden kann wenn ich Problem mit Trojanern habe

mfg Roman

Ja und jeder der mich kennt, weiß natürlich, dass ich da mal wieder getestet habe.
Hier das Ergebnis vom "Kasper", der hat sogar den sub 7 Start erkannnt und gekillt, Note: sehr gut.

File D:\Dokumente und Einstellungen\charlie\Desktop\cgilogger.zip infected by "Backdoor.SubSeven.22.a" Virus. Action Taken: File Renamed.
File D:\Dokumente und Einstellungen\charlie\Desktop\Client.exe infected by "Backdoor.Optix.Pro.13" Virus. Action Taken: File Renamed.
File D:\Dokumente und Einstellungen\charlie\Desktop\phplogger.zip infected by "Backdoor.Optix.Pro.131" Virus. Action Taken: File Renamed.
File D:\Dokumente und Einstellungen\charlie\Desktop\alternativecgilogger.zip infected by "Backdoor.Optix.Pro.131" Virus. Action Taken: File Renamed.
File D:\Dokumente und Einstellungen\charlie\Desktop\Builder.exe infected by "Backdoor.Optix.Pro.13" Virus. Action Taken: File Renamed.


Aber, HJT hat total versagt, wenn man das Teil ein wenig packt.
Liebe Grüße, Charlie


Logfile of HijackThis v1.99.0
Scan saved at 14:07:14, on 17.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Skype\Phone\Skype.exe
D:\WINDOWS\System32\cisvc.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\cidaemon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX00.999\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

@ charlie1

Mal ne Frage:
Ist das dein Testsystem oder dein Arbeitssystem?

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Hi Cidre, ich verstehe deine Frage nicht ganz.
Es ist ein Test-PC, aber mit dem arbeite ich auch, halt zum testen und falls es um SP2 geht, dass brauche ich nicht wirklich, denn da muss ich ja erst einmal eine Unmenge Dienste deinstallieren, dass die Sache einigermaßen übersichtlich und sicher wird, wie überhaupt bei XP!
Und zum richtig arbeiten benutze ich Linux, aber damit kann ich ja kein HJT posten.
Liebe Grüße, Charlie