[Boz]

Hallo,

seit einiger Zeit bekomme ich von AntiVir diese Meldung, wenn ich eMails abrufen will tue:

C:\DOKUME~1\BENUTZER\LOKALE~1\TEMP\BAT346.TMP

Enthält Signatur des Wurmes Worm/Sober.I.Base64A

Ich habe mich über Google jetzt schonmal schlau gemacht und habe nur herausfinden können, dass die AntiVirenhersteller "" irgendwelche Signaturen gemacht haben oder was weiß ich!!!

Was kann ich denn machen um den Wurm wieder abzuschütteln?
Ich glaube meinen TheBat! lass ich lieber mal aus!

Bitte Helft mir!!!!!

mfg

[newbasti]

Lade dir mal die neusten Updates von MS runter, vieleicht gibt es schon einen patch der die sicherheitslücke entfernt.

[Boz]

ich weiß ja nicht genau, aber ich bin ja schon infiziert!!! Ich kann ja nicht nen sicherheitspatch drüber machen wenn ich ihn schon hab!!!! Bringt es vielleicht etwas, wenn ich meinen Virenscanner im abgesichertem modus drüberlaufen lass?

[newbasti]

Ja bringen wierd es aufjedenfall was, aber wenn es von MS einen patch gibt der die sicherheitslücke behept, dann löscht der patch den virus natürlich gleich mit.

Dieser Beitrag wurde von newbasti bearbeitet: 01. Januar 2005 - 20:44

[Boz]

echt!?

[newbasti]

Ja ich denk schon, aber ich hab was besseres gefunden was dir möglicherweise weiter Hilft.

http://www.chip.de/f...threadid=763388

[Boz]

W32.Sober.I@mm ? bei Symantec?

[Großer]

Hier kannst Du dir den aktuellen "Stinger" herunterladen um deinen Wurm zu entfernen.
Außerdem solltest Du Windows-Update besuchen und dir allen fehlenden Patches installieren um die Lücke zu schließen.

Gruß

[ph030]

***ph030***

Dieser Beitrag wurde von ph030 bearbeitet: 29. Januar 2005 - 22:40

[Boz]

Microsoft weiß noch gar nichts davon. Stinger hab ich schon, im abgesichertem Modus oder im normalen Windows? (drüberlaufen lassen)

[Großer]

Besser im abgesicherten Modus.
Aber schaue dir vorher die Einstellungen vom Stinger genau an.

[Rika]

So wie ich das sehen empfängst du mit TheBat! eMails, die u.a. auch den Sober-Wurm beinhalten. TheBat! packt entweder die aktuell empfangende Mail oder die Dateinanhänge ins Temp-Verzeichnis, dort meldet sich dann der Virenscanner und will die Datei löschen.

Also, was ist alles schiefgelaufen:
1. Die Tatsache, daß du Wurmmails empfängst, ist absolut kein Grund zur Panik. Eher ein Grund für serverseitige Filter.
2. Daß TheBat! sowas ins Temp-Verzeichnis packt ist in Kombination mit Virenscannern lästig. Entweder tauschst du das Mailprogramm aus oder definierst das Temp-Verzeichnis als Ausnahme, handelst dir damit eine nicht unerheblich Lücke in der Virenprüfung ein.
3. Das Ding kommt als Base64 an, dabei können Bytes teilweise vermischt werden und sonst gültige Signaturen zu stark greifen.

[Boz]

ähm.....(vielen dank für deine "endlich" Informative antwort) *gg*....und was soll ich deiner meinung nach jetzt tun? Also ich bin bei GMX und ich weiß schon welche eMail das war. Hab sie sofort gelöscht. Ich bin kein Anfänger oder so ich bin schon ein Pro-User, also d.h. dass ich nen "Anhangswurm" schnell finde und denn lösche, aber ich glubeder hat sich automatisch dann vom Temp-Verzeichniss installiert, weil GMX ihn durchgelassen hat.

BITTE HELF MIR RIKA!!!

[Memphis_1]

Zitat (Boz: 02.01.2005, 22:40)

Ich bin kein Anfänger oder so ich bin schon ein Pro-User....
<{POST_SNAPBACK}>

1. seit wann kann man sich selber pro-user nennen?!
2. wenn du pro wärst hättest du erst gar keinen wurm bekommen oder nicht?
3. weil du erkennst "ui da ist ein wurm" hat das noch nix zu sagen, das kann mein kleiner bruder auch

aba naja........

[Rika]

@Boz:

Ja was woll... 'n anderes Mailprogramm nehmen oder so konfigurieren, daß die temporär dekodierten Anhänge in einem anderen Ordner landen, so dies denn möglich ist. Und mal die Filterrgeln beim GMX nutzen, insbesonderen RegExps sind doch fein.

@Memphis_1:

1. ich bin ein pro user !!!!!!111elf
2. Doch. Er hat sich den Wurm ja nicht eingefangen, sondern nur eine Mail mit dem Wurm bekommen. Ist ziemlich schlecht vermeidbar, da die Freemailer (außer Hotmail, aber Hotmail ist doof) das Virenscannen nur den Bezahlkunden vorbehalten (und sich damit selbst ins Knie shcißene, sie könnten doch so viel Traffic sparen) und die Filtermerkmale keine False Positives produzieren sollten (deshalb kommt alles mit dem Betreff "Ihre neuen Accountdaten" auch gefälligst durch).
3. ... und klickt ihn an, um dich zu ärgern.