Backdoor Optix 12 pro

#1 Hi allerseits,

ich hab mir auf meinem PC den oben genannten Trojaner eingefangen. Wie weiss ich allerdings nicht. Ist auch schon das zweite Mal innerhalb eines Monats. Nach dem ersten Befall hab ich meine Platte formatiert und XP neu installiert.

Nun habe ich mir gestern abend Norton Systemworks installiert, welches auch gleich Alarm geschlagen hat. Nun ja, Optix hat mittlerweile Norton Systemworks 2003 nahezu lahmgelegt, mein Rechner findet die rundll nicht mehr und sämtliche Verknüpfungen und Verweise sind weg! Die Progs die sich überhaupt noch starten lassen, kann ich nur im Stammverzeichnis mit "auführen als" Admin starten. Regedit lässt sich gar nicht mehr starten.

Wie ihr wahrscheinlich schon bemerkt habt bin ich nicht gerade der Profi in der Hinsicht. Wäre aber nett wenn mir jemand ein paar Tipps geben könnte, wie ich das Teil von meiner Platte bekomme ohne nochmal zu formatieren!

Danke im vorraus

Mungo

#2 Mahlzeit!

Wenn bei mir sowas ist, bin ich gnadenlos!
Das heißt FORMATIEREN!!!!!!!!

Leider ist das aber ein Tip, den Du nicht hören willst.

Ich hab hier im Forum aber schon gelesen, daß Norten Antivirus nicht so toll sein soll.
Schau vielleicht, daß Du beim nächsten Neu-Installieren einen anderen Viren-Scanner benutzt!
Lies Dir mal die Seite hier dirch.
http://return.to/scheinsicherheit

Norton Systemworks? Ich bin mir aber nicht ganz sicher. Wenn Du das auf einer CD hast, kannst Du ja Dein System mit der CD booten und dann gleich den AntiVirus starten.

Sorry, daß ich Dir nicht wirklich helfen konnte.

MfG
Cutty

#3 Hi
Ja lad dir einfach mal en andren Virenscanner runter, oder lass
dein System online scannen. Dein Internet geht ja anscheinend noch....
Also sonst hilft einfach nur FORMATIEREN!!!

MFG
DAFRA

#4 Hi und danke schonmal für die Antworten,

werd mir mal den Kapersky runterladen und schauen was der rausläßt. Hab hier im Forum irgendwo gelesen, dass Norton anscheinend recht einfach von Trojanern ausgehebelt werden kann (leider zu spät).

Online kann ich noch gehen...derjenige welcher mir den Optix untergejubelt hat (ich weiss, eigentich war ja ich das) wär ja schön blöd ;-)
Einen Onlinescan werd ich ebenfalls mal drüberlaufen lassen. Gibts dazu irgendwelche Empfehlungen???

Aber es muss doch auch noch eine...na ja, ich sag mal elegantere Lösung geben als Formatieren, oder?

bin echt für jeden Rat dankbar....

Greetz Mungo

#5 http://board.protecus.de/t3427.htm
Habe hier mal eine Liste von Firewalls und Virenscanner gepostet, die Optix ohne weiteres lahmlegt.
Unter DOS mit Fprot scannen wäre eine Möglichkeit.
Formatieren ist nicht elegant, aber die sicherste Lösung.
Eleganter als ein Online-Scan: Selbst entfernen:
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Bei welcher Datei hat dein Scanner denn Alarm geschlagen?

Was genau meinst du mit "mein Rechner findet die rundll nicht mehr" (wie lautet die Fehlermeldung, wann kommst sie?) und "sämtliche Verknüpfungen und Verweise sind weg" (alle, die dein Rechner je hatte?!)

edit: Joschi, ich hoffe doch, dass es sich um den Optix handelt, der im Threadtitel erwähnt ist, also OptixPro 1.2...
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.optixpro.12.b.html
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Hi,

@joschi

Ich werd mal schauen, ob ich ihn nicht selbst entfernen kann. Gibt es überhaupt ein AV-Programm, das einigermaßen sicher gegen sowas ist? Ich dachte eigentlich Kapersky wäre da der Scanner der Wahl.

@forge

Norton AV hat bei regsrv.exe und winampw.exe Alarm geschlagen. Gab auch an diese beiden Dateien gelöscht zu haben! Tja, das war auch das letzte was ich von Norton hörte ;-)

Mit "mein Rechner findet die rundll nicht mehr" meinte ich, wenn ich z.B. in der Systemsteuerung -> Software öffnen will sagt mir eine Fehlermeldung, dass er die rundll.exe nicht mehr findet (und frägt, ob der Name richtig geschieben. ist....)! Über die normale Dateisuche findet er sie aber gleich in system32!?

