Sober-Wurm verbreitet sich stärker als erwartet

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von vlaan, 30. Oktober 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. edelbrock

    edelbrock Kbyte

    Registriert seit:
    27. Oktober 2003
    Beiträge:
    143
    Hallo

    Ich habe die Tips zur Beseitigung des Wurms von A-Z durchgezogen,mit dem Ergebnis,das die Media.dll Datei immer noch in dem Verzeichniss: C:\windows\system32\macromedia\help\vorhanden ist.
    Es muß eine noch andere Datei vorhanden sein,die diese Datei in das Verzeichnis kopiert.
    In der Systemregestrierung habe ich alle Eintragungen gelöscht.Auf meinem Rechner befand sich nur die Similare.exe Datei,die ich natürlich gelöscht habe.
    Dateien im Macromedia Verzeichniss habe ich gelöscht,ausser natürlich die media.dll Datei.Dieses wurde mir verweigert.
    Ich habe das Betriebsystem Windows Server2003 Enterprise Edition.Auf meinem Windows XP Pr Rechner hatte ich Glück,dort ist der Wurm nicht vorhanden.
    Was zum Geier soll ich jetzt noch machen,damit diese Besch... Datei verschwindet?Ich habe keine Lust das Betriebssystem neu zu installieren.
    Ist sehr Zeitaufwendig,wegen Office 2003,-Sicherheits-software und Netzwerk-Installation.
     
  2. vlaan

    vlaan Megabyte

    Registriert seit:
    17. April 2002
    Beiträge:
    1.158
    :aua: :aua: :aua:

    Wieso sind die Leute immer noch so blöd?

    :aua: :aua: :aua:
     
  3. Latour

    Latour ROM

    Registriert seit:
    31. Oktober 2003
    Beiträge:
    1
    Lieber sirko1974,
    hier eine Antwort auf Deine Anfrage. Dem Betreff zufolge steckt wohl Sober hinter Deinem Salat (auch wenn eher ein "Sie haben mir einen Wurm geschickt" zu erwarten gewesen wäre). Ein kleines Programm zum Entfernen des Virus und weiterer Einträge, die auf Deinem Rechner sind, gibt es unter
    http://www.symantec.com/avcenter/venc/data/w32.sober@mm.removal.tool.html
    Hier findest Du neben einigen Informationen zum Virus den Link zum Herunterladen des Programmes. Ist die Adresse:
    http://securityresponse.symantec.com/avcenter/FixSober.exe
    Nun einfach das Programm laden, und per Doppelklick ausführen. Achtung: je nach Betriebssystem die Beschreibungen auf der erstgenannten Symantec-Seite beachten! (Also z.B. wenn Dein Betriebssystem Windows XP oder Me ist, die Systemwiederherstellung Deaktivieren. Das geht in XP - ich hoffe auch in Me - so: öffne das Menue Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung. Im nun offenen Fenster auf "Systemwiederherstellungseinstellungen klicken und im neuen Fenster die Option Systemwiederherstellung auf allen Laufwerken deaktivieren bestätigen. Dies ggf. nach einem Neustart wieder rückgängig machen, wenn der Virus entfernt wurde). Unter Umständen musst Du den Rechner im Abgesicherten Modus starten, falls das Programm Teile des Virus nicht entfernen kann (dann kommt eine entsprechende Meldung). Wie das geht siehe Hinweise ebenfalls auf der erstgenannten Symantec-Seite.

    Viel Erfolg und Grüße

    Latour

     
  4. sirko1974

    sirko1974 ROM

    Registriert seit:
    31. Oktober 2003
    Beiträge:
    1
    Hallo ich bin ein Kraftfahrer, der am Wochenede ab und zu mal durchs Netz surft. Getsern habe ich meine Mails gelesen und bin auf eine gestossen:"Du hast mir einen Wurm geschickt!", als Adressat der gleiche Name wie der meines Bruders. Daraufhin habe ich die Mail geöffnet und hatte den Salat. Wie bekomme ich den Scheiß wieder los? Bitte keine extrem techn. Erklärungen, sondern einfach verständlich, denn ich bin nicht so PC-bewandert. Habe Windows ME, falls das wichtig sein sollte. Bitte helft mir!!!!

    Vielen Dank!
     
  5. thoms

    thoms Byte

    Registriert seit:
    7. Oktober 2003
    Beiträge:
    82
    ..besser ist das!
    eigendlich sollte jeder virenscanner der im hintergrund läuft dich davon abhalten diese datei zu öffnen.
     
