Erste Hile bei MyDoom

#1 Hinweis: (Moderator)
Hilfe zu Mydoom/Novarg gibt es auch hier


An alle die glauben mit MyDoom befallen zu sein habe ich eine Hilfe:
Alle WinXP anwender unter Dateien und Ordner suchen und im Feld ctfmon.dll
eingeben daraufhinn durchsucht der Rechner nach diesen Virus/Wurm.

Bei anderen Betriebsystemen oder Befall empfehle ich mal auf microfoft.de
zu schauen da ist alles ganz einfach beschrieben.(speziell neulinge)

LG Frido 1975

#2 eine frage:
ich habe jetzt alle oben im "wichtig-thread" aufgelisteten anti-mydoom programme durchlaufen lassen, aber der virus scheint imemr noch da zu sien, weil ich von der firewall von nem kumpel folgendes bekommen habe:
* * * * * * * * * * * * * * * AntiVir ALERT * * * * * * * * * * * * * * *
This version of AntiVir is licensed and full featured.

AntiVir hat Folgendes in einer von Ihnen adressierten E-Mail gefunden:

Worm/MyDoom.A2 worm

Diese E-Mail wurde nicht ausgeliefert und auf dem Server isoliert.
Ueberpruefen Sie bitte Ihr System unverzueglich auf eventuellen
Virenbefall.

Bitte entfernen Sie vorhandene Viren, bevor Sie weitere E-Mails mit
Dateianhaengen versenden.


Mail-Info:
--8<--
From: johannes_linsenmeyer@web.de
To: 3dansgar.loitzsch@gmx.de
Date: Wed, 11 Feb 2004 21:30:00 +0100
Subject: nwrpnggkqp
--8<--

die adresse, an die ich eschickt haben soll, gibt es nicht! das 3d gehört da nicht hin! Kazaa und alles hab ich unverzüglich gelöscht, auch die ganzen runtergaldenen dateien!
Hab auch die oben genannte datei nicht gefunden, aber trotzdem muss der Virus immr noch irgendwo sitzen ( ich hba XP)

Logfile of HijackThis v1.97.7
Scan saved at 22:49:39, on 11.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dr. Hans-Martin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fcb.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Speed Up - 2.0.1 ] C:\Programme\Kazaa Speedup Pro\Speedup Pro.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.2226851852
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab


Inziwschen bin ich echt ratlos, hab echt keinen plan mehr, was ich machen soll!!! Irgendwo muss ich das ding ja noch haben, sonst würd ich net die ganze zeit die mails bekommen, aber ich find nix, und auch die prorramme finden nix, bzw des was se finden löschen se sofort!!!!

#3 @ Frido:

Das trifft nur auf MyDoom.B zu.
Die Links zu den genauen Beschreibungen finden sich nun [url="http://board.protecus.de/t8076.htm

@ Linse

Ein Blick in die Beschreibung von Mydoom.A

Zitat

From: The "From" address may be spoofed.

Subject: The subject will be one of the following:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Message: The message will be one of the following:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test

Es ist durchaus möglich, dass Du ein Mail bekommst, das als Absender und Empfänger deine Emailadresse trägt. Auch das hätte keinerlei Aussagekraft bzgl eines Virenbefalls deines Rechners.
Bei einem Scan mit einem Virenscanner oder einem der Removal-Tools würde der Wurm, sofern vorhanden, bestimmt gefunden.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 @linse:

Wenn deine suche erfolglos war bist du auch nicht befallen.aber such mal das:
nach dateien und ordner suchen und dir intrenat.exe/a/s für MyDoom C
nach dateien und ordner suchen und dir shimagoi.dll/a/s für MyDoom A

Glaube jedoch nicht das du befallen bist.denn die e-mail von deinem freund bestätigt nich das du befallen bist.

hast du auf microsoft.de nachgesehen?
auch symantec.de ist seht kompetent.(norton)

@joschi

Du hattest Recht.Nun hier die suchtexte für die A und C variante.
Ich finde das ziemlich einfach das man so ohne viel downloads einen systemchek machen kann.oder?
So eein profi bin ich leider noch nicht aber sein Log sieht nicht so schlecht aus.
Dieses Forum hat mir schon echt viel gelernt.mal ein RIESEN LOB an EUCH alle

#5 Naja, das was mcih stuzig gemacht hat is, dass die professioele Firewaal vom Netzwerk meines Freundes, mir ne mail geschickt hat, dass ich nen virus geschickt hätte!
Immerhin is die Firewall von DEM Pc-Experten unserer Stadt eingerichtet worden! Von einem vom Expert, eben von der Elektro-Kette.

Naja, hab keine Dateien gefunden, danke für die hilfe.
Kazaa bleibt jetzt auch auf der strecke, weil echt e alben einfach geiler sin, und wenn nötig, soll mir ein freund die leider geben

Also, danke
Gruß
Linse