|
Plagegeister aller Art und deren Bekämpfung: WurmSobig.eWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.07.2003, 03:05 | #2 |
| WurmSobig.e Wo ist denn der sobig gemaldet worden? vielleicht ja nur in der Inbox vom Mailprogramm?
__________________Poste mal den genauen Namen und Pfad! Hendrik
__________________ |
06.07.2003, 07:46 | #3 |
| WurmSobig.e Guten Tag an alle
__________________Also die Meldung von KAV ist: Auf folgemde Datei kann nicht zugegriffen werden: Dokumente und Einstellungen\walter\Lokale Einstellungen\Temp\batC07.tmp Ich konnte diese Datei im abgesicherten Modus löschen. Das passiert wenn ich mit TheBat meine Mail abrufen will. Aber ein weiters Problem ist, jedesmal wenn ich meine Mail abrufen will passiert dasselbe immer wieder, wie bekomme ich dieses Mail vom Mailserver weg. Uebrigens im The Bat sehe ich nur das ein Mail von:Support@free-av.de Re:Application heruntergeladen wird, aber ich sehe bei dem Fenster wo normalerweise die Kopfzeile erscheint nichts nur unten steht: Empfangene Nachrichten 1 Ich habe keine Ahnung warum KAV und The Bat diese Mail nicht in den Quarantäne Ordner verschiebt Danke für Eure Hilfe Tschüss |
06.07.2003, 08:47 | #4 |
| WurmSobig.e Hallo, keine Panik, die Sache ist einfach [img]smile.gif[/img] ... In TheBat! Konto-Postfachinspektor-neue Nachrichten Anzeigen klicken, den Hacken "Abholen" bei der entsprechenden Mail wegmachen, links oben auf den grünlichen Ausführenknopf klicken: die infiszierte Mail wird auf dem Server gelöscht [img]smile.gif[/img] Lies auch mal meinen Beitrag in diesem thread , da geht es um die selbe Sache. Den Pfad von Windoof\temp halt Deiner Maschiene anpassen (Dokumente und Einstellungen\walter\Lokale Einstellungen\Temp\). Dann kann in Zukunft ein infiziertes Mail problemlos in die Inbox kommen, wo Du es dann ja bloß zu löschen brauchst. Hast Du bei den KAV-Einstellungen unter "Zusammengesetzte Objekte" das Mailformat nicht deaktiviert? siehe KAV FAQ von Ryuu und dieser neue Thread. Tschüß Hendrik
__________________ Folding@Home-Team 2804 |
06.07.2003, 10:03 | #5 |
| WurmSobig.e Hallo vielen Dank für die vielen Antworten. Mein Rechner ist wieder sauber, Das infizierte Mail auf dem Server gelöscht. Nochmal vielen Dank Grüsse aus Lugano [img]graemlins/party.gif[/img] |
06.07.2003, 10:40 | #6 |
| WurmSobig.e Übrigens: Du schriebst "Ich habe keine Ahnung warum KAV und The Bat diese Mail nicht in den Quarantäne Ordner verschiebt" Hast Du denn das KAV-Plugin in TheBat! aktiviert? Persönlich halte ich das für Unsinn, da es niemandem schadet, ein infiziertes Mail in den Posteingang zu kriegen (hat bei mir unter Win98SE, TB! 1.62CE, KAV4SP5 nie funktionnieren wollen, jetzt mit Win2000SP3, Tb! 1.63beta11, KAV4.5 hab' ich's noch nicht probiert). Das sieht dann ja ein Blinder mit Stock, daß es sich um Malware handelt. Selbst wenn der Blinde ohne Stock versuchen sollte, den Anhang zu öffnen, käme ja nur die Meldung, daß exe, pif usw.-Endungen nicht geöffnet werden können. Sollte dann der Blinde ohne Stock und ohne Verstand die exe auf der Platte abspeichern wollen, würde der KAV-Hintergrundwächter anschlagen (oder spätstens beim Ausführungsversuch). Es sei nochmal erwähnt, daß ein on-demand-Scanner immernoch von jedem SkriptKiddi mit Ebsenhirn 100% sicher umgangen werden kann (selbst KAV). Das sicherste ist immernoch der on-access-Monitor, da braucht's wesentlich mehr Können, etwas durch KAV unerkennbar zu machen. Ein eMail-Scan kann also nur unpräparierte Standard-Malware erkennen, die aber in einem guten Mailprogramm keinerlei Gefahr darstellt. Daß das Plugin bei TheBat! nicht richtig gearbeitet hat, könnte daren liegen, daß durch das Blockieren der batC07.tmp der Empfagsvorgang gestört wurde. Weil also nichts richtig empfangen werden konnte, kann auch nichts durch's PlugIn erkannt werden... Fazit: ein sicheres Mailprogramm verwenden, und sich auf den nächsten Mailwurm freuen... ich kriege fast keine mehr... Hendrik
__________________ --> WurmSobig.e |
06.07.2003, 11:01 | #7 |
| WurmSobig.e Hallo Ich habe KAV installiet und jetzt zeigt mir der Scan an dass eine Datei it WurmSobig.e infiziert ist. Bei den Scan Einstellungen habe ich bei Vorgehen bei Infizierten Dateien eingegeben dass die infizierte Datei gelösch werden solle, das macht KAV aber nicht, nach dem Scan ist die Datei immer noch da und bei einem neuen Scan kommt die Warnung wieder. Was mache ich falsch? Danke für eine Antwort lunedi |
06.07.2003, 12:05 | #8 |
| WurmSobig.e Hallo Leutz, vor kurzem haben wir eine mail mit Sobig bekommen und benutzen auch the Bat. Die Norton Corporate Edition hat ihn noch, bevor ich ihn im Mail-Programm sehen konnte, isoliert. Da war ich schon sehr überrascht und er mußte auf dem Server noch gelöscht werden. Gruß |
06.07.2003, 17:35 | #9 |
| WurmSobig.e Hallo ich habe jetzt das KAV-Plugin im TheBat rausgenommen. Ich bin halt kein Profi, aber Blinder mit Stock auch nicht, habe aber verstanden was Du damit meinst. Ich habe noch eine Frage, ich lese im Forum oft von KAV Version 4.5 aber soviel ich gesehen habe gibt es 4.5 in deutsch (noch) nicht. oder? einen schönen Sonntag-Abend noch Tschüss |
06.07.2003, 22:58 | #10 |
| WurmSobig.e @lunedi: KAV4.5 gibt's erst nur in Englisch (und Russisch). Das sollte aber eigentlich kein Problem sein. Viel geschrieben ist sowieso nicht. @Sanne: daß der Norton POP3-Wächter das abgefangen hat, ist ja schön. Soviel ich verstanden zu haben glaube (habe nie Norton genutzt) empfängt der PO3-Wächter die mails vom Server, scant diese, und gibt sie dann an den Mailclienten weiter. Das Problem bei lunedi war ja, daß eine ungeeignete Konfiguration von KAV den richtigen Empfang des infizierten Mails gestört hat und TheBat! diesen dann richtigerweise nicht automatisch vom Server löscht. Mal gucke mal hier: http://return.to/scheinsicherheit oder auch hier was die Zuverlässigkeit von Virenscannern angeht... Hendrik Edit: Link war nicht klickbar... [ 07. Juli 2003, 00:09: Beitrag editiert von: Hendrik ]
__________________ Folding@Home-Team 2804 |
Themen zu WurmSobig.e |
abgesicherte, abgesicherten, abgesicherten modus, beenden, hinweis, laufe, laufenden, modus, prozesse, scan, scanne, verbreitung |