Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Hiiiillllfffeeee...bitte! back door sub7

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 20.10.2004, 16:40   #1
schneeflocke37
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Liebe Leuts, nachdem ich aus der ferne auf meinen PC habe blicken lassen, wurde festgestellt, daß ich mir den Trojaner back door sub7 eingefangen habe...
Dieses kleine Ding ist so fleissig und geschickt, daß man ihn nicht mal im HijackThis hat finden können....ganz klasse, was?

Nun habe ich folgendes Problem: ich bräuchte ein Removal Tool zwecks Entfernung und zwar ganz dringend.....

Kann mir jemand sagen wie und wo?

Mein hijckThisLog habe ich ja gestern schon gepostet....unter Windows- hohe datenübertragung....


Bitte, bitte, helft mir....
Eure Schneeflocke37....die munter ausspioniert wird....

Alt 20.10.2004, 17:20   #2
Cassandra
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



erstaunlich, daß es den "kleinen" fiesling überhaupt noch gibt . den hab ich in meiner sammlung unter antiquitäten .

hier ist ein removal. runterscrollen bis S7Disinf.


hth
__________________

__________________

Alt 20.10.2004, 20:59   #3
schneeflocke37
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Liebe cassandra....
habe es auf dem Link gefunden...und danke dir sehr dafür.....

da gibt es jedoch einen Link reg und einen zip
welchen sollte ich da wohl nehmen?

Bin da tatsächlich megablond.....und verzweifle schon...ganz ehrlich....
war vor allem geschockt, daß bei mir kein Virenprogramm was gefunden hat...nicht mal hijack...und ein Informatikstudent mal eben in den PC schaut...aus der ferne...kicher...und innerhalb von 3,5 Min. findet, was ich seit 2 Tagen suche.....ich hatte ja sogar mit pestpatrol gescannt....alles fehlanzeige.

Der Studi meinte dann auch, dieser trojaner könne mit dem hohen Datenverkehr zu tun haben....

Wäre sehr froh, wenn ich nochmal kurz eine Anweisung bekäme, was ich runterladen soll und wie ich nach dem runterladen weiterverfahren soll.....

Die dankende Schneeflocke37
__________________

Alt 20.10.2004, 21:03   #4
charlie1
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Hallo schneeflocke37, haste das Ding jetzt weg?
Wenn ja, alle Passwörter ändern das Ding ist zwar alt, aber hat eine Unmenge Schadfunktionen. Offlinekyloger usw. also Vorsicht ist da wirklich geboten und gute Nachsorge, den dein PC war wirklich „krank“.
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 20.10.2004, 21:36   #5
schneeflocke37
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Hallo Charlie!

Nein, habs noch nicht weg....
ging nämlich mit der Datei alleine nicht....lässt sich nicht öffnen...dafür müsste ich wohl das ganze Virenprogramm erst runterladen.....
und mein Englisch ist denkbar schlecht.

Hast DU vielleicht noch einen anderen link parat???
Könnte ich gut gebrauchen....

Liebe Grüße...kopfkratzende Schneeflocke....schmelz...schmelz...


Alt 20.10.2004, 21:44   #6
charlie1
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Hallo schneeflocke, bleib mal drann, ich versuche mal alles Zeug darüber zu finden, dass Ding muß ganz schnell weg!!!
Sperre mal Port 27374, brauch nichts bringen, kann aber:
LG, Charlie.
FW aktivieren und nur den IN zulassen!
Ach so, welcher sub 7 ist es, denn unter xp laufen nicht alle.

