Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: entfernen des trojaners sub7

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.05.2008, 07:49   #1
qwertz99
 
entfernen des trojaners sub7 - Frage

entfernen des trojaners sub7



brauche hilfe beim entfernen des trojaners sub7. er liegt in den versionen TR/Sub7.V15.Cli ; TR/Sub7.V19.EdSrv und TR/Sub7Server_#2 vor.

Merkmale: das chatprogramm icq gibt an, das eingegebene passwort sei ungültig, der link "ICQ-Nr. oder Passwort vergessen" führt zu einer phishing seite (soweit ich das beurteilen kann)

hier noch ein hijackthis.log

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:26:00, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\DNA\btdna.exe
C:\games\steam an XXX\steam.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NinjaVideo\NinjaVideo Helper\NinjaVideo Helper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\mIRC\mirc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ICQLite\ICQLite.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\PokerStars.NET\PokerStars.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {4D5A5402-E394-4EAA-A3A2-6E61E8646672} - C:\WINDOWS\system32\wdigestd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Steam] "c:\games\steam an XXX\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188039920640
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Music Manager) - http://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1368087-292D-4AF5-94B6-62F4D1C65AF6}: NameServer = 192.168.250.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFB6D54A-CC03-4C49-B312-6BB5BC288026}: NameServer = 192.168.250.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NinjaVideo Helper (NinjaVideo Helper.exe) - NinjaVideo - C:\Programme\NinjaVideo\NinjaVideo Helper\NinjaVideo Helper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10303 bytes
         
hoffe auf schnelle leicht verständliche hilfe

Geändert von qwertz99 (29.05.2008 um 08:32 Uhr)

Alt 29.05.2008, 10:57   #2
Heike
 
entfernen des trojaners sub7 - Standard

entfernen des trojaners sub7



aha, Du hast also mit sub7 gespielt.

wenn Du infiziert wärest, hättest Du nur den Server auf dem PC, aber da Du auch den Client und den Edit_Server hast, ich für mich alles klar. :aplaus:

Wer mit solchen Sachen spielt, sollte ein gewisses Grundwissen haben, oder sich vorher aneignen.

Natürlich kannst Du zusätzlich infiziert sein, passiert schon mal, wenn man sich sub7 da beschafft, wo andere dasselbe vorhaben, was Du vielleicht vorgehabt hast.

ICQ hatte gestern Probleme, mein PW ging auch nicht, heute geht alles wieder, da muß also nicht zwangsläufig ein Zusammenhang bestehen.

have fun,
Heike

btw: BitTorrent in Autostart ist immer gut, da kriegt man auch oft "nette" Sachen.
__________________

__________________

Alt 29.05.2008, 11:34   #3
qwertz99
 
entfernen des trojaners sub7 - Standard

entfernen des trojaners sub7



mit deiner antwort kann ich leider wenig anfangen

bittorrent werd ich deinstallieren.
mit sub7 rumgespielt hab ich nicht, keine ahnung wo ich den her hab.
es hört sich ja fast so an als willst du mir unterstellen, dass ich mir den geholt hätte um den andern zu verpassen. in aller deutlichkeit dem ist nicht so!


habe mir den irgendwie eingefangen und will ihn wieder loswerden, wer kann mir helfen?

und ja icq hatte nur vorrübergehend probleme
__________________

Alt 29.05.2008, 12:11   #4
Heike
 
entfernen des trojaners sub7 - Standard

entfernen des trojaners sub7



Zitat:
Zitat von qwertz99 Beitrag anzeigen
mit sub7 rumgespielt hab ich nicht, keine ahnung wo ich den her hab.
Das kannst Du einem erzählen, der keine Ahnung auf den Gebiet hat, also mir eher weniger.

wie gesagt, wenn man infiziert ist, läuft nur ein Server auf dem PC. Wenn man den Server nutzen will, der auf einem anderen PC läuft, benötigt man zusätzlich die Sachen, die Du auch auf dem PC hast.

Lösche die Files halt, ich bin mir zu 99,9% sicher, ein sub7 Server würde auf Deinem PC eh nicht laufen, sub7 ist einfach zu alt.

BTW: auch ich habe sub7 und andere Sachen auf meinem PC, das ist auch nicht schlimm. Nur sollte man dazu stehen, damit umgehen können und nicht versuchen zu sagen: sie sind auf den PC geflogen, und zwar vollkommen unbemerkt.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 29.05.2008, 12:52   #5
qwertz99
 
entfernen des trojaners sub7 - Standard

entfernen des trojaners sub7



ich bin hier um mir helfen zu lassen, nicht um mir böse absichten unterstellen zu lassen


Antwort

Themen zu entfernen des trojaners sub7
antivir, avira, bho, brauche hilfe, entfernen, firefox, helper, hijack, hkus\s-1-5-18, internet, internet explorer, launch, logfile, mozilla, mozilla firefox, object, phishing, plug-in, programm, regsvr32, rundll, senden, server, shortcut, software, sub7, system, tr/sub7.v15.cli, tr/sub7.v19.edsrv, windows, windows xp



Ähnliche Themen: entfernen des trojaners sub7


  1. Letzte Schritte beim Entfernen eines GVU-Trojaners/RunDLL Fehlermeldung, glom0_og.exe
    Log-Analyse und Auswertung - 09.11.2012 (5)
  2. Entfernen des GVU Trojaners
    Plagegeister aller Art und deren Bekämpfung - 05.11.2012 (13)
  3. Letzte Schritte beim Entfernen eines GVU-Trojaners (RunDLL Fehlermeldung, glom0_og.exe)
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (4)
  4. Probleme mit dem Entfernen des GVU Trojaners
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (12)
  5. Letzte Schritte beim Entfernen eines GVU-Trojaners (RunDLL Fehlermeldung, glom0_og.exe)
    Log-Analyse und Auswertung - 21.07.2012 (8)
  6. Entfernen des Trojaners Sirefef.HC
    Log-Analyse und Auswertung - 03.07.2012 (7)
  7. Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (3)
  8. [2x] Vollständiges entfernen eines Bundespolizei Trojaners
    Mülltonne - 29.02.2012 (1)
  9. Komme bei dieser Anleitung zum entfernen des BP Trojaners nicht weiter
    Plagegeister aller Art und deren Bekämpfung - 17.11.2011 (5)
  10. Entfernen des BKA Trojaners per Systemwiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2011 (5)
  11. Computer reinigen nach Entfernen des BKA-Trojaners
    Log-Analyse und Auswertung - 16.06.2011 (23)
  12. Probleme nach entfernen des BKA 100 € Trojaners
    Log-Analyse und Auswertung - 28.04.2011 (12)
  13. Removal Tool zum Entfernen des 1&1 Trojaners ist da!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2007 (1)
  14. Sub7 probleme
    Mülltonne - 27.10.2005 (2)
  15. Entfernen des Trojaners win32.startpage.nk
    Plagegeister aller Art und deren Bekämpfung - 11.09.2005 (3)
  16. Entfernen des Trojaners Spy.Banker.el.16
    Plagegeister aller Art und deren Bekämpfung - 27.07.2005 (2)
  17. Sub7 !!!
    Mülltonne - 25.06.2005 (1)

Zum Thema entfernen des trojaners sub7 - brauche hilfe beim entfernen des trojaners sub7. er liegt in den versionen TR/Sub7.V15.Cli ; TR/Sub7.V19.EdSrv und TR/Sub7Server_#2 vor. Merkmale: das chatprogramm icq gibt an, das eingegebene passwort sei ungültig, der - entfernen des trojaners sub7...
Archiv
Du betrachtest: entfernen des trojaners sub7 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.