W32/Sober-G

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Sie müssen außerdem folgenden Registrierungseintrag bearbeiten, sofern er vorhanden ist. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = <Pfad_zur_exe>\<exename>.exe %1 Löschen Sie den Eintrag, sofern er existiert. Schließen Sie den Registrierungseditor.

W32/Sober-G ist ein Massmailing-Wurm, der sich an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. Wenn er gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Benutzeranmeldung automatisch gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = <Pfad_zur_exe>\<exename>.exe %1 Wenn er erstmals ausgeführt wird, erstellt der Wurm eine TXT-Datei im Temp-Ordner und zeigt den Inhalt dieser Datei mit Hilfe von NOTEPAD.EXE an. Die Textdatei beginnt mit dem Text: File not found
Special -UnZip Data- Module is missing
Open with Notepad?
Converted_
notepad Der Wurm kopiert sich als EXE-Datei in den Windows-Systemordner mit einem Namen, der aus Folgenden zusammengesetzt ist: sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32 W32/Sober-G erstellt außerdem die folgenden Dateien, um die aufgespürten Daten im Windows-Systemordner zu speichern: bcegfds.lll
cvqaikxt.apk
datsobex.wwr
wincheck32.dats
winexpoder.dats
winzweier.dats
xdatxzap.zxp
zhcarxxi.vvx W32/Sober-G spürt E-Mail-Adressen in Dateien auf, die folgende Erweiterungen haben: PMR, STM, SLK, INBOX, IMB, CSV, BAK, IMH, XHTML, IMM, IMH, CMS, NWS, VCF, CTL, DHTM, CGI, PP, PPT, MSG, JSP, OFT, VBS, UIN, LDB, ABC, PST, CFG, MDW, MBX, MDX, MDA, ADP, NAB, FDB, VAP, DSP, ADE, SLN, DSW, MDE, FRM, BAS, ADR, CLS, INI, LDIF, LOG, MDB, XML, WSH, TBB, ABX, ABD, ADB, PL, RTF, MMF, DOC, ODS, NCH, XLS, NSF, TXT, WAB, EML, HLP, MHT, NFO, PHP, ASP, SHTML, DBX Die von dem Wurm versendeten E-Mails haben folgende Merkmale: Betreffzeilen: hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God i'ts
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that? Texte: I was surprised, too! :-( Who could suspect something like that? All OK :) see, what i've found! hi its me i've found a shity virus on my pc. check your pc, too! follow the
steps in this article. bye I 've told you!:-) sometime I grab your passwords! I hope you accept the result! Follow the instructions to read the message.
Please read the document Registration confirmation
Confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.
++++ Mail To: User-info *** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said
:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered.
_This_account_has_been_disabled_ or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission The original message is a separate attachment.
--- Web: http://www.
--- Mail To: UserHelp Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of +++ http://www. Mail Die angehängte Datei hat einen zufällig erzeugten Namen und eine ZIP-Erweiterung.