<ul> <li>Sober.I virus</li> <li>Sober.I spyware</li> <li>Sober.I adware</li> <li>W32 Sober.I virus</li> <li>backdoor Sober.I</li> <li>Sober.I worm</li> <li>Sober.I patch</li> <li>Sober.I removal tool</li> <li>delete Sober.I</li> <li>Löschung Sober.I</li> <li>Sober.I entfernen</li> <li>Sober.I tool</li> <li>Sober.I fix</li> <li>Sober.I scanner</li> <li>Sober.I scan</li> <li>Sober.I antivirus</li> <li>Sober.I killer</li> <li>Sober.I spyware doctor</li> <li>free Sober.I removal</li> <li>gratis Sober.I entfernen</li> <li>Sober.I radar</li> <li>Sober.I detection</li> <li>Sober.I crack</li> <li>anti virus</li> <li>free virus</li> <li>virus remover</li> <li>online virusscanner Sober.I</li> </ul>
Viren | Spyware
         

Sober.I

Mit diesen Internet-Aufstellungsorten können Sie das Sober.I Virus entfernen:

entfernen Sober.I virus

Wenn W32.Sober.I@mm durchgeführt wird, führt es die folgenden Tätigkeiten durch:


Zeigt die folgende Anzeige an:

"WinZip_Data_Module ist fehlendes ~Error: {[ gelegentliche Zahl ]} "





Stellt zwei Akten im %System% Heft mit einem Dateinamen her, der aus den folgenden Zeichenketten besteht:


System
Wirt
dir
expoler
Gewinn
Durchlauf
Maschinenbordbuch
32
Scheibe
Krypta
Daten
diag
Spule
Service
smss32

Anmerkung: %System% ist eine Variable, die auf das System Heft sich bezieht. Durch Rückstellung ist dieses C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows.xp).


Stellt die folgenden Akten her:


%System%\nonzipsr.noz
%System%\clonzips.ssc
%System%\clsobern.isc
%System%\sb2run.dii
%System%\winsend32.dal
%System%\winroot64.dal
%System%\zippedsr.piz
%System%\winexerun.dal
%System%\winmprot.dal
%System%\dgssxy.yoi
%System%\cvqaikxt.apk
%System%\sysmms32.lla
%System%\Odin-Anon.Ger


Addiert die Werte:

"[ gelegentlicher Wertname ]" = "%System%\[random Endlosschraube Akte name].exe"
"[ gelegentlicher Wertname ]" = "%System%\[random Endlosschraube Akte name].exe %srun%"

zum Registerschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

damit die Endlosschraube jedesmal durchgeführt wird, beginnt Windows.

Anmerkung: [ gelegentlicher Wertname ] besteht aus einer oder mehr der folgenden Zeichenketten:


System
Wirt
dir
expoler
Gewinn
Durchlauf
Maschinenbordbuch
32
Scheibe
Krypta
Daten
diag
Spule
Service
smss32


Wenn das Tagesdatum Januar 5 geführt hat, 2005, dann die Endlosschraube kann versuchen, eine Akte von den mehrfachen Positionen auf den folgenden Gebieten zu downloaden und durchzuführen:


home.arcor.de
scifi.pages.at
home.pages.at
free.pages.at
people.freenet.de

Zu der Zeit des Schreibens sind keine der Akten zugänglich.


Versammlungen email Adressen von den Akten auf dem angesteckten Computer.

Er vermeidet die email Adressen, die die folgenden Zeichenketten enthalten:


Büro
@www
@from.
Unterstützung
redaktion
smtp
@smtp.
Gold-certs
ftp.
dial.
ppp.
jedermann
unterzeichnen Sie
verkünden Sie
@gmetref
sql.
jemand
nichts
Sie @
Benutzer @
reciver @
jemand
sicher
msdn.
ich @
was auch immer @
whoever @
überall
yourname
mustermann @
kundenserver.
Werbung-Dämon
variabel
Kennwort
- dav
law2
sul.t-
qmail @
t-ipconnect
t-dialin
ipt.aol
Zeit
postmas
Service
freeav
@ca.
Mißbrauch
winrar
Gebiet.
Wirt.
viren
bitdefender
spybot
Abfragung
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft.
@spiegel.
@sophos
@panda
@kaspers
frei-Handels
antivir
Virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
Taktgeber
Schiene.
WWW.
Mitglieder.
Klicken.
verweisen Sie.


