sub7 probs

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

26.10.2003 - 20:23

ich hab irgendwie per mail die sub7 server.exe bekommen und sie hat sich selbst extrahiert :bash:

so jetzt versuch ich seit einer stunde manuell des ding zu entfernen, ich hab eine loader.exe in C:\WINNT gefunden, die offensichtlich neue .exe files generiert hat (also den sub7 server) immer mit anderer zeichenfolge, diese generierten trjoaner wurden alle gelöscht.

so weit so gut, jedes mal wenn ich neu starte, versucht windows eine diese server zu starten: also muss es in irgend einer autostart liste sein.

ich find keine angesprochenen .exe dateien in der reg, noch gibts einträge im simplen autostart menü. wo find ich in der registry die einträge die ausgeführt werden wenn ich windpws starte? bzw wo könnten autostart werte noch vorhanden sein (in irgendwelchen .ini files vielleicht?)

bitte hilfe, und nochmal ein self :bash:

für mich weil ich auf diesen dummen trojaner reingfallen bin.

Bearbeitet von Phobos am 27.10.2003, 23:00

chaze

STIEGL Case 0wn0r

Registered: Nov 2002
Location: Braunau
Posts: 1016

26.10.2003 - 20:26

wennst winXP hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen.

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

26.10.2003 - 20:28

Zitat von chaze
wennst winXP hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen.

guckst du sig, aber danke

kl4Uz

ambestenwisser

Registered: Sep 2002
Location: PCI port
Posts: 1645

26.10.2003 - 20:28

Beende grundsätzlich mal alle Nicht Microsoft dienste!

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

26.10.2003 - 20:36

Zitat von kl4Uz
Beende grundsätzlich mal alle Nicht Microsoft dienste!

prozesse sind alle auf ein minimum reduziert.

ich hab ja keine angst das irgendwer remote einsteigt (ich sitz im netzwerk ganz hinten und der server hat ne firewall)

aber es is nervig, aida32 hat einige sachen gefunden ich mach jetzta nen neustart und dann werd ma sehen ob alles weg is.

Gex

Oralapostel

Registered: Jan 2001
Location: Piefkinesien
Posts: 3376

26.10.2003 - 20:43

falls es noch nicht weg ist:
dieses programm benutze ich schon seit langer zeit, um alle autostart-relevanten dinge zu regeln

.txt einfach löschen, eh klar

click here to download

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

26.10.2003 - 20:43

den großteil hab ich entfernt

allerdings wird immer noch versucht den sub7 dienst zu starten (da die applikationen allerdings schon gelöscht wurden is das net möglich --> fehlermeldung)

es heist das die win.ini versucht diese anwendungen zu starten, in der win.ini steht aber nichts dergleichen drinnen :confused:

tia

/add
sehr gutes tool gex, wird auch behalten, allerdings hab ich alle reg einträge schon gelöscht. in irgendeiner ini datei müssen sich noch werte befinden die versuchen diese anwendungen auszuführen

Bearbeitet von Phobos am 26.10.2003, 20:46

BigJuri

Reservoir Dog

Registered: Jan 2003
Location: Wien
Posts: 5468

27.10.2003 - 17:29

Hast du in der Registry schon unter "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" nachgeschaut?

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

27.10.2003 - 17:51

Zitat von Phobos
guckst du sig, aber danke

wennst win2k hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen.
Allerdings musst es vorher downloaden ;P

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

27.10.2003 - 22:06

ok ich hab das problem noch immer, alles registry autostart-einträge wurden gelöscht, er versucht noch immer diese prozesse beim starten zu öffnen und kanns net weils gelöscht sind.

in welchen systemdateien stehen noch autostart werte drinnen?

pls help

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

27.10.2003 - 22:37

hast in msconfig auch unter dienste nachgesehen und net nur unter systemstart?

Maehmann

OC Addicted

Registered: Aug 2002
Location: Vienna
Posts: 1110

27.10.2003 - 22:44

im C'T 9/03 is ein Artikel über die ganzen Autostartmöglichkeiten von Windows drin ...

Oder schau mal unter dieser URL:
http://www.sascha-habenicht.de/computer/autstart.htm

da steht auch jede Menge zu dem Thema

3N54

Bring the Thunder

Registered: Nov 2001
Location: Linz
Posts: 2701

27.10.2003 - 22:45

maybe steht er ja bei geplanten tasks drinnen ? halt ich zwar für unwarscheindlich aber wer weis ..

HaBa

Klassenfeind

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19824

27.10.2003 - 22:48

Zitat von BigJuri
Hast du in der Registry schon unter "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" nachgeschaut?

Nicht nur da, in HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

kann auch was sein.

Und natrülich bei beiden in allen anderen die mit "Run" anfangen ...

Phobos

✝

Registered: Jan 2003
Location: 1050
Posts: 2111

27.10.2003 - 22:54

Zitat von Maehmann
im C'T 9/03 is ein Artikel über die ganzen Autostartmöglichkeiten von Windows drin ...

