|
moin moin, Athlon 1000,win xp prof. Kaspersky antivirus 4.5.0.48 hat bei einer Routine-Überprüfung "sorber f" als gefunden gemeldet. Löschen bzw. Desinfektion ist laut Report-Eintrag fehlgeschlagen bzw. nicht möglich gewesen. Habe dann sorber fixtool von Symantec runtergeladen, im abgesicherten Modus durchlaufen lassen , jedoch mit dem Ergebnis, dass kein Sorber auf meinem System gefunden wurde. Weiterhin adaware 6, spyboot-s&d 1.2 und a2 durchlaufen lassen, wovon ausschließlich adaware einige dataminer (doubleclick etc.) gefunden hat. Nochmalige Prüfung mit Kaspersky brachte ebenfalls keinen Virenfund mehr. Wat nu? System sicherheitshalber neu aufsetzten? Liegt mir am nächsten, bedeutet aber viel Zeit und Mühe. Oder kann das so in Ordnung sein? Gruss, Jochen |
Hallo Jochen und willkommen im Board, </font><blockquote>Zitat:</font><hr />... Kaspersky antivirus 4.5.0.48 hat bei einer Routine-Überprüfung "sorber f" als gefunden gemeldet. </font>[/QUOTE]Sorber oder vielleicht nur Sober F?!? Sorber mit r kenne ich eigentlich nur als Schreibfehler... </font><blockquote>Zitat:</font><hr />Löschen bzw. Desinfektion ist laut Report-Eintrag fehlgeschlagen bzw. nicht möglich gewesen.</font>[/QUOTE]Wo wurde denn lt. Report der Virus/Wurm/... gefunden? Gruß, Lutz |
sorber=sober? siehe hier: http://www.vimus.de/news/index.php?mehr=30 Der befand sich in den temporary Internet files. |
Hallo, ich habe das gleiche Problem - AVK meldet mir Win32.Sober.F@mm - gut das ich den Virenwächter installiert habe [img]graemlins/huepp.gif[/img] weniger gut, dass ich jetzt diesen Wurm habe,obwohl ich die E-Mail nicht geöffnet habe [img]graemlins/kloppen.gif[/img] Bei Heise gibt es einen Tool zum Entfernen und dazu habe ich eine Frage: man soll ja im abgesicherten Modus starten - komme ich dann an den runtergeladenen Tool ran ? und wenn ja wie? - sorry für diese "Anfängerfrage", aber ich habe das noch nie gemacht. best regards Stefan |
das klappte bei mir gut. Du lädtst eine "fixsober.exe" (symantec) runter in Deinen Dowmloadordner, deaktivierst Deine Systemwiederherstellung, startest neu im abgesicherten Modus und startest dann in dem Downloadordner die "fixsober.exe" mit Doppelklick. Der sucht dann nach Sober und entfernt ihn. Ich hoffe nur, dass das ausreicht! Vielleicht kann mich ja jemand , der Ahnung davon hat, beruhigen ;) Gruss, Jochen |
Hi Jochen, das ging ja super fix - DANKE ! Ich werd es so ausprobieren und melde mich dann mit dem Ergebnis. best regards Stefan |
</font><blockquote>Zitat:</font><hr />Original erstellt von staja: sorber=sober? siehe hier: http://www.vimus.de/news/index.php?mehr=30 Der befand sich in den temporary Internet files. </font>[/QUOTE]Ja, genau die Seite meinte ich mit Schreibfehler. ;) Ist imho ne ziemlich ärgerliche Sache, wenn Seiten im Netz vor Viren warnen und dann nicht mal richtig abschreiben können... Wenn sich Sober nur in den temporären Internetdateien befindet nur da und an keiner anderen Stelle!, dann sollte es ausreichen, wenn Du diese Temp Files einmal im IE löscht. Wenn Dir KAV jetzt keine Infektion mehr anzeigt, solltest Du davon ausgehen können, dass Du Sober_F erfolgreich entfernt hast. Gruß, Lutz |
</font><blockquote>Zitat:</font><hr />Original erstellt von cabby: ...AVK meldet mir Win32.Sober.F@mm - gut das ich den Virenwächter installiert habe [img]graemlins/huepp.gif[/img] weniger gut, dass ich jetzt diesen Wurm habe,obwohl ich die E-Mail nicht geöffnet habe</font>[/QUOTE]Hallo Stefan, wann genau, hat AVK Dir den Wurm gemeldet? Beim abholen der Mail, oder bei einem 'Routine-Scan'? Wenn Du die Mail nicht geöffnet hast und somit den Dateianhang nicht gestartet hast, ist der Wurm zwar bei Dir angekommen, aber er konnte sich nicht 'entfalten'... Mail löschen sollte reichen. Allerdings am besten gleich auch den Papierkorb des Mailprogramms löschen! BTW: Welches Mailprogramm verwendest Du? Gruß, Lutz |
Hallo Lutz, ich habe Mozilla Thunderbird und ich habe die Virenmeldung wie folgt bekommen: - meine Postfächer gescant - auf das Postfach gelinkt, wo ich einen Posteingang hatte ....und dann kam die Meldung. Laut AVK wurde die Datei geöffnet und hat sich unter Anwendungen/Thunderbird eingenistet.TIF habe ich gelöscht. Habe aber immeroch die Mail in meinem Postfach und sie lässt sich nicht löschen. [img]graemlins/headbang.gif[/img] Wollte mir jetzt eigentlich das Tool runterladen?! best regards Stefan |
Ich nochmal, habe gerade nochmals versucht die Mail zu löschen: die Mail "blau unterlegt" und als ich dann auf das rote X gegangen bin, kam wieder die Virenmeldung??? Stefan |
