backdoor.optixpro.13

#1 hallo!
habe den virus backdoor.optixpro.13!
jetzt ist die datei msvbvm06.dll befallen!
jedes mal wenn ich windows neu starte kommt norton und sagt sie haben eben diesen virus wurde isoliert und das ganze drei mal hintereinander!
ich habe mir die neuesten virusdefinitionen von symantec runter geladen!
wenn ich jedoch eine komplette untersuchung des systems machen will schließt sich norton einfach ich kann so noch normal arbeiten aber ich weiß ja nich was noch passieren kann!!!
hoffe das mir jemand vertraulich weiter helfen kann

mfg Jan

#2 Du kannst dich ja mal hier durchlesen: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.optixpro.13.html

Vieleicht ist Norton in der Lage, den Backdoor im abgesicherten Modus(von Windows) zu loeschen. Aber lies dir die Beschreibung gut durch, denn er veraendert doch schon so einiges in der Registrierung. Besonders die Eintraege unter diesem Schluessel: HKEY_CLASSES_ROOT\exefile\shell\open\command
sind sehr wichtig. Werden sie nicht auf die Standardwerte zurueckgesetzt und du loescht einfach die Dateien, die als Backdoor infiziert werden, kann es im Normalbetrieb vom Windows einige Probleme geben.

Dort sollte/muss als Wert das hier stehen: "\"%1\" %*"
__________
MfG Ralf
SEO-Spam Hunter

#3 If the Trojan has not yet run—that is, the Trojan's file was copied to your computer but has not run—you should be able to follow the instructions in sections 1 and 2, which discuss detecting and removing this file.

If the worm has run, or if you are unsure of this, first follow the instructions in section 3 (and section 4 if you are running Windows 95/98/Me). After you complete those instructions, follow the steps in sections 1 and 2.


1. Update the virus definitions.
2. Run a full system scan and delete all the files detected as Backdoor.OptixPro.13.
3. Reverse the changes made to the registry.
4. Reverse the changes made to the Win.ini and System.ini files.

wie darf ich das verstehen
also das 2te trifft zu virus ist geöffnet und dann soll ich erst punkt 3 und 4
machen und dann 1 und 2
verstehe nur nich was ich bei 3 und 4 machen soll

verstehe das mit diesem schlüssel auch nicht!!!hab wirklich keine große ahnung davon!
ich danke dir schonmal im vorraus!
mfg hoffe auf erneute antwort
Jan

#4 Bitte erstelle erstmal ein HijackThis-Log, damit wir genau wissen, mit was wir es zu tun haben: http://www.hjt.klaffke.de

Die "msvbvm06.dll" ist nämlich meines Erachtens _nicht_ der eigentliche Trojaner, sondern nur ein Bestandteil...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 woher soll ich wissen das das kein scheiß ist??
also ich bin seitdem sehr skeptisch georden!
was ist dies für ein programm???


raman was is los mit dir??

danke Jan

#6 ? Die Frage koennte ich dir auch stellen.
Forge77 weiss schon wovon er redet. Poste halt das Log. Infos zu dem Programm findest du Sackweise hier im Forum oder durch den Link, den forge77 dir gegeben hat.
__________
MfG Ralf
SEO-Spam Hunter

#7 Hey leute,
eine frage,
ich wollte sachen mit Optixpro 1.3 ausprobieren, ich bin eben so neugierig.
als ich den server mit upx gepackt habe, habe ich ausversehen upx geöffnet (neugierig :'( ) und man muss ja firewall usw. deaktivieren und damit hab ich mich selber angesteckt.
das ist mein problem.
und jetzt die frage.
es gibt ja 99% einen weg den virus zu löschen, kann mir jemand da BITTE helfen.

#8 Ja, Rechner neu Aufsetzen, sie dazu den Artikel http://board.protecus.de/t13019.htm
__________
MfG Ralf
SEO-Spam Hunter

#9 das weiss ich auch
einen anderenz.B. files zurücksetzen usw.

#10 Die frage ist, was dir der Backdoor schon alles untergeschoben hat, bzw noch wird, wenn du mit einem infizierten System online bist. Du kannst ews mit einem aktuellen guten AV-Programm versuchen(KAV/Escan), aber eine garantie bekommst du dafuer nicht von mir. Eine Systemwiederherstellung bei Windows XP/ME waere auch ein versuch wert.

Und ich hoffe du hast gelernt, das man mit manchen Dingen nicht spielt!
__________
MfG Ralf
SEO-Spam Hunter

#11
ich bin ja neugierig schon erwähnt.
ich klicke meistens alles an aber jetzt nicht mehr
ich habe zuerst sehr aufgepasst dass ich dass zeug nicht anklicke aberschon passiert
ich hab es gerade vor etwas 1h angesteckt

#12 tach leude...
Ich habe beim schreiben von Optix mitgeholfen und wennde den Server los werden willst ist das eigentlich soweit ganz einfach ...
1. LAN-Kabel raus (WICHTIG)
2. geh innen regedit und such nach GLSetIT32 (reg. name vom server[meißtens])
3. such nach der Datei msiexec16.exe (auch meißtens) --> löschen
4. wenn bis jetzt nichts gestimmt hat: saug dir nen Log Port Scanner und Check die 3410 oder die 13222
5. wenn immernoch nischt geholfen hat, kannst du mich E-Mail anschreiben und wir können mal über msn quatschen

P.S.: Mag jetz' blöd klingen, aber Optix-Server sind CCMD files, das heißt, dass sie einfach keine deinstall.exe haben können, weil sie sich in ALLEN win dlls fest fressen (und zwar so richtig tief) ... am gründlichsten kan man den entfernen, wenn du dich von der lizensirten Optix-1.34 remoten lassen würdest ... da kann man die dlls wierherstellen und auch permanent gegen Optix absichern.
Ich habe diesen Clienten.
ich weiß, dass das ein großer vertrauenssprung ist, aber ich gebe dir mein Ehrenwort.