Oder schau mal unter dieser URL:
http://www.sascha-habenicht.de/computer/autstart.htm

da steht auch jede Menge zu dem Thema

danke, des hat geholfen

in
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run
waren noch fragmente

reboot und es sollte gehen, cheers

Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	26.10.2003 - 20:23 ich hab irgendwie per mail die sub7 server.exe bekommen und sie hat sich selbst extrahiert so jetzt versuch ich seit einer stunde manuell des ding zu entfernen, ich hab eine loader.exe in C:\WINNT gefunden, die offensichtlich neue .exe files generiert hat (also den sub7 server) immer mit anderer zeichenfolge, diese generierten trjoaner wurden alle gelöscht. so weit so gut, jedes mal wenn ich neu starte, versucht windows eine diese server zu starten: also muss es in irgend einer autostart liste sein. ich find keine angesprochenen .exe dateien in der reg, noch gibts einträge im simplen autostart menü. wo find ich in der registry die einträge die ausgeführt werden wenn ich windpws starte? bzw wo könnten autostart werte noch vorhanden sein (in irgendwelchen .ini files vielleicht?) bitte hilfe, und nochmal ein self für mich weil ich auf diesen dummen trojaner reingfallen bin. Bearbeitet von Phobos am 27.10.2003, 23:00
chaze STIEGL Case 0wn0r Registered: Nov 2002 Location: Braunau Posts: 1016	26.10.2003 - 20:26 wennst winXP hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen.
Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	26.10.2003 - 20:28 Zitat von chaze wennst winXP hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen. guckst du sig, aber danke
kl4Uz ambestenwisser Registered: Sep 2002 Location: PCI port Posts: 1645	26.10.2003 - 20:28 Beende grundsätzlich mal alle Nicht Microsoft dienste!
Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	26.10.2003 - 20:36 Zitat von kl4Uz Beende grundsätzlich mal alle Nicht Microsoft dienste! prozesse sind alle auf ein minimum reduziert. ich hab ja keine angst das irgendwer remote einsteigt (ich sitz im netzwerk ganz hinten und der server hat ne firewall) aber es is nervig, aida32 hat einige sachen gefunden ich mach jetzta nen neustart und dann werd ma sehen ob alles weg is.
Gex Oralapostel Registered: Jan 2001 Location: Piefkinesien Posts: 3376	26.10.2003 - 20:43 falls es noch nicht weg ist: dieses programm benutze ich schon seit langer zeit, um alle autostart-relevanten dinge zu regeln .txt einfach löschen, eh klar click here to download
Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	26.10.2003 - 20:43 den großteil hab ich entfernt allerdings wird immer noch versucht den sub7 dienst zu starten (da die applikationen allerdings schon gelöscht wurden is das net möglich --> fehlermeldung) es heist das die win.ini versucht diese anwendungen zu starten, in der win.ini steht aber nichts dergleichen drinnen tia /add sehr gutes tool gex, wird auch behalten, allerdings hab ich alle reg einträge schon gelöscht. in irgendeiner ini datei müssen sich noch werte befinden die versuchen diese anwendungen auszuführen Bearbeitet von Phobos am 26.10.2003, 20:46
BigJuri Reservoir Dog Registered: Jan 2003 Location: Wien Posts: 5468	27.10.2003 - 17:29 Hast du in der Registry schon unter "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" nachgeschaut?
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	27.10.2003 - 17:51 Zitat von Phobos guckst du sig, aber danke wennst win2k hast kannst einfach MSCONFIG ausführen dann kannst dir den autostart anschauen. Allerdings musst es vorher downloaden ;P
Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	27.10.2003 - 22:06 ok ich hab das problem noch immer, alles registry autostart-einträge wurden gelöscht, er versucht noch immer diese prozesse beim starten zu öffnen und kanns net weils gelöscht sind. in welchen systemdateien stehen noch autostart werte drinnen? pls help
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	27.10.2003 - 22:37 hast in msconfig auch unter dienste nachgesehen und net nur unter systemstart?
Maehmann OC Addicted Registered: Aug 2002 Location: Vienna Posts: 1110	27.10.2003 - 22:44 im C'T 9/03 is ein Artikel über die ganzen Autostartmöglichkeiten von Windows drin ... Oder schau mal unter dieser URL: http://www.sascha-habenicht.de/computer/autstart.htm da steht auch jede Menge zu dem Thema
3N54 Bring the Thunder Registered: Nov 2001 Location: Linz Posts: 2701	27.10.2003 - 22:45 maybe steht er ja bei geplanten tasks drinnen ? halt ich zwar für unwarscheindlich aber wer weis ..
HaBa Klassenfeind Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19824	27.10.2003 - 22:48 Zitat von BigJuri Hast du in der Registry schon unter "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" nachgeschaut? Nicht nur da, in HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kann auch was sein. Und natrülich bei beiden in allen anderen die mit "Run" anfangen ...
Phobos ✝ Registered: Jan 2003 Location: 1050 Posts: 2111	27.10.2003 - 22:54 Zitat von Maehmann im C'T 9/03 is ein Artikel über die ganzen Autostartmöglichkeiten von Windows drin ... Oder schau mal unter dieser URL: http://www.sascha-habenicht.de/computer/autstart.htm da steht auch jede Menge zu dem Thema danke, des hat geholfen in HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run waren noch fragmente reboot und es sollte gehen, cheers

sub7 probs

Forum Index > Software > Applications, Apps & Drivers

Phobos

chaze

Phobos

kl4Uz

Phobos

Gex

Phobos

BigJuri

Spikx

Phobos

Spikx

Maehmann

3N54

HaBa

Phobos