Überprüft die Network Connection indem das In Verbindung treten mit einem NTP Bediener auf TCP Tor 37 oder durch das Beheben der folgenden Gebiete:


microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx


Schickt eine Kopie von sich als email Zubehör zu den Adressen, die es auf dem angesteckten Computer findet mit seiner eigenen smtp Maschine. Die email Anzeigen sind entweder auf Englisch oder Deutsch und haben die folgenden Eigenschaften:

Von:
Von der Linie sein kann ein email address, das auf dem angesteckten Computer gefunden wird oder vom folgenden enthalten ist:

[ Gebiet der gefälschten Absender name]@[recipients ]

wo [ gefälschter Absendername ] eins vom folgenden ist:


Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Informationen
Service
Hilfe
Webmaster
Hostmaster
Postmeister
Benutzer-Info

und [ Gebiet der Empfängers ] ist das Gebiet des beabsichtigten Empfängers des email.


Thema: Eins vom folgenden:


FwD: hallo dort
FwD: he Geck!
FwD: wazzup!!!
FwD: yeah Geck:P
FwD: Details
FwD: OH- Gott ist er
FwD: Fluch!
FwD: #
FwD: Ausrichtung Bestätigung
FwD: Bestätigung
FwD: Ihr Kennwort
FwD: Ihr Postkonto
FwD: Anlieferung Ausfallnachricht
FwD: Fehlerhafte Postzustellung
FwD: Postzustellung fällt aus
FwD: Postsendung-Störung
FwD: Ungültige Zeichen in email
FwD: Unzulässige Postlänge
FwD: Postzustellungausfall
FwD: Postzustellungstatus
FwD: Warnung!
FwD: Störung im dbase
FwD: DBase Störung
FwD: ups, ich haben Ihre Post
FwD: Traurig, ist die Ihre Post
FwD: warum tun Sie das?
FwD: Ein Weibchen des Lebens
FwD: Lächeln wie ein Mörder
FwD: lol, wat'nlosey?
FwD: Informationvon
FwD: FalscheMailzustellung
FwD: FehlerinIhrerE-Post
FwD: IhreE-Mailwarfehlerhaft
FwD: ESMTPError
FwD: UngültigeVariableninihrerE-Post
FwD: Verbindungwurdegetrennt
FwD: Mail_Fehler
FwD: IhrneuerAccount
FwD: NeueAccountDaten
FwD: Siehabennichtgezahlt
FwD: Rechnung
FwD: Hallo, seivorsichtig!
FwD: Achtung!gefährlicherVirus!
FwD: Schongehört?
FwD: DieTools!
FwD: DeinZeugs!
FwD: Hierfürdich^^
FwD: BestellungsBestätigung
FwD: Lieferungs-Bestätigung
FwD: O.K., hieristmein
FwD: Ichhabemichindichv

Körper: Mag aus etwas von dem folgenden Text bestehen:

++++ Benutzer-Service: http:/ /www.
++++ MailTo: Gebiet der postmaster@

Ihr Kennwort wurde erfolgreich geändert.

Geschützte Anzeige wird angebracht.


Dieses account_hast_been_disabled.

_ failed_after_I_sent_the_message.


Diese Informationen ist geschützt duch ein Passwort!

Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts-Bezugspunkt.

Viel vergnügen MIT unserem Angebot!

Im Ich-Netz unter: http:www[domain ]

Aus Datenschutzrechtlichen Gründen, darf Würfel vollständige E'Mail incl. Daten nur angehängt werden.

Wir gebissenes Sie, Dieses zu berücksichtigen.

GmBH U. Co. Kilogramm

Da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine änderung bezüglich Ihrer Nutzungs- Daten vornehmen.
Ihre geänderten Konto Daten, befinden sich im beigefügten Dokument.

