Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Hiiiillllfffeeee...bitte! back door sub7 (https://www.trojaner-board.de/8634-hiiiillllfffeeee-bitte-back-door-sub7.html)

schneeflocke37 20.10.2004 16:40

Hiiiillllfffeeee...bitte! back door sub7
 
Liebe Leuts, nachdem ich aus der ferne auf meinen PC habe blicken lassen, wurde festgestellt, daß ich mir den Trojaner back door sub7 eingefangen habe...
Dieses kleine Ding ist so fleissig und geschickt, daß man ihn nicht mal im hijackthis hat finden können....ganz klasse, was?

Nun habe ich folgendes Problem: ich bräuchte ein Removal Tool zwecks Entfernung und zwar ganz dringend.....

Kann mir jemand sagen wie und wo?

Mein hijckThisLog habe ich ja gestern schon gepostet....unter Windows- hohe datenübertragung....


Bitte, bitte, helft mir....
Eure Schneeflocke37....die munter ausspioniert wird....

Cassandra 20.10.2004 17:20

erstaunlich, daß es den "kleinen" fiesling überhaupt noch gibt :D. den hab ich in meiner sammlung unter antiquitäten ;).

hier ist ein removal. runterscrollen bis S7Disinf.


hth

schneeflocke37 20.10.2004 20:59

Liebe cassandra....
habe es auf dem Link gefunden...und danke dir sehr dafür.....

da gibt es jedoch einen Link reg und einen zip
welchen sollte ich da wohl nehmen?

Bin da tatsächlich megablond.....und verzweifle schon...ganz ehrlich....
war vor allem geschockt, daß bei mir kein Virenprogramm was gefunden hat...nicht mal hijack...und ein Informatikstudent mal eben in den PC schaut...aus der ferne...kicher...und innerhalb von 3,5 Min. findet, was ich seit 2 Tagen suche.....ich hatte ja sogar mit pestpatrol gescannt....alles fehlanzeige.

Der Studi meinte dann auch, dieser trojaner könne mit dem hohen Datenverkehr zu tun haben....

Wäre sehr froh, wenn ich nochmal kurz eine Anweisung bekäme, was ich runterladen soll und wie ich nach dem runterladen weiterverfahren soll.....

Die dankende Schneeflocke37

charlie1 20.10.2004 21:03

Hallo schneeflocke37, haste das Ding jetzt weg?
Wenn ja, alle Passwörter ändern das Ding ist zwar alt, aber hat eine Unmenge Schadfunktionen. Offlinekyloger usw. also Vorsicht ist da wirklich geboten und gute Nachsorge, den dein PC war wirklich „krank“.
Liebe Grüße, Charlie

schneeflocke37 20.10.2004 21:36

Hallo Charlie!

Nein, habs noch nicht weg....
ging nämlich mit der Datei alleine nicht....lässt sich nicht öffnen...dafür müsste ich wohl das ganze Virenprogramm erst runterladen.....
und mein Englisch ist denkbar schlecht.

Hast DU vielleicht noch einen anderen link parat???
Könnte ich gut gebrauchen....

Liebe Grüße...kopfkratzende Schneeflocke....schmelz...schmelz...

charlie1 20.10.2004 21:44

Hallo schneeflocke, bleib mal drann, ich versuche mal alles Zeug darüber zu finden, dass Ding muß ganz schnell weg!!!
Sperre mal Port 27374, brauch nichts bringen, kann aber:
LG, Charlie.
FW aktivieren und nur den IN zulassen!
Ach so, welcher sub 7 ist es, denn unter xp laufen nicht alle.

Hast du noch den alten ANTS von A. Haak, der ekennt die Dinger, Ewido auch, auch a², stinger nicht.
bis gleich ich gehe jetzt suchen.

chaosman 20.10.2004 21:54

@schneeflocke37
hier findest du viele infos über backdoor sub7(leider in englisch)
http://netsecurity.about.com/od/hack...aapr092004.htm

Keystroke Logging and Password Capture: Sub7 can record every keystroke made on the computer. By analyzing the logged keystrokes an attacker can read anything you may have typed in an email or document or online. They can also find out your usernames and passwords and even the answers you give for the security questions such as "what is your mother's maiden name" if you happen to answer such questions while the keystrokes are being recorded.

