Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W32.Novarg.A@mm (MyDoom.A und MyDoom.B Virus entfernen)

Frage Sicherheit Viren und Trojaner

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.02.2004 um 10:02 Uhr, 10696 Aufrufe

Wieder ein Virus, der das Internet zum Überlaufen bringt.
Die SCO-Guppe ist diesmal das Ziel und der Virus hat heute (02.02.04) auch schon seine volle Wirkung gezeigt. Die Webseiten von SCO (http://www.sco.com) sind seit Stunden nicht mehr erreichbar.

Der Internetwurm MyDoom enthält eine so genannte Backdoor-Komponente, über die ein infizierter Computer ferngesteuert werden kann. Das bedeutet, dass ein Angreifer auf alle Daten des Computers zugreifen kann. Diese Backdoor-Komponente kann aber auch für weitere Angriffe ins Internet genutzt werden, das heißt, der infizierte Computer ist dann der Ausgangspunkt dieser Angriffe.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft.

MyDoom.A (alias Novarg.A)
wird durch die Existenz von taskmon.exe und/oder shimgapi.dll in unten aufgeführten Verzeichnissen nachgewiesen.

Datei taskmon.exe

Windows 95/98/Me:
C:WindowsSystemtaskmon.exe
Windows NT/2000:
C:WinntSystem32taskmon.exe
Windows XP:
C:WindowsSystem32taskmon.exe

Datei shimgapi.dll

Windows 95/98/Me:
C:WindowsSystemshimgapi.dll
Windows NT/2000:
C:WinntSystem32shimgapi.dll
Windows XP:

C:WindowsSystem32shimgapi.dll

MyDoom.B
befindet sich im infizierten System in den Dateien ctfmon.dll und explorer.exe in den unten aufgeführten Verzeichnissen.

Datei Ctfmon.dll

Windows 95/98/Me:
C:WindowsSystemCtfmon.dll
Windows NT/2000:
C:WinntSystem32Ctfmon.dll

Windows XP:
C:WindowsSystem32Ctfmon.dll

Datei Explorer.exe

Windows 95/98/Me:
C:WindowsSystemExplorer.exe
Windows NT/2000:

C:WinntSystem32Explorer.exe
Windows XP:
C:WindowsSystem32Explorer.exe

Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

Entfernung des Wurms MyDoom.A (Novarg.A)
Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.

Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Es wurden Tools ausgewählt, die eine deutsche Beschreibung enthalten. Die Meldungen, die die Programme ausgeben, sind jedoch in englisch.

Symantec (FxNovarg.exe): http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.no ...

Sophos (MYDOOSFX.COM): http://www.sophos.de/support/disinfection/mydooma.html

NAI (Stinger.exe): http://vil.nai.com/vil/stinger/

Kaspersky (CLRAV.ZIP, enthält CLRAV.COM): http://www.kaspersky.com/de/news.html?id=3112351

Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Kontaktadresse BSI: bsisec@bsi.bund.de
http://www.bsi.bund.de/
Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen? (21)

Frage von Mimetype zum Thema Viren und Trojaner ...

Viren und Trojaner
gelöst Jspfae.exe weiss jemand mehr über diesen Virus? (2)

Frage von gifox zum Thema Viren und Trojaner ...

Exchange Server
gelöst In Outlook ein Postfach entfernen (2)

Frage von hamihan zum Thema Exchange Server ...

Neue Wissensbeiträge
Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(3)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Netzwerkmanagement
Windows Server 2008 R2: "netsh reset" nicht verfügbar? (11)

Frage von RickTucker zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
Uninitialisierte Festplatte - Daten retten (11)

Frage von peterla zum Thema Festplatten, SSD, Raid ...

Microsoft Office
Outlook 2016 in Ordneransicht starten - GPO (9)

Frage von D-Line zum Thema Microsoft Office ...