---------------------------------------------------------

Diese Post wurde automatisch erzeugt.
Mehr Info über -- gaynet -- darunter: http:/ /www.gaynet.ch

-------
Occured_Errors:

[ IP]_does_not_like_recipient.
# 440: BRIEFKASTEN NICHT GEFUNDEN

Ende
-------

Die volle Post wird angebracht.

Auto_Mail.System: [ gaynet ]


*-*-* Mail_Scanner: Kein Virus
*-*-* SYMANTEC- Anti_Virus Service
*-*-* http://www.symantec.com

---------------------------------------------------------

Ich war, auch überrascht!
Who_could_suspect_something_like_that? sh*tyiiiii

---------------------------------------------------------

Diese Post wurde automatisch erzeugt.
Mehr Info über -- hotmail -- darunter: http:/ /www.hotmail.com

-------
Occured_Errors:

[ IP]_does_not_like_sender.
# 153: Giving_up_on_[IP ]

Ende
-------

Die volle Post wird angebracht.

Auto_Mail.System: [ hotmail ]



*-*-* Mail_Scanner: Kein Virus
*-*-* SYMANTEC- Anti_Virus Service
---------------------------------------------------------


Zubehör:
Das Zubehör kann auf einem email address basieren, das auf dem angesteckten Computer gefunden wird oder kann eins vom folgenden, mit einer pif, zip, scr, bat oder com Verlängerung sein:


im_shocked
oh_nono
thats_hard
Post
auto_mail
Re-mail_system
Error_mail

Das Zubehör kann auch genannt werden [ domain].[first extension].zip der Empfängers, wo [ erste Verlängerung ] eins vom folgenden ist:


txt
doc
word
xls
eml
TXT
DOC
EML






Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:

Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind (zum Beispiel, sollten alle Windows-basierten Computer den gegenwärtigen angebrachten Service-Satz haben). Zusätzlich wenden Sie bitte alle mögliche Sicherheit Updates an, die in dieser Darstellung, in verläßlichen Sicherheit Nachrichten oder auf Verkäufer Netzaufstellungsorten erwähnt werden.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.


Abbau, das W32.Sober Abbau-Werkzeug verwendend
Symantec Sicherheit Antwort hat ein Abbau werkzeug entwickelt , um die Infektion von W32.Sober.I@mm zu säubern. Versuchen Sie dieses Abbauwerkzeug zuerst, da es die einfachste Weise ist, diese Drohung zu entfernen.

Manuelle Abbau-Anweisungen
Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.


Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als W32.Sober.I@mm ermittelt werden.
Löschen Sie den Wert, der dem Register hinzugefügt wurde.

Für spezifische Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.

1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.

Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.

Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.

Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"


Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.


Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.

2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden täglich bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).

Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.

3. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit W32.Sober.I@mm angesteckt, Klicken Löschung.


Anmerkung: Wenn Ihr Symantec antivirus Produkt berichtet, daß es nicht eine angesteckte Akte löschen kann, kann Windows die Akte benutzen. Um dieses zu regeln, lassen Sie den Scan im sicheren Modus laufen. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus." Sobald Sie im sicheren Modus wiederbegonnen haben, lassen Sie den Scan wieder laufen.

(nachdem die Akten gelöscht sind, können Sie den Computer im sicheren Modus lassen und mit Abschnitt 4 fortfahren. Wenn das getan wird, beginnen Sie den Computer im normalen Modus.) wieder


4. Den Wert aus dem Register löschen


Wichtig: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.

Klicken Sie Anfang > GelaufenAn.
Schreiben Sie regedit

Klicken Sie dann O.K..


Steuern Sie zum Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


In der rechten Scheibe löschen Sie den Wert:

"[ gelegentlicher Wertname ]" = "%System%\[random Endlosschraube Akte name].exe"
"[ gelegentlicher Wertname ]" = "%System%\[random Endlosschraube Akte name].exe %srun%"


Nehmen Sie den Register-Herausgeber heraus.

freier Löschung W32.Sober.I@mm viren
Verwendete Quellen: VirusAlert | Norman | Symantec