Gremlins In The Machine: Sub7 is full of annoying things an attacker can use just for the sadistic pleasure in it. They can disable the mouse or keyboard or change the display settings. They can turn off the monitor or disable the Internet connection. In reality, with full control and access to the system there is almost nothing they can't do, but these are some examples of the options pre-programmed to choose from.

Resistance Is Futile: A machine that has been compromised with Sub7 can be used as a "robot" and can be used by an attacker to disseminate spam or launch an attack against other machines. It is possible for malicious hackers to scan the Internet in search of machines that have been compromised with Sub7 by looking for certain, standard ports to be open. All of these machines create an assimilated network of drones from which hackers can launch attacks anoymously.

wenn du das hier gelesen hast, willst du lieber nicht dein system neu aufsetzen?
chaosman

Cassandra 20.10.2004 22:03

hallo schneeflocke!

erstmal isses nicht schlimm, wenn du dir unsicher bist. jeder fängt mal klein an, und zum fragen ist das forum ja da ;).

und da muß ich mich auch gleich selbst korrigieren: dieses "removal" entfernt lediglich die startroutine von sub7, nicht den trojaner selbst (ob nun die .reg oder die .zip wäre übrigens egal gewesen, da sich in der .zip die .reg befindet :crazy: ).
leider habe ich auch nach längerer suche kein tool gefunden, erschwerend kommt noch hinzu, daß es mehrere versionen von sub7 gibt, deren entfernung teilweise recht unterschiedlich ist. hier zunächst mal etwas zum anlesen. vor einer manuellen entfernung wäre es also wichtig, klarzustellen, welche version von sub7 bei dir auf dem rechner ist.

was ich mich noch frage: ist dieser student vertrauenswürdig? es ist schon etwas seltsam, daß kein scanner was gefunden hat. es kommt zwar immer mal wieder vor, daß signaturen aus antivirenprogrammen entfernt werden, weil die entsprechenden viren/würmer/trojaner bereits veraltet sind und einem modernen system nix anhaben können, aber sub7 sollte eigentlich nach wie vor von allen gängigen programmen erkannt (und entfernt) werden. kann mir deshalb eigentlich nicht vorstellen, daß pestpatrol nichts gefunden hat (zumal auch in deinem hjt-log etwas hätte zu sehen sein müssen). woran hat der student denn erkannt, daß es sich um sub7 handelt?

vielleicht versuchst du auch einfach noch mal einen scan online (hier sind einige zur auswahl).

charlie1 20.10.2004 22:10

Hallo schneeflocke, erste und eigentlich ganz elegante Möglichkeit, falls PW und Port bekannt, besorge dir den Klienten von sub7 kontaktiere dich damit selbst; IP 127.0.0.1 falls du in einem LAN bist die LAN IP

Sub7 öffnen, über das Menü "Verbindungen" zu den "
Server-Optionen"
und dort "remove server" aktivieren.
Falls das funzt ist Krieg gewonnen, wenn nicht, dann zu Fuß, aber das ist nicht einfach!
Anleitung folgt.
LG, Charlie
Bin aber der Meinung das ANTS ,a², oder Ewido das schafft, habe mich gerade selbst infiziert, ANTS und Ewido haben die Dinger gekillt ohne Rückstand.

charlie1 20.10.2004 22:22

Die Entfernung:
Die Entfernung des Trojaners ist je nach Version sehr umfangreich, da SubSeven den Me-
chanismus zum Autostart variiert. Im Zweifelsfall muß man alle hier aufgeführten Punkte
durchgehen um den Trojaner zu entfernen. Diese Versionen benennen den Server höchst-
wahrscheinlich mit MSREXE.EXE. Der Autostarteintrag erfolgt meistens in gewohnter Weise
über die Registry oder System.ini. Eine unbekanntere Methode wird weiter unten beschrieben.

