Hilfe liebe Nickles-Community!
Wenn der Verdacht besteht mir den Sub-Seven eingeheimst zu haben, wie kann ich diesen Trojaner entfernen, dass er wirklich auch weg ist?
Ich bitte Euch, mir unter meiner E-Mail Adresse Bernhard.Fronhofer@telekom.at oder Bernhard.Fronhofer@lion.cc oder Kbfrl@lion.cc oder über Nickles.de zu informieren, die ich von einem trusted Computer aus abrufen werde!
Danke im vorhinein!
FreddyK. 
(Anonym) „Sub Seven !!!“
Hallo!
Es gibt z.Zt. wenigstens 5 verschiedene Sub-Seven-Derivate.
Eine Seite mit Beschreibung, wo sie sich einnisten, und mit
Anleitungen zur Entfernung findest Du bei www.trojaner-info.de/aktuell.shtml.
Gruß FreddyK.
refa (Anonym) (Anonym) „Sub Seven !!!“
Hast du so ne meldug schon mal gesehen!
Date: 07.11.00 Time: 17:05:28
Rule "Default Block Backdoor/SubSeven Trojan" blocked (62.226.19.188,27374). Details:
Inbound TCP connection
Local address,service is (62.226.19.188,27374)
Remote address,service is (62.226.39.137,4350)
Process name is "N/A"
refa (Anonym) (Anonym) „Sub Seven !!!“
ie Probleme häufen sich anscheinend bei Sub Seven. Ich hab hier nur eine klaine Hilfe gefunden. Ich hoffe das erklärt einiges.
1.Erstens extrahiert ihr die Dateien in ein Verzeichnis, dann startet ihr die SubSeven.exe , keinen falls den Server! So, un seid ihr im Programm.
2.Ihr braucht jetzt ein Opfer, wenn es euch jemand beliebiges tut, dann klickt mal auf Connection à IP Scanner und scannt eine der folgenden Ranges
(NIKOMA : 212.122.128.0 - 212.122.139.255
MOBILCOM : 212.81.192.0 - 212.81.255.255
T-ONLINE : 193.159.0.0 - 193.159.158.255
OKAY.NET : 194.29.44.0 - 194.29.47.255
TALKLINE : 195.252.172.0 - 195.252.183.255
CNS-NET : 195.226.96.0 - 195.226.102.255)
auf Port 1243 (alternativ könnt ihr 27374 testen) mit einem Delay (Verzögerung) von 4 (falls eure Verbindung lahm ist, wählt einen entsprechend
grösseren Wert). So nun drückt „Scan“.
3.In dem blauen Fenster dürften recht bald (höchstens 2 Min), viele infizierte PC’s erscheinen, die Adresse fügt ihr oben (wo IP/UIN steht) ein und
drückt dann auf „Connect“.
Wenn ihr Glück habt, habt ihr einen nicht Passwort geschützten PC erwischt, ansonsten habt ihr Pech gehabt (wie man die Passwörter crackt erkläre
ich mal in ’ner anderen Anleitung).
Macht das solange bis ihr einen habt der kein Password hat.
4.Sobald ihr connected seid, könnt folgendes tun (Nur wichtiges erklärt:
Ø Informationen über seinen PC abrufen (connection à get PC Info à retrieve)
Ø Server Options. Wichtig ist hier die Funktion „Update Server from local file“, damit könnt ihr falls nötig eine neue Version des SubSeven-Servers
hochladen, da alte Versionen nicht alle Features unterstützen, und instabiler sind ,solltet ihr immer die neueste Version drauf spielen.
Ø Benachrichtigung an euch sobald er online ist (connection à Ip notify), dann gebt ihr unter UIN eure ICQ Nummer ein und unter „Victim“ einen
Namen für das Opfer ein und drückt auf „Enabled“, dann kriegt ihr jedes Mal, wenn das Opfer online ist eine Nachricht per ICQ mit seiner IP, dann
könnt ihr euch wieder einloggen.
Ø Keylogger (keys/messages à keyboard ).”Open Keylogger“ (dann start drücken):. Startet das Aufzeichnen aller eingegeben Tastaturbefehle beim
Opfer (In dem Fenster seht ihr wenn er gerade was tippt). „Get offline Keys“: Zeigt die Kommandos an die das Opfer eingegeben hat seit der
Keylogger aktiv ist. Dazu müsst ihr nicht online gewesen sein, die Infos werden auf dem Opfer PC gespeichert und sind dann frei verfügbar.