Hallo Stefan, also das Tool schadet auf keinen Fall! Im ungünstigsten Fall entfernt es 'nur' den Wurm nicht. Ich habe selbst auch Thunderbird (Vers. 0.5). Das Problem eine Mail nicht löschen zu können, kann ich hier im Moment nicht nachvollziehen. Das soll aber nicht heißen, dass ich Dir nicht glaube! Bekommst Du eine 'Fehlermeldung' bei dem Versuch, die Mail zu löschen? Lutz |
Hallo Lutz, nein, keine Fehlermeldung. Ich erhalte dann von AVK eine erneute Virenmeldung ! Stefan |
</font><blockquote>Zitat:</font><hr />Original erstellt von cabby: ...die Mail "blau unterlegt" und als ich dann auf das rote X gegangen bin, kam wieder die Virenmeldung???</font>[/QUOTE]Dann spuckt hier offensichtlich der Echzeitschutz von AVK in die Suppe. AVK habe ich nicht hier und kann das insofern nicht nachvollziehen. Ich weiß leider auch nicht genau, wie AVK aufgebaut ist. Gibt es daraus keine Möglichkeit die Mail zu löschen oder zumindest in Quarantäne zu verschieben? Ansonsten würde ich den Echtzeitschutz kurzfristig deaktivieren und die Mail dann löschen. Anschließend auch aus dem Unterordner Papierkorb. Zusätzlich solltest Du die Ordner Posteingang und Papierkorb anschließend nacheinander komprimieren. Das geht mit einem Rechtsklick auf den jeweiligen Ordner. Lutz |
Hallo Lutz, erstmal vielen Dank für Deine Hilfe [img]graemlins/bussi.gif[/img] Da ich jetzt doch schon für eine konzentrierte Aktion zu müde bin, gehe ich jetzt ins Bett und werde mich dann morgen wieder melden. Thx Stefan |
moin moin, ich bin es noch einmal. Also, nach fixsober.exe-Durchlauf findet Kaspersky sober nun nicht mehr. Auf der Heise-Seite http://www.heise.de/security/artikel/46283 wird angegeben, dass der Wurm sich u.a. unter dem Namen smss.exe ins Systemverzeichnis von Windows XP kopiert. Nun, diese smss.exe existiert bei mir in der Tat noch im windows/system32-Ordner und lässt sich auch nicht löschen. Nach Neustart ist sie immer wieder da. In den Eigenschaften dieser Datei ein Erstelldatum vom 29.Aug.2002 und microsoft corporation angegeben, scheinbar also eine Systemdatei von Windows XP, oder? Oder aber gut getarnt als solche? Weiterhin sind bei Heise Registrierungsschlüssel genannt, mit denen Sober aktiviert wird. Alle diese Schlüssel existieren bei mir aber definitiv nicht (mehr). Darf das bei mir Entwarnung heissen? Gruss, Jochen. |
Hallo Jochen, </font><blockquote>Zitat:</font><hr />Auf der Heise-Seite http://www.heise.de/security/artikel/46283 wird angegeben, dass der Wurm sich u.a. unter dem Namen smss.exe ins Systemverzeichnis von Windows XP kopiert.</font>[/QUOTE]Nicht ganz! Auf der verlinkten Seite von Heise ist von einer smss32.exe die Rede. Ein feiner, aber wichtiger Unterschied! smss.exe ist (im Originalzusatnd und der sollte bei Dir allem Anschein nach gegeben sein) in der Tat eine Datei des Betriebssystem. </font><blockquote>Zitat:</font><hr />Darf das bei mir Entwarnung heissen?</font>[/QUOTE]Nach allem menschlichen Ermessen aus der Ferne darf es das... Gruß, Lutz |
herrje, wie konnte mir so ein Lapsus passieren? smss32.exe gibt´s bei mir allerdings nicht. Gut. Danke Euch allen für die schnelle Hilfe [img]graemlins/daumenhoch.gif[/img] J [img]smile.gif[/img] chen |
Hallo zusammen, ich ärgere mich immer noch mit dem I-Worm.Sober rum. Zunächst konnte ich nicht im abgesicherten Modus starten, da bei meiner blöden Logitech Tastatur die F8 Taste nicht umzuprogrammieren ist:kloppen: Ich habe die Systemwiederherstellung deaktiviert, XP im abgesicherten Modus laufen lassen und Sober.exe gestartet - das Tool findet den Wurm aber nicht Erhalte folgende Meldung: The folder "C:\System Volume Information" was not scanned. The folder "D:\System Volume Information" was not scanned. W32.Sober has not been found on your computer. AKV meldet aber nach wie vor unter Anwendungsdaten die Datei Inbox bei Thunderbird. ( In Quarantäne nehmen ist möglich-ich will aber gerne löschen-dann bin ich aber all meine Mails-und Einstellungen los). Was kann ich denn jetzt noch machen ?? Könnt ihr mir helfen ?? best regards Stefan |
Hallo Stefan, </font><blockquote>Zitat:</font><hr />AKV meldet aber nach wie vor unter Anwendungsdaten die Datei Inbox bei Thunderbird. </font>[/QUOTE]Ich nehme an, eine in Frage kommende Mail findest Du in der Inbox nicht mehr? Dann mach mal folgendes: Mach einen Rechtsklick auf die Inbox. Dann erscheint ein Kontext-Menü. Dort wählst Du 'Diesen Ordner komprimieren' bzw. in einer englischen Version von Thunderbird wird der Eintrag wohl entsprechend auf englisch dort stehen... Bei einem anschließenden Scan sollte der Wurm endgültig weg sein. Gruß, Lutz |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board