Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W32.Novarg.A@mm (MyDoom.A und MyDoom.B Virus entfernen)

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.02.2004 um 10:02 Uhr, 10730 Aufrufe

Wieder ein Virus, der das Internet zum Überlaufen bringt.
Die SCO-Guppe ist diesmal das Ziel und der Virus hat heute (02.02.04) auch schon seine volle Wirkung gezeigt. Die Webseiten von SCO (http://www.sco.com) sind seit Stunden nicht mehr erreichbar.

Der Internetwurm MyDoom enthält eine so genannte Backdoor-Komponente, über die ein infizierter Computer ferngesteuert werden kann. Das bedeutet, dass ein Angreifer auf alle Daten des Computers zugreifen kann. Diese Backdoor-Komponente kann aber auch für weitere Angriffe ins Internet genutzt werden, das heißt, der infizierte Computer ist dann der Ausgangspunkt dieser Angriffe.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.

MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.

Datei taskmon.exe

Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe

Datei shimgapi.dll

Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:

C:WindowsSystem32shimgapi.dll

MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.

Datei Ctfmon.dll

Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll

Windows XP:
C:WindowsSystem32Ctfmon.dll

Datei Explorer.exe

Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:

C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe

Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.

Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.

Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...

Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html

NAI (Stinger.exe): http://vil.nai.com/vil/stinger/

Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351

Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen?
Frage von MimetypeViren und Trojaner21 Kommentare

Hallo, eigentlich beschäftige ich mich mit so etwas weniger. Habe aber nun einen Laptop von einem Kunden auf dem ...

Windows Server

Ein gutes Tool oder Programm zum entfernen von Crypto Virus auf System.

Frage von zorlayanWindows Server8 Kommentare

Hallo Freunde, Gibts jemand schon mit dieser Art von solchen Virus-Befall Erfahrung gemacht hat? Bei einem Server gibts einen ...

Viren und Trojaner

W32 Pilleuz und WIN 7

gelöst Frage von MachelloViren und Trojaner7 Kommentare

Hallo an Alle hier im Forum. Ich habe einige Probleme mit einem Virus mit dem Namen W32.Pilleuz. Alle meine ...

Backup

W32 Disk Imager für normale Festplatte?

Frage von trallerBackup8 Kommentare

Hallo, der W32 Disk Imager erkennt ja nur "entfernbare Geräte" um von diesen ein Image zu lesen oder darauf ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 2 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 16 StundenSicherheit1 Kommentar

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...