mein Cleaner 3.5 hat einen Trojaner " Optix Pro " entdeckt.
Er befindet sich unter windows\system\kernel32.dli

Nur leider löscht diese Program diesen Trojaner nicht, da nach jedem neuen Rechnerstart erneut dieser Trojaner entdeckt wird!!

Wie kann ich diesen endgültig beseitigen!!

Windows 98se

Danke schon mal im voraus!

Ps: Was bewirkt dieser Trojaner??

Wie du denn Optix weg bekommst weiß ich jetzt, aber ich denke irgendwo wird der sich in der Registry und in dem Autostarteinträgen reingeschrieben haben.

Der Optix öffnet eine Hintertür für Script Kiddies, und tunnelt eine eventuell vorhandene Desktop Firewall.

dll oder dli ?

Ich würde erstmal schauen von welchen Prozess die dll geladen wird.

dli

habe jetzt im Autostart den Kernel32 deaktiviert. Seitdem kommt keine Trojanerwarnung mehr. Ob er allerdings jetzt inaktiv ist, weiss ich nicht!

Denn diese Trojanerwarnung kommt nur nach den hochfahren des Rechners. Danach kann mach soviel scannen wie man will und findet dabei nichts!

Es kam auch die Warnung-- HKLM\Software\Mircosoft\Windows\CurrentVersion\Run

aber nur unter Run- taucht der Eintrag Windows\System\Kernel32.dli auf.

Wie kann ich feststellen, mit welchen Program ich diesen Trojaner aus dem Internet heruntergeladen habe??

Also diesen Eintrag mit der Kernel32.dli kannst du aus der Registry nehmen. Wenn du wissen willst, ob de Trojaner noch aktiv ist, würde ich dir einen Prozessviewer empfehlen. Am besten du benutzt Trojancheck. Damit kannst du die ganzen Starteinträge für Windows überprüfen und der Prozessviewer ist integriert.

ciao, Cyber [img]graemlins/daumenhoch.gif[/img]

<edit>
Du solltest dir mal eine Testversion von KAV runterladen. Danach führst du ein Update aus und scannst dein System. Wenn du Glück hast war der Trojaner in irgendeinem Archiv (z.B. zip oder rar) versteckt. Wenn das so wäre, würde KAV ihn auf jeden Fall finden [img]graemlins/daumenhoch.gif[/img]
</edit>

[ 13. Februar 2003, 11:32: Beitrag editiert von: CyberFred ]

Hi,
was für AV-programme hast du denn außer deinem Cleaner ?
Scanne doch mal mit www.Trendmicro.de HouseCall (Online) oder www.datsec.de (Kaspersky Trial).
Oder schau in den VirenDatenbanken von trendmicro oder vil.mcafee.com nach den beschreibungen deiner Optix-variante, und entferne ihn manuell..

hi mutz,

die datei kernel32.dli kannst du bedenkenlos löschen. das ist der server von optix pro.

irgendwann hast du einen download gemacht oder ne datei von jemandem angenommen. an diese datei war der server gebunden. beim start der datei hast du den server mit gestartet. dabei hat er sich unter dem namen kernel32.dli in das verzeichnis kopiert.

der angreifer hatte deinen pc voll unter kontrolle. das heisst er konnte installieren, löschen, kopieren nach eigenem gutdünken. er konnte einfach ALLES machen. warscheinlichn hat er alle deine passwörter. solltest du unbedingt wechseln.
der trojaner allein kann dir keinen FWB legen, der muss seperat installiert werden.
du hast den server gefunden, darum kann du davon ausgehen, daß du einen FWB auch finden wirst, sofern einer installiert wurde.

der trojaner war nicht undetectable, darum reicht es aus wenn du deinen rechner komplett mit KAV scannst. du hattest es NICHT mit einem profi zutun.

nicht vergessen, passworte wechseln...

gruss, vampire

erstmal vielen dank an alle. Ich habe die von Euch empfohlenen Scanner runtergeladen und bin noch einen anderen Trojaner gestossen "JS. Trojan seeker"

Meine Passwörter habe ich alles geändert.

Gibt es keine Möglichkeit herauszufinden, mit welchen Programm /Datei man sich diese Trojaner auf dem rechner geholt hat?

Nochmals danke an alle [img]graemlins/bussi.gif[/img]

Vampier...

ne dumme Frage.. was ist FWB??

FWB--> (F)ire(W)all(B)ypass...

wenn du den rechner gescannt hast und nichts weiter gefunden wurde kannst du davon ausgehen, daß du clean bist...

Nicht aber wenn durch den Optix ein neuer installiert wurde...
Wenn es ein "advanced" hacker war kostet es ihn ein muedes Laecheln herauszufinden welche AV Software auf dem Rechner laeuft. Erfahrungsgemaess werden dann alte Backdoors welche nicht durch die AV Software erkannt werden installiert, da die "Gefahr" das dieser alte Backdoor "zufaellig" in der AV aktualisiert wird wesentlich geringer ist als das ein neuer, noch unbekannter hinzugefuegt wird.

Michael

[ 13. Februar 2003, 23:46: Beitrag editiert von: Gladiator the green guy ]

Kennt jemand ein prog oder so mit dem man die ip von einem optix-trojaner-opfer per mail zugeschickt bekommt?
Wäre cool wenn mir jemand antwortet.

Mike