Der Autostartechanismus kann sich in folgenden Bereichen eintragen:

Registry:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices

Hier lautet der Eintrag:
WinLoader= MSREXE.EXE oder windos.exe

In der System.ini als zweite Shell hinter explorer.exe (hier würde dahinter msrexe.exe

oder windos.exe stehen)

Die Entfernung erfolgt wieder zweistufig.
Zunächst den PC im MS-DOS-Modus starten und die Datei msrexe.exe oder windos.exe
löschen. Anschließend den PC normal starten und die oben beschriebenen Registry-Schlüs-
sel, den zweiten Eintrag in der System.ini entfernen. Sollte der Server einen anderen Namen
besitzen, zunächst den Namen merken, der in der Registry oder System.ini eingetragen ist. Anschließend die oberen Schritte wiederholen.



Not known Methode:
°°°°°°°°°°°°°°°°°°°°°°°°°°
Diese Methode ist weitgehend unbekannt und ist auch gleichzeitig die cleverste Methode.
Der Autostartmechanismus wird in der Registry unter folgendem Schlüssel eingetragen:

HKEY_CLASSES_ROOT/exefile/shell/open/command

Hier befindet sich normalerweise der Eintrag
""%1" %*"

Wurde der PC mit SubSeven infiziert findet man den erweiterten Eintrag:
windos.exe ""%1" %*"

Dieser Eintrag bewirkt einen automatischen Start des Servers nach Ausführung einer

beliebigen Exe-Datei oder Bat-Datei.


Die Entfernung bei dieser Methode ist etwas schwieriger.
Zunächst den PC im MS-DOS-Modus starten. Anschließend die Datei msrexe.exe oder
windos.exe in msrexe.ex_ oder windos.ex_ umbenennen. Anschließend kann man zu-
nächst leider keine Exe- oder Bat-Datei mehr ausführen, bevor man die Registry im DOS-
Modus nicht restauriert.


ðDazu muß man zuächst den Zweig der Registry mit folgender Befehlszeile exportieren:

regedit /e file.reg hkey_classes_root\exefile\shell\open\command

ðAnschließend diese Datei file.reg mit dem Editor öffnen.
Dort wird man diese oder ähnliche Werte vorfinden:
@="WINDOS \"%1\" %*" (oder msrexe.exe)

ðÄndere diese Werte nach:
@="\"%1\" %*"

ðDie Datei speichern und den Schlüssel mit folgender Befehlszeile importieren:
regedit file.reg

ðAnschließend den PC zum letzten Mal neu starten und die Datei msrexe.ex_ oder

windos.ex_ löschen. Der PC ist wieder sauber.




Die Entfernung 2 bei dieser Methode ist einfacher...
...dazu braucht man nur einen Texteditor, in diesen man folgenden Text eingibt (ko-
pieren und einfügen):

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Bitte genau so eingeben - am besten wirklich kopieren und einfügen !!!
Danach speichern als "Sub7-Desinfektion" oder ähnlichem. Die Umbenennung bestä-
tigen, und ausführen. Die Frage "Sollen die Informationen in ... ... ... hinzugefügt wer-

den mit OK bestätigen. Damit wird der Eintrag gelöscht - das war´s.


In der neuen Version 2.1 Gold wird zusätzlich ein Keylogger in das Windows-System-
Verzeichnis kopiert. Dieser Keylogger trägt den Namen systray.dll (nicht zu verwechseln
mit der Original-Datei systray.exe im Windows-System-Verzeichnis, die zum Betriebs -
system gehört !!!). Auch diese Datei systray.dll muß zur vollständigen Entfernung des
Trojaners entfernt werden.