Hast du noch den alten ANTS von A. Haak, der ekennt die Dinger, Ewido auch, auch a², stinger nicht.
bis gleich ich gehe jetzt suchen.
__________________
--> Hiiiillllfffeeee...bitte! back door sub7

Alt 20.10.2004, 21:54   #7
chaosman
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



@schneeflocke37
hier findest du viele infos über backdoor sub7(leider in englisch)
http://netsecurity.about.com/od/hack...aapr092004.htm

Keystroke Logging and Password Capture: Sub7 can record every keystroke made on the computer. By analyzing the logged keystrokes an attacker can read anything you may have typed in an email or document or online. They can also find out your usernames and passwords and even the answers you give for the security questions such as "what is your mother's maiden name" if you happen to answer such questions while the keystrokes are being recorded.

Gremlins In The Machine: Sub7 is full of annoying things an attacker can use just for the sadistic pleasure in it. They can disable the mouse or keyboard or change the display settings. They can turn off the monitor or disable the Internet connection. In reality, with full control and access to the system there is almost nothing they can't do, but these are some examples of the options pre-programmed to choose from.

Resistance Is Futile: A machine that has been compromised with Sub7 can be used as a "robot" and can be used by an attacker to disseminate spam or launch an attack against other machines. It is possible for malicious hackers to scan the Internet in search of machines that have been compromised with Sub7 by looking for certain, standard ports to be open. All of these machines create an assimilated network of drones from which hackers can launch attacks anoymously.

wenn du das hier gelesen hast, willst du lieber nicht dein system neu aufsetzen?
chaosman
__________________
Bonus vir semper tiro

Alt 20.10.2004, 22:03   #8
Cassandra
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



hallo schneeflocke!

erstmal isses nicht schlimm, wenn du dir unsicher bist. jeder fängt mal klein an, und zum fragen ist das forum ja da .

und da muß ich mich auch gleich selbst korrigieren: dieses "removal" entfernt lediglich die startroutine von sub7, nicht den trojaner selbst (ob nun die .reg oder die .zip wäre übrigens egal gewesen, da sich in der .zip die .reg befindet ).
leider habe ich auch nach längerer suche kein tool gefunden, erschwerend kommt noch hinzu, daß es mehrere versionen von sub7 gibt, deren entfernung teilweise recht unterschiedlich ist. hier zunächst mal etwas zum anlesen. vor einer manuellen entfernung wäre es also wichtig, klarzustellen, welche version von sub7 bei dir auf dem rechner ist.

was ich mich noch frage: ist dieser student vertrauenswürdig? es ist schon etwas seltsam, daß kein scanner was gefunden hat. es kommt zwar immer mal wieder vor, daß signaturen aus antivirenprogrammen entfernt werden, weil die entsprechenden viren/würmer/trojaner bereits veraltet sind und einem modernen system nix anhaben können, aber sub7 sollte eigentlich nach wie vor von allen gängigen programmen erkannt (und entfernt) werden. kann mir deshalb eigentlich nicht vorstellen, daß pestpatrol nichts gefunden hat (zumal auch in deinem hjt-log etwas hätte zu sehen sein müssen). woran hat der student denn erkannt, daß es sich um sub7 handelt?

vielleicht versuchst du auch einfach noch mal einen scan online (hier sind einige zur auswahl).
__________________
The only secure computer is one that's unplugged, locked in a safe and buried 20 feet under the ground in a secret location... and i'm not even too sure about that one.." Dennis Huges, FBI

Alt 20.10.2004, 22:10   #9
charlie1
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Hallo schneeflocke, erste und eigentlich ganz elegante Möglichkeit, falls PW und Port bekannt, besorge dir den Klienten von sub7 kontaktiere dich damit selbst; IP 127.0.0.1 falls du in einem LAN bist die LAN IP

