Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W32.Novarg.A@mm (MyDoom.A und MyDoom.B Virus entfernen)

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.02.2004 um 10:02 Uhr, 10771 Aufrufe

Wieder ein Virus, der das Internet zum Überlaufen bringt.
Die SCO-Guppe ist diesmal das Ziel und der Virus hat heute (02.02.04) auch schon seine volle Wirkung gezeigt. Die Webseiten von SCO (http://www.sco.com) sind seit Stunden nicht mehr erreichbar.

Der Internetwurm MyDoom enthält eine so genannte Backdoor-Komponente, über die ein infizierter Computer ferngesteuert werden kann. Das bedeutet, dass ein Angreifer auf alle Daten des Computers zugreifen kann. Diese Backdoor-Komponente kann aber auch für weitere Angriffe ins Internet genutzt werden, das heißt, der infizierte Computer ist dann der Ausgangspunkt dieser Angriffe.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.

MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.

Datei taskmon.exe

Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe

Datei shimgapi.dll

Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:

C:WindowsSystem32shimgapi.dll

MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.

Datei Ctfmon.dll

Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll

Windows XP:
C:WindowsSystem32Ctfmon.dll

Datei Explorer.exe

Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:

C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe

Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.

Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.

Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...

Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html

NAI (Stinger.exe): http://vil.nai.com/vil/stinger/

Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351

Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen?
Frage von 93630Viren und Trojaner21 Kommentare

Hallo, eigentlich beschäftige ich mich mit so etwas weniger. Habe aber nun einen Laptop von einem Kunden auf dem ...

Backup

W32 Disk Imager für normale Festplatte?

Frage von trallerBackup8 Kommentare

Hallo, der W32 Disk Imager erkennt ja nur "entfernbare Geräte" um von diesen ein Image zu lesen oder darauf ...

Viren und Trojaner

Zepto Virus

Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows 10

Virus Locky infiziert das Bios ?

gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 1 TagHumor (lol)4 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 2 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 3 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke14 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Webbrowser
Neuer Tab Firefox
gelöst Frage von BleifussWebbrowser12 Kommentare

Hallo, via Strg + T öffnet man ja einen neuen Tab. Gibt es die Möglichkeit, dass der Tab sich ...

Windows Server
2 DCs Hierarchie umkehren
Frage von TuberPlaysWindows Server11 Kommentare

Hallo, wir hatten bisher 1 Domain Controller in einer VM. Nun kam noch ein zusätzlicher Domain Controller auf einem ...

Windows Server
WSUS nach Upgrade - kein Start mehr
gelöst Frage von Ghost108Windows Server9 Kommentare

Hallo zusammen, habe einen Windows Server 2012 welcher als WSUS dienst. Jetzt wurde ein Upgrade auf Server 2016 durchgeführt ...