Was die Verknüpfungen angeht meinte ich, dass ich die Programme nur noch über das Verzeichniss in dem sie liegen aufzurufen sind. Und da auch nur mit ausführen als Admin. Von der Shortcutleiste, vom Desktop oder die Progs direkt zu starten geht nicht mehr.

hope this helps

Mungo


PS: auf den Ports 1110-1115 gibt mir netstat folgende Verbindung aus:

195.22.198-15.deploy.akamaitechnologies.com:http WARTEND

kA was das sein kann...hat vielleicht jemand von euch ne Ahnung???

#8

Zitat

Gibt es überhaupt ein AV-Programm, das einigermaßen sicher gegen sowas ist?

Eigentlich ist so ein 'Selbstschutz' für ein AV ziemlich sinnlos, denn wenn es schon die Infektion deines Rechners nicht verhindern konnte, wird es i.d.R. auch hinterher den Schädling nicht finden können.
Dennoch hat afaik Kaspersky einen solchen Mechanismus - wie gut der im Ernstfall arbeitet, kann ich aber nicht sagen.
Der eigentliche Grund, warum gerade bei Trojanern immer zu Kaspersky geraten wird, ist z.B. auf der von MrCutty verlinkten Seite zu finden (oder auch in meiner Signatur... )

Zitat

regsrv.exe und winampw.exe

Hmm, gleich zweimal Optix...?
Egal, lade dir mal Trojan Check ( http://www.trojancheck.de/ ) runter, und schau dir mal die Autostart-Einträge an. Besonders interessant sind die "Standardeinträge" und "Shell Spawning."
Paste den Inhalt dann mal hier ins Forum.

Zitat

PS: auf den Ports 1110-1115 gibt mir netstat folgende Verbindung aus:

195.22.198-15.deploy.akamaitechnologies.com:http WARTEND

Das ist wahrscheinlich noch irgendeine frühere Browserverbindun, die noch im Zustand "wartend" ist.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#9 Hey,

jepp, laut Norton zweimal Optix auf der Platte....mittlerweile gehabt, glaub ich!
Ich hab mal versucht mit Hilfe der Symantec HP den (bzw. die) Optix selber zu entfernen und anscheinend hat es geklappt!?

Ich bin folgendermaßen vorgegangen: Als erstes habe ich mit DOS regedit umbenannt, worauf ich es auch wieder starten konnte. Darauf editierte ich den registry key in

HKEY_CLASSES_ROOT\exefile\shell\open\command

von winampw.exe"%1" %* (bin mir nicht ganz sicher ob das stimmt)

in "%1" %*

In den Verzeichnissen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

waren vom Trojaner keine Veränderungen vorgenommen woden.

Eine Fage hätte ich aber noch. Auf der Symantec HP steht unter Punkt 4., dass evtl. noch win.ini und system.ini manipuliert wurden. Trifft das nun auch für XP zu oder nur für win 95/98 und ME?

So, ich hoffe dass der Müll jetzt ein für allemal runter von meiner Platte ist. Ich habe mittlerweile auch wieder meinen Router angeschlossen, der ist besser als gar nichts, wie bisher. Norton läuft mittlerweile übrigens auch wieder ;-)

Axo, Trojancheck hab ich mir runtergeladen und mir den Inhalt mal angeschaut, soweit ich das sehe ist alles wieder Palletti!

Standardeinträge:

HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccRegVfy "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

ShellSpawning:

HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*
hattest Recht, die war wirklich interessant ;-)

Active Setup

Das lassen wir mal, ich glaub da bekäm ich Ärger mit dem Admin zwecks Länge....

Standardeinträge:

C:\Dokumente und Einstellungen\MeinName\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini

INI-Dateien:

C:\WINDOWS\win.ini load
C:\WINDOWS\system.ini shell Explorer.exe

Batch und txt Dateien:

c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt

Sop, das war alles was ich zu beichten habe :-)

BTW ist echt ein sehr sehr gutes Board hier....Hut ab

Greetz Mungo

#10 Sehr schön - so sollte es laufen.

Win.ini und System.ini können, wie du richtig vermutet hast, nur unter Win9x/Me für Autostarts genutzt werden. Allerdings sind sie bei dir laut 'Trojan Check' eh unverändert...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#11 Perfecto.....

Thx alot für eure und vor allem deine Hilfe Forge!

cya Mungo

#12 ist ja lustig (traurig) bei ersten mal wurde die einträge in der registrie noch gefunden beim 2 nichtmehr obwohl ich diese nicht gelöscht habe.