Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W32.Novarg.A@mm (MyDoom.A und MyDoom.B Virus entfernen)

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.02.2004 um 10:02 Uhr, 10760 Aufrufe

Wieder ein Virus, der das Internet zum Überlaufen bringt.
Die SCO-Guppe ist diesmal das Ziel und der Virus hat heute (02.02.04) auch schon seine volle Wirkung gezeigt. Die Webseiten von SCO (http://www.sco.com) sind seit Stunden nicht mehr erreichbar.

Der Internetwurm MyDoom enthält eine so genannte Backdoor-Komponente, über die ein infizierter Computer ferngesteuert werden kann. Das bedeutet, dass ein Angreifer auf alle Daten des Computers zugreifen kann. Diese Backdoor-Komponente kann aber auch für weitere Angriffe ins Internet genutzt werden, das heißt, der infizierte Computer ist dann der Ausgangspunkt dieser Angriffe.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.

MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.

Datei taskmon.exe

Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe

Datei shimgapi.dll

Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:

C:WindowsSystem32shimgapi.dll

MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.

Datei Ctfmon.dll

Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll

Windows XP:
C:WindowsSystem32Ctfmon.dll

Datei Explorer.exe

Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:

C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe

Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.

Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.

Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...

Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html

NAI (Stinger.exe): http://vil.nai.com/vil/stinger/

Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351

Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen?
Frage von 93630Viren und Trojaner21 Kommentare

Hallo, eigentlich beschäftige ich mich mit so etwas weniger. Habe aber nun einen Laptop von einem Kunden auf dem ...

Windows Server

Ein gutes Tool oder Programm zum entfernen von Crypto Virus auf System.

Frage von zorlayanWindows Server8 Kommentare

Hallo Freunde, Gibts jemand schon mit dieser Art von solchen Virus-Befall Erfahrung gemacht hat? Bei einem Server gibts einen ...

Backup

W32 Disk Imager für normale Festplatte?

Frage von trallerBackup8 Kommentare

Hallo, der W32 Disk Imager erkennt ja nur "entfernbare Geräte" um von diesen ein Image zu lesen oder darauf ...

Viren und Trojaner

Zepto Virus

Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 1 TagInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 3 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 4 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 4 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk24 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...

Batch & Shell
Batch Datei für Dateinamen
gelöst Frage von Sabi75Batch & Shell19 Kommentare

Hallo zusammen, ich bräuchte mal eure Hilfe. Ich nutze einen Windows 7 PC und ein Apple Ipad wenn ich ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid19 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...