subseven

[rama]

Hallo allemaal ik heb trojanshield en norton systemworks 2003 draaien beide geregistreerde versies desondanks als ik op jullie site of op internet aan het surven ben krijg ik vele keren een waarschuwing dat ik een subseven heb wat kan dit zijn,er staat wel bij dat ik niet in gevaar ben.

 

[saldos]

rama,
Ik denk dat het niet Norton system works is die je die waarschuwing geeft, maar je firewall. Kan dat kloppen?
Zo ja, dan hoef je je nergens zorgen om te maken, want dan betekend het gewoon dat iemand een poortscan aan het doen is op je pc en dezelfde poort gebruikt wordt die subseven gebruikt. Voor meer informatie lees:

http://service1.symantec.com/SUPPOR...045bf3eebc6e03a4882569dd005ba8ba?OpenDocument

 

[game-master]

subseven.

Als ie écht Outgoing is, heb je uiteraard een probleem.

Doe dit:

Ga naar http://www.spywareinfo.com/downloads.php#startup , en download 'Startuplist'.

Uitpakken, erop dubbelklikken, en je krijgt een tekstbestand dat een uitgebreid overzicht geeft van alles wat er zich op jouw computer afspeelt.

Ga naar Bewerken > Alles selecteren, kopiëer het, en laat de inhoud hier eens zien.

Mocht je inderdaad een trojan hebben, vinden we hem.

En even on line laten scannen bij Panda Active Scan kan ook geen kwaad.

 

[rama]

Saldos bedankt voor je reactie. Het is trojanshield die de waarschuwing geeft volgens mij, het is telkens een wisselend ip adres en een ander localpoort en remotepoort nummer GR Rama

 

[rama]

StartupList report, 12-1-2003, 17:03:51
StartupList version: 1.50
Started from : C:\Documents and Settings\hans\Local Settings\Temp\Tijdelijke map 2 voor startuplist.zip\StartupList.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\TrojanShield\AntiTroj.exe
D:\TrojanShield\st.exe
C:\WINDOWS\system32\crypserv.exe
C:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
D:\TrojanShield\Port.exe
D:\TrojanShield\Port.exe
C:\Documents and Settings\hans\Local Settings\Temp\Tijdelijke map 2 voor startuplist.zip\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
TrojanShield.lnk = D:\TrojanShield\Init.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

WINDVDPatch = CTHELPER.EXE
UpdReg = C:\WINDOWS\UpdReg.EXE
Jet Detection = C:\Creative\SBLive\PROGRAM\ADGJDet.exe
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
nwiz = nwiz.exe /install
HPDJ Taskbar Utility = C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
WinampAgent = "C:\Winamp\Winampa.exe"

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

TrojanShield Protector = D:\TrojanShield\Port.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
Pop-Up-Blocker =
TransparentIcons =
BlockAds =
Tweak-XP =

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{306D6C21-C1B6-4629-986C-E59E1875B8AF}]
StubPath = "C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=
run=

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=
HKLM\..\Windows\CurrentVersion\WinLogon: load=
HKLM\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=
HKCU\..\Windows\CurrentVersion\WinLogon: load=
HKCU\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: load=
HKLM\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

*INI section not found*
*INI section not found*
*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\plusaqar.scr
*Registry value not found*

Policies Shell key:

HKCU\..\Policies: *Registry key not found*
HKLM\..\Policies: *Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

BabeIE - (no file) - {00000000-0000-0000-0000-000000000000}
NAV Helper - C:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[OPUCatalog Class]
InProcServer32 = C:\WINDOWS\System32\opuc.dll
CODEBASE = http://office.microsoft.com/productupdates/content/opuc.cab

[Microsoft Office Template Downloader]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\msotd.dll
CODEBASE = http://office.microsoft.com/dutch/TemplateGallery/msotd.cab

[{9656B666-992F-4D74-8588-8CA69E97D90C}]
CODEBASE = http://www.commonname.com/en/oneclick/uninstbb.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37583.4455208333

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\SWFLASH.OCx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[StarInstall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\STARIN~1.OCX
CODEBASE = http://www.service-url.de/install/StarInstall.ocx

[MSN Chat Control 4.5]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MSNChat45.ocx
CODEBASE = http://fdl.msn.com/public/chat/msnchat45.cab

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan51.ocx
CODEBASE = http://www.housecall.nl/housecall/xscan4.cab

--------------------------------------------------
End of report, 8.436 bytes
Report generated in 0,280 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

 

[saldos]

rama,

Open even trojanshield-klik op "options" en vink daarna aan: "view trojan attemps log" en klik op "file" en dan "save trojan attemps log as.." en post dat even hier op het forum.