  6. edelbrock

    edelbrock Kbyte

    Registriert seit:
    27. Oktober 2003
    Beiträge:
    143
    Nein habe ich nicht.
    Aber nach mehreren Stunden durchforsten der Reg-Datei habe ich die Lösung gefunden.
    Ich mußte Win 2003 im abgesichertem Modus starten,dann die Dateien DRV.EXE & DRIVERINI.EXE löschen.
    Danach noch die Media.dll löschen und der Wurm war weg.
    Im Normal laufenden Betrieb konnten die Dateien nicht gelöscht werden,selbst wenn man versucht hat sie per Taskmanager zu beenden,starteten sie wieder.
    Eins ist sicher,ich werde nie wieder eine unbekannte Mail so sorglos öffnen.:D :D :fire:
     
  7. Martygmb

    Martygmb Byte

    Registriert seit:
    31. Oktober 2003
    Beiträge:
    16
    Schon von BitDefender das Removal Tool ausprobiert ?
    http://www.bitdefender.de/bd/site/virusinfo.php?menu_id=1&v_id=160#
     
  8. edelbrock

    edelbrock Kbyte

    Registriert seit:
    27. Oktober 2003
    Beiträge:
    143
    Hi!
    Also ich bin diesen Wurm wieder los.Nach mühevollem durchforsten der Registry von Win 2003 habe ich den übeltäter kalt gemacht.
    :fire: :fire:
     
  9. ikonjae

    ikonjae Byte

    Registriert seit:
    13. Januar 2003
    Beiträge:
    113
    HAi, Forum,

    arbeit mit nem GMX-Account und Magic.Mail (freeware). War völlig von der Socke, als plötzlich mein Postfach mit 55 Mehls (wird jeden Tag abgerufen) gefüllt war. Also einfach mit MagicMail vorher auf dem POP_Server nachgucken und direkt OHNE download ins Nirwana senden.

    Aber lästig isses schon

    Gruss

    ikonjae
     
  10. flowerdirk

    flowerdirk Byte

    Registriert seit:
    23. Mai 2001
    Beiträge:
    34
    ... vielleicht weil die echten computerfreaks wie du sie nicht an ihrer unendlichen weisheit teilhaben lassen? wäre das möglich, dass die daus bei dir auf herablassung statt hilfe stoßen? nein? na, dann ist ja alles ok ...
    (sag mal ehrlich: warum hast du deinen beitrag überhaupt verfasst? um dir öffentlich selbst auf die schulter zu klopfen?)
     
  11. samot

    samot Byte

    Registriert seit:
    30. August 2000
    Beiträge:
    103
    Schneller geht das Speichern dieser Mailanhänge, wenn Du einfach auf Forward / Weiterleiten klickst. In dem sich öffnenden Fenster kann man den Anhang dann ganz normal speichern und Du kannst nicht vergessen, den Haken hinterher wieder reinzumachen.

    mfg

    Thomas
     
  12. alf4712

    alf4712 Byte

    Registriert seit:
    26. April 2003
    Beiträge:
    20
    :muhaha: habe gestern ein mail mit "sober" bekommen,hatte aber in Outlook Express unter Extras-Optionen-Sicherheit das
    "Speichern von Anlagen,die möglicherweise einen Virus enthalten könnten nicht zulassen" angekreuzt,damit haben Viren dieser Art keine Chance. Das es immer noch Leute gibt,die das nicht angekreuzt haben,verstehe ich nicht - wenn ich den Anhang doch brauchen sollte,kann ich die mail ja speichern,das Kreuz entfernen und dann den Anhang öffnen (was mir bei dem bescheuerten Text in diesem mail wohl kaum einfiele).
     
  13. vlaan

    vlaan Megabyte

    Registriert seit:
    17. April 2002
    Beiträge:
    1.158
    Warum hast du diesen Beitrag verfasst? Um dir einen Runterzuholen?

    DAUs sind in der Tat bei mir sehr gern gesehene Menschen, weil ich eine Person bin, die auf ruhige, leicht humoristische, jedoch stellenweise leicht sarkastisch angehauchte Art und Weise versucht, solchen Leuten zu helfen.

    Tu dir selbst mal was gutes und lies dir mal alle meine bisher verfassten Posts an... dann fängst du das Denken an und hörst auf, einen derart schwachsinnigen Müll rein zu posten.

    Lass mich raten: Du hattest bestimmt auch schon Sober auf deinen Rechner, oder? Wahrscheinlich auch Welchia; Swen; Bugbear; Blaster....

    Ich kann immer wieder nur meinen Standardtext schreiben:

    Installiert euch nen Virenscanner! Lasst die Finger von Anhängen in SÄMTLICHEN Emails, es sei denn, du hast persönlich drum gebeten, dir ne Datei zu schicken! Deaktiviere HTML- und AUTO-Ansicht in Email-Programmen...

