moin moin,
Athlon 1000,win xp prof.
Kaspersky antivirus 4.5.0.48 hat bei einer Routine-Überprüfung "sorber f" als gefunden gemeldet. Löschen bzw. Desinfektion ist laut Report-Eintrag fehlgeschlagen bzw. nicht möglich gewesen. Habe dann sorber fixtool von Symantec runtergeladen, im abgesicherten Modus durchlaufen lassen , jedoch mit dem Ergebnis, dass kein Sorber auf meinem System gefunden wurde. Weiterhin adaware 6, spyboot-s&d 1.2 und a2 durchlaufen lassen, wovon ausschließlich adaware einige dataminer (doubleclick etc.) gefunden hat. Nochmalige Prüfung mit Kaspersky brachte ebenfalls keinen Virenfund mehr.
Wat nu?
System sicherheitshalber neu aufsetzten? Liegt mir am nächsten, bedeutet aber viel Zeit und Mühe. Oder kann das so in Ordnung sein?
Gruss, Jochen

Hallo Jochen und willkommen im Board,

</font><blockquote>Zitat:</font><hr />... Kaspersky antivirus 4.5.0.48 hat bei einer Routine-Überprüfung "sorber f" als gefunden gemeldet. </font>[/QUOTE]Sorber oder vielleicht nur Sober F?!?
Sorber mit r kenne ich eigentlich nur als Schreibfehler...

</font><blockquote>Zitat:</font><hr />Löschen bzw. Desinfektion ist laut Report-Eintrag fehlgeschlagen bzw. nicht möglich gewesen.</font>[/QUOTE]Wo wurde denn lt. Report der Virus/Wurm/... gefunden?

Gruß,
Lutz

sorber=sober? siehe hier:
http://www.vimus.de/news/index.php?mehr=30
Der befand sich in den temporary Internet files.

Hallo,
ich habe das gleiche Problem - AVK meldet mir Win32.Sober.F@mm - gut das ich den Virenwächter installiert habe [img]graemlins/huepp.gif[/img]

weniger gut, dass ich jetzt diesen Wurm habe,obwohl ich die E-Mail nicht geöffnet habe [img]graemlins/kloppen.gif[/img]

Bei Heise gibt es einen Tool zum Entfernen und dazu habe ich eine Frage:

man soll ja im abgesicherten Modus starten - komme ich dann an den runtergeladenen Tool ran ? und wenn ja wie? - sorry für diese "Anfängerfrage", aber ich habe das noch nie gemacht.

best regards

Stefan

das klappte bei mir gut. Du lädtst eine "fixsober.exe" (symantec) runter in Deinen Dowmloadordner, deaktivierst Deine Systemwiederherstellung, startest neu im abgesicherten Modus und startest dann in dem Downloadordner die "fixsober.exe" mit Doppelklick. Der sucht dann nach Sober und entfernt ihn.

Ich hoffe nur, dass das ausreicht! Vielleicht kann mich ja jemand , der Ahnung davon hat, beruhigen
Gruss, Jochen

Hi Jochen,

das ging ja super fix - DANKE !

Ich werd es so ausprobieren und melde mich dann mit dem Ergebnis.

best regards

Stefan

</font><blockquote>Zitat:</font><hr />Original erstellt von staja:
sorber=sober? siehe hier:
http://www.vimus.de/news/index.php?mehr=30
Der befand sich in den temporary Internet files. </font>[/QUOTE]Ja, genau die Seite meinte ich mit Schreibfehler.
Ist imho ne ziemlich ärgerliche Sache, wenn Seiten im Netz vor Viren warnen und dann nicht mal richtig abschreiben können...

Wenn sich Sober nur in den temporären Internetdateien befindet nur da und an keiner anderen Stelle!, dann sollte es ausreichen, wenn Du diese Temp Files einmal im IE löscht.

Wenn Dir KAV jetzt keine Infektion mehr anzeigt, solltest Du davon ausgehen können, dass Du Sober_F erfolgreich entfernt hast.