 

[Kesum]

Subseven is een soort trojan als dit op je computer staat kan iemand van buitenaf op jou computer komen als jij online bent en allerlei grappen met je uithalen. dit verschilt van het omkeren van iemands scherm of de startknopweghalen. tot je complete HD formateren.

wordt veelal gebruikt door mensen die eigenlijk geen verstand hebben van hacken maar m.b.v dit programma mensen kunnen irriteren.

 

[rama]

Saldos ik kom er zo niet uit,wat je opgeef kan ik niet vinden.Het staat wel in de help van trojanshield maar meer ook niet

 

[rama]

Saldos toch gevonden [TrojanShield Console Connection Attempt Log]

Date: 12-1-2003
Time: 18:55:24


[11:30:41 - 20-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 80.56.237.242
Remote Port : 2455

[11:31:25 - 20-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 80.56.237.242
Remote Port : 3233

[11:31:40 - 20-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 80.56.237.242
Remote Port : 3234

[17:37:58 - 24-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 213.122.156.203
Remote Port : 4018

[17:38:19 - 24-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 213.122.156.203
Remote Port : 4052

[17:45:13 - 24-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 80.132.174.245
Remote Port : 4618

[19:29:19 - 29-11-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 4946

[12:39:53 - 4-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.239.218
Remote Port : 1298

[12:49:25 - 4-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 4044

[15:19:45 - 6-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.239.218
Remote Port : 4588

[14:21:07 - 8-12-2002]
Trojan Name : Netbus
Local Address : 192.168.1.11
Local Port : 12345
Remote Address : 172.177.250.120
Remote Port : 3351

[14:27:01 - 8-12-2002]
Trojan Name : Netbus
Local Address : 192.168.1.11
Local Port : 12345
Remote Address : 172.177.250.120
Remote Port : 4090

[14:33:50 - 9-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 213.51.140.43
Remote Port : 4166

[16:47:54 - 9-12-2002]
Trojan Name : Subseven
Local Address : 192.168.1.11
Local Port : 1243
Remote Address : 62.163.204.7
Remote Port : 4627

[17:52:45 - 9-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 200.68.59.16
Remote Port : 63431

[23:07:10 - 15-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 213.93.206.253
Remote Port : 3436

[19:17:21 - 17-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 217.129.121.183
Remote Port : 4136

[13:44:56 - 23-12-2002]
Trojan Name : Subseven
Local Address : 192.168.1.11
Local Port : 1243
Remote Address : 206.204.10.201
Remote Port : 1106

[16:08:21 - 27-12-2002]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.239.218
Remote Port : 3901

[18:58:37 - 3-1-2003]
Trojan Name : Subseven
Local Address : 192.168.1.11
Local Port : 1243
Remote Address : 62.163.248.165
Remote Port : 3989

[16:15:44 - 5-1-2003]
Trojan Name : Subseven
Local Address : 192.168.1.11
Local Port : 1243
Remote Address : 213.93.137.205
Remote Port : 3719

[15:33:51 - 6-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 217.165.46.45
Remote Port : 1893

[20:18:47 - 6-1-2003]
Trojan Name : Subseven
Local Address : 192.168.1.11
Local Port : 1243
Remote Address : 207.33.111.35
Remote Port : 52620

[20:19:02 - 6-1-2003]
Trojan Name : Netbus
Local Address : 192.168.1.11
Local Port : 12345
Remote Address : 207.33.111.35
Remote Port : 60810

[20:19:13 - 6-1-2003]
Trojan Name : BO 2k (2)
Local Address : 192.168.1.11
Local Port : 54321
Remote Address : 207.33.111.35
Remote Port : 61503

[20:21:13 - 6-1-2003]
Trojan Name : Netbus
Local Address : 192.168.1.11
Local Port : 12345
Remote Address : 207.33.111.35
Remote Port : 33231

