Troj/Sober-Q

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Windows NT/2000/XP/2003 Unter Windows NT/2000/XP/2003 müssen Sie außerdem die folgenden Registrierungseinträge bearbeiten. Die Entfernung dieser Einträge ist unter Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Entfernen Sie alle Verweise auf die von Ihnen gelöschte Datei. Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag: HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\ Entfernen Sie alle Verweise auf die von Ihnen gelöschte Datei Schließen Sie den Registrierungseditor.

Troj/Sober-Q ist ein Massmailing-Spammer-Trojaner für die Windows-Plattform. Einige der Spam-Mails, die von dem Trojaner versendet werden, haben folgende Betreffzeilen: '4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass'
'Auf Streife durch den Berliner Wedding'
'Auslaender bevorzugt'
'Deutsche Buerger trauen sich nicht ...'
'Auslaenderpolitik'
'Blutige Selbstjustiz'
'Dresden 1945'
'Gegen das Vergessen'
'Deutsche werden kuenftig beim Arzt abgezockt'
'Tuerkei in die EU'
'Vorbildliche Aktion'
'60 Jahre Befreiung: Wer feiert mit?'
'Multi-Kulturell = Multi-Kriminell'
'Turkish Tabloid Enrages Germany with Nazi Comparisons'
'The Whore Lived Like a German'
'Armenian Genocide Plagues Ankara 90 Years On'
'Schily ueber Deutschland' Die Antiviren-Produkte von Sophos enthalten die Genotype ™-Erkennungstechnologie, die proaktiv vor neuen Viren schützt, ohne dass ein Update erforderlich ist. Sophos-Kunden sind seit Version 3.91 vor Troj/Sober-Q (erkannt als W32/Sober-Gen) geschützt.Troj/Sober-Q ist ein Massmailing-Spammer-Trojaner für die Windows-Plattform. Wenn er gestartet ist, erstellt der Trojaner den Ordner %WINDOWS%\HELP\HELP. Troj/Sober-Q versucht daraufhin, sich mit folgenden Dateinamen in diesen Ordner zu kopieren: csrss.ex
services.ex
smss.ex Troj/Sober-Q erstellt dann die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_SystemBoot
%WINDOWS%\Help\Help\services.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemBoot
%WINDOWS%\Help\Help\services.exe Der Trojaner erstellt die Datei Spammer.ReadMe.txt. Spammer.ReadMe.txt hat folgenden Inhalt: "http://i-newswire.com/pr19707.html
http://www.ebcvg.com/press.php?id=965 Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :) In diesem Sinne" Spammer.ReadMe.txt is non-malicious and can be safely deleted. Troj/Sober-Q spürt E-Mail-Adressen in Dateien mit folgenden Erweiterungen auf: PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VCF CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX Die von Troj/Sober-Q aufgespürten E-Mail-Adressen werden in den Dateien SacriX.ggg und VonerX.von gespeichert, wobei X eine Ziffer ist. Die Datei fastso.ber kann ebenfalls erstellt werden. Troj/Sober-Q versendet keine E-Mails an Adressen, die folgende Zeichenfolgen enthalten: ntp- ntp@ ntp. test@ @www @from. smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla iana@ iana- @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock Die von Troj/Sober-Q gesendeten E-Mails sind abhängig von der Empfängeradresse. Der Wurm sendet Spam-Mails an Empfänger, deren E-Mail-Adressen sich in der .de, .ch, .at oder .li Domäne befinden oder folgende Zeichenfolgen enthalten: yahoo.com
yahoo.de
hotmail.com
hotmail.de
gmx.de
gmx.at
gmx.net
gmx.ch Einige der von dem Trojaner versendeten Spam-Mails können folgende Betreffzeilen haben: '4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass'
'Auf Streife durch den Berliner Wedding'
'Auslaender bevorzugt'
'Deutsche Buerger trauen sich nicht ...'
'Auslaenderpolitik'
'Blutige Selbstjustiz'
'Dresden 1945'
'Gegen das Vergessen'
'Deutsche werden kuenftig beim Arzt abgezockt'
'Tuerkei in die EU'
'Vorbildliche Aktion'
'60 Jahre Befreiung: Wer feiert mit?'
'Multi-Kulturell = Multi-Kriminell'
'Turkish Tabloid Enrages Germany with Nazi Comparisons'
'The Whore Lived Like a German'
'Armenian Genocide Plagues Ankara 90 Years On'
'Schily ueber Deutschland' Die Antiviren-Produkte von Sophos enthalten die Genotype ™-Erkennungstechnologie, die proaktiv vor neuen Viren schützt, ohne dass ein Update erforderlich ist. Sophos-Kunden sind seit Version 3.91 vor Troj/Sober-Q (erkannt als W32/Sober-Gen) geschützt.