Gruß,
Lutz

</font><blockquote>Zitat:</font><hr />Original erstellt von cabby:
...AVK meldet mir Win32.Sober.F@mm - gut das ich den Virenwächter installiert habe [img]graemlins/huepp.gif[/img]

weniger gut, dass ich jetzt diesen Wurm habe,obwohl ich die E-Mail nicht geöffnet habe</font>[/QUOTE]Hallo Stefan,

wann genau, hat AVK Dir den Wurm gemeldet?
Beim abholen der Mail, oder bei einem 'Routine-Scan'?
Wenn Du die Mail nicht geöffnet hast und somit den Dateianhang nicht gestartet hast, ist der Wurm zwar bei Dir angekommen, aber er konnte sich nicht 'entfalten'...

Mail löschen sollte reichen. Allerdings am besten gleich auch den Papierkorb des Mailprogramms löschen!
BTW: Welches Mailprogramm verwendest Du?

Gruß,
Lutz

Hallo Lutz,

ich habe Mozilla Thunderbird und ich habe die Virenmeldung wie folgt bekommen:
- meine Postfächer gescant
- auf das Postfach gelinkt, wo ich einen Posteingang hatte
....und dann kam die Meldung. Laut AVK wurde die Datei geöffnet und hat sich unter Anwendungen/Thunderbird eingenistet.TIF habe ich gelöscht.
Habe aber immeroch die Mail in meinem Postfach und sie lässt sich nicht löschen. [img]graemlins/headbang.gif[/img]

Wollte mir jetzt eigentlich das Tool runterladen?!

best regards

Stefan

Ich nochmal,
habe gerade nochmals versucht die Mail zu löschen:

die Mail "blau unterlegt" und als ich dann auf das rote X gegangen bin, kam wieder die Virenmeldung???

Stefan

Hallo Stefan,

also das Tool schadet auf keinen Fall!
Im ungünstigsten Fall entfernt es 'nur' den Wurm nicht.

Ich habe selbst auch Thunderbird (Vers. 0.5).
Das Problem eine Mail nicht löschen zu können, kann ich hier im Moment nicht nachvollziehen. Das soll aber nicht heißen, dass ich Dir nicht glaube!
Bekommst Du eine 'Fehlermeldung' bei dem Versuch, die Mail zu löschen?

Lutz

Hallo Lutz,

nein, keine Fehlermeldung. Ich erhalte dann von AVK eine erneute Virenmeldung !

Stefan

</font><blockquote>Zitat:</font><hr />Original erstellt von cabby:
...die Mail "blau unterlegt" und als ich dann auf das rote X gegangen bin, kam wieder die Virenmeldung???</font>[/QUOTE]Dann spuckt hier offensichtlich der Echzeitschutz von AVK in die Suppe.
AVK habe ich nicht hier und kann das insofern nicht nachvollziehen. Ich weiß leider auch nicht genau, wie AVK aufgebaut ist. Gibt es daraus keine Möglichkeit die Mail zu löschen oder zumindest in Quarantäne zu verschieben?

Ansonsten würde ich den Echtzeitschutz kurzfristig deaktivieren und die Mail dann löschen. Anschließend auch aus dem Unterordner Papierkorb. Zusätzlich solltest Du die Ordner Posteingang und Papierkorb anschließend nacheinander komprimieren. Das geht mit einem Rechtsklick auf den jeweiligen Ordner.

Lutz

Hallo Lutz,

erstmal vielen Dank für Deine Hilfe [img]graemlins/bussi.gif[/img]

Da ich jetzt doch schon für eine konzentrierte Aktion zu müde bin, gehe ich jetzt ins Bett und werde mich dann morgen wieder melden.

Thx

Stefan

moin moin,
ich bin es noch einmal.
Also, nach fixsober.exe-Durchlauf findet Kaspersky sober nun nicht mehr.
Auf der Heise-Seite
http://www.heise.de/security/artikel/46283
wird angegeben, dass der Wurm sich u.a. unter dem Namen smss.exe ins Systemverzeichnis von Windows XP kopiert.
Nun, diese smss.exe existiert bei mir in der Tat noch im windows/system32-Ordner und lässt sich auch nicht löschen. Nach Neustart ist sie immer wieder da. In den Eigenschaften dieser Datei ein Erstelldatum vom 29.Aug.2002 und microsoft corporation angegeben, scheinbar also eine Systemdatei von Windows XP, oder?
Oder aber gut getarnt als solche?
Weiterhin sind bei Heise Registrierungsschlüssel genannt, mit denen Sober aktiviert wird. Alle diese Schlüssel existieren bei mir aber definitiv nicht (mehr).
Darf das bei mir Entwarnung heissen?
Gruss, Jochen.