Sub7 öffnen, über das Menü "Verbindungen" zu den "
Server-Optionen"
und dort "remove server" aktivieren.
Falls das funzt ist Krieg gewonnen, wenn nicht, dann zu Fuß, aber das ist nicht einfach!
Anleitung folgt.
LG, Charlie
Bin aber der Meinung das ANTS ,a², oder Ewido das schafft, habe mich gerade selbst infiziert, ANTS und Ewido haben die Dinger gekillt ohne Rückstand.
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 20.10.2004, 22:22   #10
charlie1
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Die Entfernung:
Die Entfernung des Trojaners ist je nach Version sehr umfangreich, da SubSeven den Me-
chanismus zum Autostart variiert. Im Zweifelsfall muß man alle hier aufgeführten Punkte
durchgehen um den Trojaner zu entfernen. Diese Versionen benennen den Server höchst-
wahrscheinlich mit MSREXE.EXE. Der Autostarteintrag erfolgt meistens in gewohnter Weise
über die Registry oder System.ini. Eine unbekanntere Methode wird weiter unten beschrieben.

Der Autostartechanismus kann sich in folgenden Bereichen eintragen:

Registry:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices

Hier lautet der Eintrag:
WinLoader= MSREXE.EXE oder windos.exe

In der System.ini als zweite Shell hinter explorer.exe (hier würde dahinter msrexe.exe

oder windos.exe stehen)

Die Entfernung erfolgt wieder zweistufig.
Zunächst den PC im MS-DOS-Modus starten und die Datei msrexe.exe oder windos.exe
löschen. Anschließend den PC normal starten und die oben beschriebenen Registry-Schlüs-
sel, den zweiten Eintrag in der System.ini entfernen. Sollte der Server einen anderen Namen
besitzen, zunächst den Namen merken, der in der Registry oder System.ini eingetragen ist. Anschließend die oberen Schritte wiederholen.



Not known Methode:
°°°°°°°°°°°°°°°°°°°°°°°°°°
Diese Methode ist weitgehend unbekannt und ist auch gleichzeitig die cleverste Methode.
Der Autostartmechanismus wird in der Registry unter folgendem Schlüssel eingetragen:

HKEY_CLASSES_ROOT/exefile/shell/open/command

Hier befindet sich normalerweise der Eintrag
""%1" %*"

Wurde der PC mit SubSeven infiziert findet man den erweiterten Eintrag:
windos.exe ""%1" %*"

Dieser Eintrag bewirkt einen automatischen Start des Servers nach Ausführung einer

beliebigen Exe-Datei oder Bat-Datei.


Die Entfernung bei dieser Methode ist etwas schwieriger.
Zunächst den PC im MS-DOS-Modus starten. Anschließend die Datei msrexe.exe oder
windos.exe in msrexe.ex_ oder windos.ex_ umbenennen. Anschließend kann man zu-
nächst leider keine Exe- oder Bat-Datei mehr ausführen, bevor man die Registry im DOS-
Modus nicht restauriert.


ðDazu muß man zuächst den Zweig der Registry mit folgender Befehlszeile exportieren:

regedit /e file.reg hkey_classes_root\exefile\shell\open\command

ðAnschließend diese Datei file.reg mit dem Editor öffnen.
Dort wird man diese oder ähnliche Werte vorfinden:
@="WINDOS \"%1\" %*" (oder msrexe.exe)

ðÄndere diese Werte nach:
@="\"%1\" %*"

ðDie Datei speichern und den Schlüssel mit folgender Befehlszeile importieren:
regedit file.reg

ðAnschließend den PC zum letzten Mal neu starten und die Datei msrexe.ex_ oder

windos.ex_ löschen. Der PC ist wieder sauber.




Die Entfernung 2 bei dieser Methode ist einfacher...
...dazu braucht man nur einen Texteditor, in diesen man folgenden Text eingibt (ko-
pieren und einfügen):

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Bitte genau so eingeben - am besten wirklich kopieren und einfügen !!!
Danach speichern als "Sub7-Desinfektion" oder ähnlichem. Die Umbenennung bestä-
tigen, und ausführen. Die Frage "Sollen die Informationen in ... ... ... hinzugefügt wer-

den mit OK bestätigen. Damit wird der Eintrag gelöscht - das war´s.