    Halte dich an diese kleine Regel... und du bist genauso sicher wie ich auch! Und so lange ich lese, dass irgendein Wurm, vor dem seit Tagen gewarnt wird, wieder ne Welle auslöst, werde ich wieder Posten. Dasselbe gilt für Würmer, die sich durch offene Sicherheitslücken in Windows verbreiten, obgleich es hierfür schon seit über einen Monat einen Patch gibt. Jeder, der meint, sein System nicht regelmäßig updaten zu müssen - weil bei ihm alles so sicher ist (AV; Firewall; hinter Router [wahrscheinlich mit DMZ aktiv]; etc...) - ist S E L B S T S C H U L D!!! (ach ne, man kann ja MS wieder die Schuld in den Schuhen schieben, was liefern die auch solch ein Betriebssystem aus. Sagt doch keiner, dass du mit MS surfen sollst - wechsel zu Linux - wesentlich geringere Virenzahl - Tendenz gen Null)

    EOD
     
  14. thoms

    thoms Byte

    Registriert seit:
    7. Oktober 2003
    Beiträge:
    82
    Outlook & OE verwende ich auch, ersteres in Verbindung mit
    Exchange-Server.
    Was spricht dagegen? NAV hat bisher noch alles abgefangen
    ind HTML darstellung kann man ja abstellen.
    Was für einen Mailclient verwendest du?
     
  15. Hankofer

    Hankofer Byte

    Registriert seit:
    10. April 2003
    Beiträge:
    16
    Hab den jetzt innerhalb von 5 minuten genau 12 mal bekommen. War nur lästig das ich den norten immer wegklicken musste das er einen wurm gefunden habe.

    Wer das Zeug anschaut ist selber schuld.
     
  16. BuvHunter

    BuvHunter Byte

    Registriert seit:
    26. Oktober 2000
    Beiträge:
    43
    Hi Schnucki, was machst du so?

    ...
    Ich habe eben auch eine bekommen. Wenn ich gewusst hätte, dass ein Wurm drin is, hätt ich die Mail nicht direkt vom Mail-Account gelöscht, sondern archiviert ^_^
    Aber ich hab halt erst meine Mails abgefragt, dann den Newsletter gelesen.
    Jetzt warte ich einfach, bis mir der nächste neugierige Volltrottel unbemerkt ne Mail schickt.

    Mal ganz ehrlich: Wer findet eine Mail mit solch allgemein gehaltenem Betreff und einer Absender-Adresse, die nicht dazu passt, nicht seltsam?
    Und wer öffnet immer noch unbekannte Anhänge mit .scr, .exe oder .pif Endung?
    Und wer benutzt immer noch Outlook Express oder gar Outlook?
    (Ein Wunder, dass M$ nicht dafür bezahlt, dass man die Lückensoftware benutzt)

    Das Netz ist nunmal überflutet von DAUn.
     
  17. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    jetzt stell dich nicht so an.. so ein eher harmloses Würmlein musst du doch in den Griff bekommen. Vermutlich hast du keinen Virenscanner für die Server-Version ??. Versuch mal mit F-PROT für DOS zu scannen damit du die von dem Wurm generierte Datei raus bekommst. Der Dateiname wird von dem Wurm per Zufallsgenerator erzeugt. Dann die entsprechenden Dateien löschen und die RUN-Einträhe in der Registry entfernen...

    "<a randomly generated string>"="%System%\<the random worm file name.exe>"

    to the registry keys:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Genau kenne ich den Win200-Server nicht aber möglich dass du noch die Systemwiederherstellung deaktivieren musst.

    1. Disabling System Restore (Windows Me/XP)
    If you are running Windows Me or Windows XP, we recommend that you temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.

    Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.

    Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat.

    For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:

    Gruss
    Wolfgang
     
  18. edelbrock

    edelbrock Kbyte

    Registriert seit:
    27. Oktober 2003
    Beiträge:
    143
    Hi!
    Ich habe mir diesen besch... Wurm eingefangen.
    Nach 2 Stunden löschen verschiedener Dateien im System und in der Regedit habe ich leider immer noch die im Beitrag genannte Media.dll Datei auf meinem Rechner.
    Wer kann mir sagen,wie ich diesen Mist los werde.
    Laut Beitrag wird diese Datei von einer anderen Datei in das Verzeichniss geschrieben.Ich habe alles gelöscht was doirt beschrieben war.Trotsdem taucht diese Datei noch auf.Ich glaube,das es da noch eine andere Datei gibt,die dieses tut.
    Ich habe Win server 2003 E-Version.
    Will nicht noch mal alles neu instalieren.
    Wäre für jeden Tip dankbar.:D :D
     
  19. klippschule

    klippschule Byte

    Registriert seit:
    22. Mai 2003
    Beiträge:
    17
    :confused: :confused: :confused: :confused:

    Es mag ja an meinem Username liegen: Aber ich habe keinerlei Probleme mit Würmern!

    Meinem Hund dagegen habe ich die BITs von NAV 2004 ins Fressen geschüttet - und das arme Tier hat noch immer Würmer. Und dass er immer noch einen SABBER-Wurm hat, das weiß ich auch genau. Er ist 'ne Dogge!

    Da sieht man mal wieder: Auch die angeblich besten Produkte versprechen viel mehr, als sie halten können!
     
  20. Dario.

    Dario. Kbyte

    Registriert seit:
    25. April 2003
    Beiträge:
    209
    Muß man den Anhang wirklich öffnen oder reicht
    ein bloßes anschauen im HTML Vorschaufenster ?

    Gruß Dario
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen