![[Main topics]](../z_designs/navbar-3.gif){kind=small}
![[Navigation]](../z_designs/navbar-x.gif){kind=small}
Sober-H
Siehe auch Windows à jour halten !
Siehe auch Desinfektion nach virenbefall
für hartnäckige fälle.
Sober-H
missbraucht den infizierten rechner, um spam zu versenden
Keine spezifische medizin vorhanden - handarbeit nötig
Sober-H missbraucht den infizierten rechner, um spam zu versenden
Sober.H wird über seinen vorgänger Sober.G aktiviert. Sober.G kann eine datei aus dem Internet nachladen. Mit dieser datei wird Sober.H und die bei der verbreitung verwendeten texte geliefert. Die geladene datei wird gestartet und damit das system infiziert.
Sober.H versendet erzeugte e-mails mit einer eigenen SMTP-maschine. Diese e-mails zeigen im allgemeinen fremdenfeindlichen inhalt. Sie sind in jedem fall spam (unerwünschte mail). Diese e-mails enthalten keinen infizierten anhang.
| Syptome | Sober.H kann nur schwer entdeckt werden, da er weder meldungen noch warnungen ausstösst, dass er aktiv ist. Nicht selbst ausgelöste netz-aktivität (zb durch aktiven e-mail vesand, surfen, automatischer Windows-update) ist verdächtig. |
| Absender | Gefälschte Adresse, kann 'bekannte' person sein |
| Betreff (beispiel) | Polizei traute sich nicht, kriminellen Ausländer festzunehmen |
Meldungstext (beispiel) |
08.09.2003 Hamburg-Lurup: Erguen Y. ist als Gewalttaeter und Halter eines Kampfhundes bereits seit laengerem polizeilich bekannt. Jetzt fuehrte seine gewaltbereite Mentalitaet zu neuen Opfern. In einer Disco kommt es zwischen dem Tuerken und zwei juengeren Discobesuchern zum Streit. Dort blieb es noch bei einer verbalen Auseinandersetzung. Spaeter auf der Strasse jedoch trafen die Deutschen wieder auf den Suedlaender. Dieser stach mit einem Faustmesser um sich, verletzte die jungen Maenner mehrfach und fluechtete schliesslich. Offensichtlich war Erguen Y. schon so auffaellig geworden, dass die Polizei nach der Beschreibung sofort wusste, wer er war und zu seiner Wohnung fuhr. Es war auch bekannt, dass der Auslaender - obwohl als gewalttaetig bekannt - einen Kampfhund besass. Aus diesem Grund zoegerte die Polizei, die Wohnung zu stuermen und konnten Erguen Y. schliesslich nur noch von Weitem bei fluechten sehen. |
| Angehängte datei | - |
Keine spezifische medizin vorhanden - handarbeit nötig
Alle instruktionen zum entfernen von Sober.H alias Trojan.Ascetic.A sind auf englisch (zb unter www.norton.com) und lauten etwa so:
- Auf XP muss system-wiederherstung ausgeschaltet werden: siehe hier
- Virensoftware aktualisieren (Internet zugriff), ist aber vermutlich bei euch automatisiert, sonst hätte das holzpferd gar nicht gefunden werden können.
- Windows im abgesichterten modus starten: siehe hier
- Virensoftware auf alle drives durchsuchen lassen und beim anzeigen infizierter dateien diese löschen (entsprechenden button klicken)
- Anschliessend in der Registry den automatischen start des virus verhindern (eintragung entfernen):
- Start > Ausführen, darin
regediteintragen und auf Start klicken - Im Registrierungs-editor im linken teil den Pfad suchen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- Auf der rechten seite stehen programme, die automatisch beim hochfahren
gestartet werden ("inits"). Diese liste kann aber auch bis auf
das suspekte programm leer sein. Darin muss ein suspektes programm gelöscht
werden. Der name ist nicht a priori bekannt, denn er wird aus stücken
zusammengesetzt (zb aus
sys host dir win runetc). Er könnte aber zbspooldiag.exeheissen. Die zu löschende zeile lautet dann:
"spooldiag.exe" = "%System%\spooldiag.exe %1"
oder auch
spooldiag.exe REG_SZ %System%\spooldiag.exe %1 - Zum löschen der zeile den teil unter Name anklicken und dann DEL. Die bestätigung natürlich mit OK...
- Registrier-editor schliessen
- (bei XP) nach erfolgreicher aktion die system-wiederherstung wieder aktivieren
- Windows schliessen und rechner wieder normal starten.