In der neuen Version 2.1 Gold wird zusätzlich ein Keylogger in das Windows-System-
Verzeichnis kopiert. Dieser Keylogger trägt den Namen systray.dll (nicht zu verwechseln
mit der Original-Datei systray.exe im Windows-System-Verzeichnis, die zum Betriebs -
system gehört !!!). Auch diese Datei systray.dll muß zur vollständigen Entfernung des
Trojaners entfernt werden.

Das dürfte für dich, laube ich, nicht in Frage kommen.
LG Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 20.10.2004, 22:43   #11
Cassandra
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



@charlie: ist ja nett, daß du helfen willst, aber...

wenn du schon wild aus dem internet zusammenkopierst, schreib doch bitte die quellenangabe dazu.

was nützt die beste anleitung, solange keiner weiß, um welche version es sich handelt, bzw. ob ne infektion überhaupt gegeben ist (außer einer mündlichen aussage eines fernwartenden dritten gab's hier noch keine bestätigung)?

Zitat:
Die Entfernung 2 bei dieser Methode ist einfacher...
und genau das macht die reg-datei, zu der ich in meinem ersten posting verlinkt hatte.... sie entfernt den starteintrag, nicht den trojaner selbst.
__________________
The only secure computer is one that's unplugged, locked in a safe and buried 20 feet under the ground in a secret location... and i'm not even too sure about that one.." Dennis Huges, FBI

Alt 20.10.2004, 23:07   #12
schneeflocke37
 
Hiiiillllfffeeee...bitte! back door sub7 - Icon17

Hiiiillllfffeeee...bitte! back door sub7



ufff.....

wenn ich Eure Antworten so lese.......dann wird mir ganz schwindelig.....
hmmm...ich habe selbst einen Link bekommen, der funktionieren könnte, sagte man mir....wo auch immer ich den gelassen habe...das Programm nennt sich AntiKowBot....kennt das einer von Euch?

Welcher Sub7 es ist, weiß ich nicht genau- hab auch nicht selbst mit ihm telefoniert....

@cassandra: ich denke, der Studi ist wohl vertrauenswürdig.....meine liebe Jenny ruft ihn immer an, wenn's nicht mehr weiter geht- und das mit meinem System etwas im Argen ist, habe ich ja schon tage zuvor selbst am hohen Datenverkehr gemerkt.....kleine Rekordanmerkung: 13,8 Millionen Bytes.....
und das nach nur 1 Stunde und 40 min.....ganz schön heftig...wenn man nur für 2 MB Programme lud.....
Ausserdem habe ich nicht mal mehr die Möglichkeit über die Systemsteuerung meine Software aufzurufen...kicher.....danach ist mein rechner nämlich vollständig OHNE Software......

Das Problem scheint echt ein Grösseres zu sein......

Die von Euch erwähnten Programme habe ich nur ansatzweise gehört.....
Ich glaube fast, ich sollte endlich Format C und neu aufsetzen selbst lernen....
ich meine....durch all diese Schwierigkeiten kenn ich mich ja irgendwann bestimmt auch mal so gut aus....

Nun ja, was soll ich sagen...Ihr schlaft bestimmt schon....
Eure Schneeflocke....

Alt 20.10.2004, 23:19   #13
Shadowdance
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



Hallo Ihrs,

warum versucht Ihr es nicht mit unserem alles fressenden Wunderprogramm? Es könnte doch sein, dass es noch vorhanden ist? Ich gebe mal den Link rein: eScan. Versuchen kann man's doch? Ich denke, dieses Wundermittel frisst auch Subseven ;-)

Lieben Gruss
SD

Alt 20.10.2004, 23:20   #14
schneeflocke37
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



@cassandra: ich habe Deinen Link verfolgt und mache jetzt also einen online Virenscan mit Bitdefender....bin ja mal gespannt, was und ob der was findet...

