[virus?] MSREXE.EXE

[Boogie]

De online virusscanner van Norton geeft aan dat het bestand c:\windows\msrexe.exe het virus SubSeven Server 2.1 bevat.
Wat is dit voor iets? Kan ik dit bestand nu zo verwijderen,is dat een belangrijk bestand of dat bestand het virus?
Oja, ik beschik tijdelijk niet over een vaste virusscanner

Subseven is een programma dat gemaakt is om te verbinden emt een trojan,
jij hebt een sub7 trojan

[Dr HenDre]

Citaat:

A hundred times I warned my sons to not open any exe extension send through internet connection.
No problem we don't do it.
So one of my sons was online in a chat program downloading an execute file from a friend. When the exe was activated, nothing happened. After a while the printer was printing some text, funny stuff, CD-rom was opened and closed.
I know directly that a server patch was installed. Immediately a disconnection from the internet and searching for something.
File MSREXE.EXE was found in Windows\System.
File was moved to an other directory.
In WIN.INI a run=MSREXE.EXE was created.

Looking on the internet for information I found it was a SubSeven Backdoor tool, a trojan.

SubSeven can do everything that NetBus can do. This includes things such as

File controls
Erase harddrives and other disks
Execute programs
Upload / Download
Copy, Delete, Move, Rename
Monitoring
Can see your screen as you see it
Log any/all keypresses (even hidden passwords)
Move mouse
Open/close/move windows
Network control
Can close connections
Can see all open connections to and from your computer
Can 'bounce' or relay from their system to yours, so wherever they connect it seems as if You are doing it. This is how they prevent getting caught breaking into other computer systems and get You in trouble!


Name : Backdoor-G, Backdoor-G2.svr.21
Alias: Sub7, Subseven, Backdoor-G2, Backdoor-G2.gen, Backdoor-G2.svr.20, Subseven v2.0 , v2.1, v2.1 Gold
Variants: Backdoor-G, Backdoor-G.svr

It is a Windows 9x internet Backdoor trojan.
By default the trojan use TCP port 27374 but is configurable by the program. (Using a firewall you'll be surprised how many scans you have daily on that port. On port 27374, 28431, 47624, )
When running it gives unlimited access to the system ( your computer) to anyone running the appropriate client software. You are the server at that moment.
The trojan installs 3 files, in Windows and Windows\System.
The main exe is installed in the Windows folder
(NoName.exe, the filename can be changed by the Trojan's configuration program).
It is used to load the main trojan server.
This is found in the run line of WIN.INI Run= MSREXE.EXE
In HKEY_CLASSES_ROOT a key .dl was created.

Removal

On the Windows taskbar, click Start and then Run.
Type regedit (for W9x) or regedt32 (for Windows NT), enter
Modify the following Registry value, key:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
HKEY_CLASSES_ROOT\exefile\shell\open\command\
In this key it should contain only this value "%1" %* and nothing else.
Change "mueexe.exe "%1" %*" to ""%1" %*"
Don't forget the space between " and %. ("%1"spacebar%*)
HKEY_CLASSES_ROOT\.dl
Delete this key ( directory), .dl is running like a .exe, is a created key (dir) by the trojan.
Delete Windows\System\MSREXE.exe file.
Edit WIN.INI and remove the run=line reference to the trojan (run=MSREXE.exe), mostly used by backdoors.

Optional check ?:

1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic es HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Delete any keys that runs the main trojan
2. Edit SYSTEM.INI and remove the shell=line reference to the trojan. It should only contain the Explorer.exe file.
3.Check the C:\WINDOWS\START_MENU\PROGRAMS\STARTUP folder.
Server patch is installed here, delete it. Program was uploaded true FTP and tries to install itself the next time your start the computer.

4. Restart your computer.

Finished.

Depending the variant of the Backdoor-G, files could be created like:
NODLL.exe (main Trojan), RUN.exe, WINDOWS.exe, WINDOW.exe, SERVER.exe, KERNEL16.dl (.dl and not .dll),
WATCHING.dll or LMDRK_33.dll (in Windows\System),
MUEEXE.exe (mueexe.exe causes the operation system to run the load program every time an exe file is started),
Backdoor-G.dll (server program to monitor internet connections client),
BackDoor-G.cli and BackDoor-G.cfg (filenames can be changed)

[Boogie]

Hmz, in het register vind ik niks van terug van msrexe.exe, dus ik heb alleen het bestand verwijderd uit de windows-map.

[Dr HenDre]

Citaat:

Boogie schreef:
Hmz, in het register vind ik niks van terug van msrexe.exe, dus ik heb alleen het bestand verwijderd uit de windows-map.

zoek ook naar *.dl niet *.dll en verwijder dat ook en kijk ook in win.ini daar zet sub7 ook iets in

Citaat:

Boogie schreef:
Hmz, in het register vind ik niks van terug van msrexe.exe, dus ik heb alleen het bestand verwijderd uit de windows-map.

zonder de executable is het volgens mij vrij onschadelijk

[Dr HenDre]

Citaat:

perseus schreef:
zonder de executable is het volgens mij vrij onschadelijk

klopt maar misshien dat je dan bij het opstarten foutmeldingen krijgt dat ie bestanden niet kan vinden

Citaat:

Dr HenDre schreef:
klopt maar misshien dat je dan bij het opstarten foutmeldingen krijgt dat ie bestanden niet kan vinden

idd, maar je hebt iig geen trojan meer

[Boogie]

Citaat:

Dr HenDre schreef:
klopt maar misshien dat je dan bij het opstarten foutmeldingen krijgt dat ie bestanden niet kan vinden

Ik heb geen foutmeldingen bij het opstarten. Betekent dat dat het programma niet is geïnstalleerd?