Ø FTP Server auf seinem PC starten. (advanced à ftp/http à enable ftp). So könnt ihr der ganzen Welt Zugang zu den Daten des Opfers verschaffen
(Natürlich nur wenn er online ist.). FTP Adresse ist seine Adresse unter der man sich dann einloggen kann. FTP Port solltet ihr bei 21 lassen. Maximum
clients stellt ihr auf die Anzahl von Leuten ein, die Zugriff haben dürfen (gleichzeitig), wählt nicht so viele, da es sonst zu lahm wird. Root folder ist der
Ordner (inklusive Unterordner), der verfügbar sein soll. Und die Adresse, die dann unten angezeigt wird, braucht ihr, um euch über euren Browser
einzuloggen und die Daten zu erforschen. Sobald das Opfer offline geht, ist der Server auch beim Teufel und das Opfer hat beim nächsten einwählen
normalerweise eine andere IP, also sind die Daten dann unnütz.
Ø Passwörter (advancedà Passwords) hier könnt ihr euch Passwörter anschauen, die auf seinem PC gespeichert sind. (Beispielsweise für Icq oder den
DFÜ Account)
Ø Seine Festplatte erkunden (Miscellaneous àfile manager à refresh drücken) hier könnt ihr seine lokalen Dateien anschauen, löschen oder ändern, im
Gegensatz zu der ftp Variante, können sie aber nun nur Leute mit dem SubSeven Tools abrufen, also es ist kein Zugang für andere über den
Webbrowser möglich (je nachdem gut, ob ihr anderen die Dateien zur Verfügung stellen wollt)
Ø Schauen, was er gerade auf dem Bildschirm hat (Fun manager à Open screen preview à enable klicken) Nun seht ihr alle paar Sekunden was er
gerade auf seinem PC sieht.
Der Rest ist Spielerei, aber genaues könnt ihr ja selber rausfinden.
So nun noch die Erklärung, wie man den Server selber verschicken kann.
Startet „editserver.exe“.
Unter „Server“ stellt ihr ein, wo sich die „Server“-Datei befindet.
Markiert, falls gewünscht, ICQ notify, gebt eure UIN Nummer ein, dann kriegt ihr jedes Mal wenn das Opfer online ist eine Nachricht mit seiner IP per
ICQ zugeschickt.
Dann solltet ihr bind server with exe markieren, und irgendeine eurer Exen wählen, ein Spiel ist nicht schlecht, in der wird dann der server versteckt,
und sobald die Datei ausgeführt wird ist der Server installiert und der PC infiziert. (Tipp:ein Server in der autostart Datei einer CD ist nützlich um den
Trojaner zu verbreiten.)
Lasst den Rest bei den default Einstellungen
Klickt “save a new copy of the server with the new settings” gebt an wo die Datei (Eure exe mit server infiziert) gespeichert werden soll. Nun könnt ihr
sie an andere weiterleiten.
refa (Anonym) (Anonym) „Sub Seven !!!“
Um mal einen kleinen einblick zu verschaffen(die am anderen ende kochen auch nur mit wasser)
FreddyK. refa (Anonym) „Um mal einen kleinen einblick zu verschaffen die am anderen ende kochen auch nur...“
...und trotzdem war eine solche "Anleitung" gänzlich überflüssig!!
Gruß FreddyK.
(Anonym) Nachtrag zu: „Sub Seven !!!“
Hallo, Nickels, Thomas Wölfer oder wer auch immer !!
Wie kannst Du solche Postings wie das von refa nur auf Dein Board lassen !!
Das waren doch strafrechtlich relevante Sachen, zudem er auch noch einen
zu scannenden IP-Bereich preisgibt-ist doch der Hammer !!!
Also ich besuch eigentlich recht häufig dieses Board, aber wenn ich noch öfters so nen Scheiß
zu lesen bekomm, werd ich mir das echt noch mal überlegen hier hin zu kommen, auch wenn das keinen
interessieren sollte.
P.S.: REFA suck off-hör mit so nem Bulshit auf, sonst bist Du eines Tages der Dumme,das garantier ich Dir !!!!