Alt 20.10.2004, 23:27   #15
charlie1
 
Hiiiillllfffeeee...bitte! back door sub7 - Standard

Hiiiillllfffeeee...bitte! back door sub7



@Cassandra, erstens glaube ich nicht, dass es einem User was nützt, wenn wir uns hier zu profilieren versuchen!
Zweitens; habe ich geschrieben, das ich mich bemühen werde, etwas zusammen zu suchen um zu helfen, nicht das ich ein neues Tut schreibe, weswegen auch, ich muss doch nicht das Fahrrad zum Zweiten mal erfinden!
Drittens; ich habe ja gefragt um welchen sub7 es sich handelt, aber leider keine Antwort bekommen, also habe ich allgemein geantwortet, habe aber auch gesagt, dass nicht alle auf XP laufen, also die Sache schon mal nach meinen Möglichkeiten eingegrenzt!
Viertens, wenn man nach der, von mir geposteten Anleitung arbeitet, ist alles entfernt, denn der Autor ist kein anderer als Kether und der hat mehr drauf, als du und ich!
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Antwort

Themen zu Hiiiillllfffeeee...bitte! back door sub7
ausspioniert, bräuchte, eingefangen, entfernung, festgestellt, folge, folgendes, gefangen, gen, geschickt, gestern, helft, hijack, hijackthis, hohe, klasse, kleine, liebe, problem, removal, sub7, tool, troja, trojaner, zwecks



Ähnliche Themen: Hiiiillllfffeeee...bitte! back door sub7


  1. BBC Door Games eigenen LORD Server erstellen
    Alles rund um Windows - 30.03.2015 (3)
  2. Opera Internet browser langsam wegen Malware, Trojaner oder Back door hack?
    Log-Analyse und Auswertung - 15.11.2012 (15)
  3. Schädling Back.Door.Generic11.ZNE nicht weg zu bekommen
    Plagegeister aller Art und deren Bekämpfung - 03.07.2009 (13)
  4. Sub7 gefunden, neu aufsetzen?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (6)
  5. entfernen des trojaners sub7
    Plagegeister aller Art und deren Bekämpfung - 29.05.2008 (4)
  6. HiJackLogFile, Generic 3 und Back Door, Generic 6 laut AVG gefunden
    Log-Analyse und Auswertung - 21.06.2007 (4)
  7. Überwachung Sub7
    Mülltonne - 29.01.2006 (2)
  8. Back Door Trojaner und Adware trotz Formatierung nicht beseitigt..!
    Plagegeister aller Art und deren Bekämpfung - 28.11.2005 (5)
  9. Sub7 - HILFE?!?!
    Plagegeister aller Art und deren Bekämpfung - 22.11.2005 (3)
  10. Sub7 probleme
    Mülltonne - 27.10.2005 (2)
  11. Back door Programm
    Log-Analyse und Auswertung - 23.10.2005 (3)
  12. Sub7 !!!
    Mülltonne - 25.06.2005 (1)
  13. Informieren über sub7 2.2
    Log-Analyse und Auswertung - 31.01.2005 (1)
  14. HIIIILLLLFFFEEEE !
    Plagegeister aller Art und deren Bekämpfung - 08.06.2003 (14)
  15. Newbie - Sub7 !?!?!?
    Plagegeister aller Art und deren Bekämpfung - 11.05.2003 (29)
  16. Sub7 HDD Kill
    Plagegeister aller Art und deren Bekämpfung - 04.02.2003 (7)

Zum Thema Hiiiillllfffeeee...bitte! back door sub7 - Liebe Leuts, nachdem ich aus der ferne auf meinen PC habe blicken lassen, wurde festgestellt, daß ich mir den Trojaner back door sub7 eingefangen habe... Dieses kleine Ding ist so - Hiiiillllfffeeee...bitte! back door sub7...
Archiv
Du betrachtest: Hiiiillllfffeeee...bitte! back door sub7 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.