Das dürfte für dich, laube ich, nicht in Frage kommen.
LG Charlie

Cassandra 20.10.2004 22:43

@charlie: ist ja nett, daß du helfen willst, aber...

wenn du schon wild aus dem internet zusammenkopierst, schreib doch bitte die quellenangabe dazu.

was nützt die beste anleitung, solange keiner weiß, um welche version es sich handelt, bzw. ob ne infektion überhaupt gegeben ist (außer einer mündlichen aussage eines fernwartenden dritten gab's hier noch keine bestätigung)?

Zitat:

Die Entfernung 2 bei dieser Methode ist einfacher...
und genau das macht die reg-datei, zu der ich in meinem ersten posting verlinkt hatte.... sie entfernt den starteintrag, nicht den trojaner selbst.

schneeflocke37 20.10.2004 23:07

ufff.....

wenn ich Eure Antworten so lese.......dann wird mir ganz schwindelig.....
hmmm...ich habe selbst einen Link bekommen, der funktionieren könnte, sagte man mir....wo auch immer ich den gelassen habe...das Programm nennt sich AntiKowBot....kennt das einer von Euch?

Welcher Sub7 es ist, weiß ich nicht genau- hab auch nicht selbst mit ihm telefoniert....

@cassandra: ich denke, der Studi ist wohl vertrauenswürdig.....meine liebe Jenny ruft ihn immer an, wenn's nicht mehr weiter geht- und das mit meinem System etwas im Argen ist, habe ich ja schon tage zuvor selbst am hohen Datenverkehr gemerkt.....kleine Rekordanmerkung: 13,8 Millionen Bytes.....
und das nach nur 1 Stunde und 40 min.....ganz schön heftig...wenn man nur für 2 MB Programme lud.....
Ausserdem habe ich nicht mal mehr die Möglichkeit über die Systemsteuerung meine Software aufzurufen...kicher.....danach ist mein rechner nämlich vollständig OHNE Software......

Das Problem scheint echt ein Grösseres zu sein......

Die von Euch erwähnten Programme habe ich nur ansatzweise gehört.....
Ich glaube fast, ich sollte endlich Format C und neu aufsetzen selbst lernen....
ich meine....durch all diese Schwierigkeiten kenn ich mich ja irgendwann bestimmt auch mal so gut aus....

Nun ja, was soll ich sagen...Ihr schlaft bestimmt schon....
Eure Schneeflocke....

Shadowdance 20.10.2004 23:19

Hallo Ihrs,

warum versucht Ihr es nicht mit unserem alles fressenden Wunderprogramm? Es könnte doch sein, dass es noch vorhanden ist? Ich gebe mal den Link rein: eScan. Versuchen kann man's doch? Ich denke, dieses Wundermittel frisst auch Subseven ;-)

Lieben Gruss
SD

schneeflocke37 20.10.2004 23:20

@cassandra: ich habe Deinen Link verfolgt und mache jetzt also einen online Virenscan mit Bitdefender....bin ja mal gespannt, was und ob der was findet...

charlie1 20.10.2004 23:27

@Cassandra, erstens glaube ich nicht, dass es einem User was nützt, wenn wir uns hier zu profilieren versuchen!
Zweitens; habe ich geschrieben, das ich mich bemühen werde, etwas zusammen zu suchen um zu helfen, nicht das ich ein neues Tut schreibe, weswegen auch, ich muss doch nicht das Fahrrad zum Zweiten mal erfinden!
Drittens; ich habe ja gefragt um welchen sub7 es sich handelt, aber leider keine Antwort bekommen, also habe ich allgemein geantwortet, habe aber auch gesagt, dass nicht alle auf XP laufen, also die Sache schon mal nach meinen Möglichkeiten eingegrenzt!
Viertens, wenn man nach der, von mir geposteten Anleitung arbeitet, ist alles entfernt, denn der Autor ist kein anderer als Kether und der hat mehr drauf, als du und ich!
Liebe Grüße, Charlie


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131