AzidForce
(Anonym) Nachtrag zu: „Sub Seven !!!“
ich kann diesem posting nur zustimmen !!!
so etwas darf nicht stehen bleiben oder am besten gar nicht erst aufgenommen werden!!!
xafford (Anonym) „Sub Seven !!!“
Uiuiui...wie schlimm dieses Posting...steht ja sonst auch nirgends im Web ;o)...naja...überflüssig war´s trotzdem...nützt nicht viel beim entfernen...
hier eine kleine Anleitung, wie es möglicherweise machbar ist...
starte den registry editor (start-->ausfügren-->regedit)
suche den Zweit:
HOT_KEY_LOCAL_MACHINE-->SOFTWARE-->MICROSOFT-->WINDOWS-->CURRENT_VERSION, und dann die Pfade RUN, RUN_ONCE, RUN_SERVICE, RUN_SERVICE_ONCE.
schau dir dort genau alle Aufrufe an, Du kannst prinzipiell alles löschen, falls Du ganz sicher gehen willst und falls Du den SUB SEVEN SERVER nicht eindeutig identifizieren kannst...(kann sein, daß er in einen normalen Systemprozess umbenannt wurde zur Tarnung)...
Jetzt solltest Du alle Programme, die dort eingetragen waren auch von der festplatte löschen...eventuell benötigte prozesse kannst du anschließend wieder sauber reinladen...
anschließend gehst du mit strg+alt+entf in den task manager und schmeisst alle laufenden prozesse außer explorer raus....
danach neu starten, wenn Du Glück hast, bist Du den Trojaner los...
achja...ganz vergessen....such auch die Zweige HOT_KEY_CURRENT_USER in der selben manier durch und führe die Löschung dort auch durch...und schau mal in den ordner autostart, ich denke zwar nicht, daß sich der trojaner dort einnistet, wäre etwas offensichtlich, aber schaden kann es net ;o)...
viel glück...XAFF
(Anonym) Nachtrag zu: „Sub Seven !!!“
SubSeen kann sich auch in die System.ini und Win.ini einnisten!
(Anonym) Nachtrag zu: „Sub Seven !!!“
na ich ging eigentlich davon aus, daß mittlerweile die meisten leute, die win98 benützen die system.ini und die win.ini deaktiviert haben, da win sie eh nur aus kompatibilitätsgründen nutzt
refa (Anonym) (Anonym) „Sub Seven !!!“
sollte auch wo anders hin !!!
refa (Anonym) (Anonym) „Sub Seven !!!“
Passiert aber in letzter zeit öfters das p0stings "woanders " auftauchen!!
Hier wollte ich eigentlich das gegenteil hinschreiben !?
Kommt nicht wieder vor !
refa (Anonym) (Anonym) „Sub Seven !!!“
Ach nochwas vorsichtig beim entfernen wie oben beschrieben könnte zur folge das sich nichts mehr richtig ausführen lässt, anwendungen/install.!
xafford (Anonym) „Sub Seven !!!“
hä, wi esoll das denn passieren? Wie Anwendungen und Erweiterungen gehandelt werden steht in der Registry unter einem ganz anderen Zweig, als die oben beschriebenen, würde mich mal interessieren, wie man das fertigbringt, wenn man nicht die ganze Registry verhunzt ;o)
refa (Anonym) (Anonym) „Sub Seven !!!“
Na ja es ist so wenn der "gute subseven, neuere version" in seinem tun auf die art beschnitten wird können zwei sachen passieren
es läßt sich nix mehr inst.oder anwendungen funzen auf einmal nicht mehr oder das system kommt zum erliegen !
Das prob.ist das einige leute die original version ein wenig verändern und dadurch reicht das normale entfernen nicht mehr aus ,
das komische ist nur das es die "kostenlosen virenscanner " besser draufhaben den toj. zu entfernen als die die was kosten
getreu nach dem motto ,es sind ja virenscanner!!
ich würde auch mal nach ner kerne exe oder patch exe (ist zwar netbus , heißen aber manchmal auch so)oder 386.exe suchen
dürften beide nicht grösser 300 kb sein !!
zumindest auf meinem Quarant. rechner zu 90% diese eigenheiten festgestellt!