[11:31:36 - 9-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 217.217.17.88
Remote Port : 1595

[14:50:40 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 145.53.88.226
Remote Port : 3042

[16:18:29 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 80.97.159.33
Remote Port : 1874

[17:32:48 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 3584

[17:38:41 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 3589

[17:45:37 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.16.157
Remote Port : 4231

[18:08:09 - 11-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 3738

[15:43:23 - 12-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.83.55
Remote Port : 2498

[15:47:25 - 12-1-2003]
Trojan Name : Subseven 2x
Local Address : 192.168.1.11
Local Port : 27374
Remote Address : 62.163.232.179
Remote Port : 3710
gevonden trojans

 

[Auk]

Geplaatst door rama
StartupList report, 12-1-2003, 17:03:51

Rama,

Geen trojans op je systeem, zo te zien.
Maar misschien wel interessant om te weten, hoewel het helemaal niets met de meldingen van je Trojanshield te maken heeft, is dat je zo te zien wel de CommonName parasiet hebt:

Browser Helper Objects:
BabeIE - (no file) - {00000000-0000-0000-0000-000000000000}

Meer informatie vindt je hier :
http://doxdesk.com/parasite/CommonName.html

Verwijderen (als je dat wilt) moet lukken met Spybot Search and Destroy; Downloaden en updaten via :
http://security.kolla.de

Auk

 

[Kleinkramer]

Kennelijk is de dll zelf al verwijderd (no file), dus hij is vermoedelijk al eerder onschadelijk gemaakt, maar even SpyBot er overheen kan zeker geen kwaad.

 

[Auk]

Re: Re: subseven

Geplaatst door Auk
misschien wel interessant om te weten, hoewel het helemaal niets met de meldingen van je Trojanshield te maken heeft, is dat je zo te zien wel de CommonName parasiet hebt:

Correctie :
Laat maar. Ik zie dat deze BHO al verwijderd is.


Auk

 

[Kleinkramer]

Oops; ook nog een CN ActiveX object:

[{9656B666-992F-4D74-8588-8CA69E97D90C}]
CODEBASE = http://www.commonname.com/en/oneclick/uninstbb.cab


Moet ook weg. Lukt het niet met SpyBot, dan maar handmatig, of met Hijack This.

 

[saldos]

rama,
Je hebt in iedere geval geen subseven op je pc.
Je hebt wel wat spyware. Dat kun je met spybots verwijderen. Download wel alle updates van spybots nadat je het programma hebt geinstalleerd.

Om je probleem op te lossen kun je het beste dit doen:
Ga naar start-uitvoeren-msconfig-ok-opstarten

En vink uit "trojan shield" "trojan shield console" en "trojan shield protector" toepassen-ok en restart de pc.

En installeer een firewall bijvoorbeeld van Norton of Zonealarm.

Dan ben je van je probleem af.

 

[rama]

Saldos ik heb gedaan wat je melde,ik heb Norton Personal FireWall geinstalleerd en spybot.Een vraagje nog waarom moet ik trojanshield.console,projector uitvinken Gr. Rama

 

[saldos]

Geplaatst door rama
Saldos ik heb gedaan wat je melde,ik heb Norton Personal FireWall geinstalleerd en spybot.Een vraagje nog waarom moet ik trojanshield.console,projector uitvinken Gr. Rama

Omdat je anders die subseven meldingen weer gaat krijgen. Daarnaast vertraagd het je pc aleen maar om al die dingen met windows op te laten starten.
Je hebt nu in iedere geval een echte firewall (NPF) die je poorten beschermd.
Wat ik wel zou doen is trojanshield gebruiken om soms je pc mee te scannen als een "extra" bescherming en als 2e opinie naast je Norton system works.

 

[rama]

Allemaal bedankt voor de goede uitleg. Ik heb weer een hoop geleerd. Gr. Rama

 

[saldos]

graag gedaan rama

 

[hansih]

Ik heb de zelfde melding in mijn firewall, ik denk dat het afkomstig van kazaa, want vanaf het moment dat ik kazaa heb geactiveerd krijg ik de melding van mijn firewall, ik denk dan ook niet dat je je hier zorgen over hoeft te maken.