Die letzten Wochen machte dieser Wurm, der sich per E-Mail verbreitet, Schlagzeilen: MyDoom.A und MyDoom.B. Man bekommt, meist in Form von Batch-, Exe- oder ZIP-dateien (in der .bat/.exe Dateien enthalten sind), gef�hrliche Anh�nge zu deren Ausf�hrung Sie in der Nachricht selbst aufgefordert werden. Sollten Sie diese Programme ausf�hren verschickt sich der Wurm automatisch weiter an alle E-Mail Adressen im Adressbuch und erm�glicht den Zugriff ihres Rechners von Aussen. Die MyDoom.B-Variante ist noch einen Tick schlauer: Sie blockt z.b. microsoft.com, symantec.com und weitere AntiViren-Hersteller, damit Sie weder Patches oder Antiviren-Updates noch Entfernungsprogramme herunterladen k�nnen. Die L�sung kommt von Microsoft:
Der DoomCleaner (Windows 2000 SP2/XP - Achtung: Keine 64-Bit Versionen) entfernt die zwei Varianten des Doom-Wurms vollst�ndig von Ihrem Rechner, wobei die E-Mails mit dem gef�hrlichen Code beibehalten werden und sie trotzdem noch offen gegen zuk�nftigen Befall durch erneute Ausf�hrung der Maildateien sind. 
Download des DoomCleaners Da der Wurm die Ausf�hrung von Seiten wie z.B. Microsoft.com verhindert, ist es ratsam einen unbefallenen PC zu benutzen und die Datei (108kb) per Diskette zu transportieren. Bitte melden Sie sich, zur Ausf�hrung des Patches, als Administrator an - �berpr�fen Sie, mit Hilfe von Antwort 14 (siehe am unteren Ende der Seite), ob Ihr Rechner befallen ist.
Die Vorgehensweise des Cleaners
Folgenderma�en agiert der DoomCleaner im System:
1. Er sucht im Arbeitsspeicher nach Instanzen des Wurms und beendet diese Prozesse. 2. Er untersucht die Festplatte auf MyDoom.A/B-Dateien und l�scht diese. 3. Er �ffnet die Run-Schl�ssel in der Windows-Registrierungsdatenbank, sucht nach dem Wurm und entfernt dessen Eintr�ge. Einer dieser Schl�ssel ist z.B.: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Auch an anderen Stellen werden Eintr�g gel�scht. 4. Die Komponenten, die Zugriff zum eigenen Rechner geben (Shimgapi.dll und Ctfmon.dll) werden von der Registry, der Festplatte und dem Arbeitsspeicher gel�scht. Die Datei Webcheck.dll (Zust�ndig f�r Seiten�berwachungen im Internet Explorer) wird wieder registriert - um die �nderungen zu �bernehmen startet der DoomCleaner den Windows-Explorer (explorer.exe) neu. 5. �berpr�ft die Host-Datei unter C:\WINDOWS\system32\drivers\etc und ersetzt diese durch die Standarddatei. Eine infizierte Datei l�sst die Ausf�hrung von Seiten wie z.B. microsoft.com nicht zu. 6. Es erscheint eine Meldung �ber den Erfolg/Misserfolg des Tools und der Cleaner l�scht sich von seinem temp. Ordner. Sie brauchen den Rechner nicht neuzustarten!  Wenn Sie den Cleaner �ber Start/Ausf�hren starten, stehen Ihnen folgende Paramter zur Verf�gung: /Q - Unterdr�ckt die EULA-Box /T:PFAD - Extrahiert die Datei des Cleaners zu einem gew�nschten Ort wie z.B. C:\Programme\myDoom. /C - Extrahiert nur die Datei ohne den Cleaner auszuf�hren Beispiel:  Hier wird die Datei doomcln.exe lediglich in den Ordner C:\Wurm entpackt! Wenn Sie nun auf erneut auf Start/Ausf�hren klicken k�nnen Sie den Pfad zu dieser Datei angeben und den Parameter /s hinzuf�gen. Dieser f�hrt die Installation im Silent-Mode aus d.h. die Aktionen laufen komplett im Hintergrund ab. Eine ideale M�glichkeit den Patch auf verschiedenen PCs blitzschnell zu verteilen und auszuf�hren.  Wenn Sie die Installationsdatei direkt zur Extraktion und automatischen Ausf�hrung im Silent-Mode anweisen m�chten, tippen Sie folgendes als Parameter ein: /q /c:"doomcln.exe /s" Folgende der wichtigsten Fragen und Antworten der offiziellen KB-Artikel (Knowledge Base: 836528) habe ich Ihnen frei �bersetzt: Frage 1: Sch�tzt mich dieser Cleaner vor zuk�nftigen Infektionen des Wurm?
Antwort 1: Nein, das Tool bleibt nicht auf dem System bestehen. Sch�tzen Sie sich, indem Sie keinerlei Mail von unbekannter Quelle �ffnen bzw. deren Anh�nge ausf�hren. Frage 2: Entfernt das Programm die Hintert�rchen, die MyDoom f�r Angreifer ge�ffnet hat?
Antwort 2: Ja, aber Programme die bereits �ber diese Hintert�rchen eingespielt wurden k�nnen nicht entfernt werden. Frage 3: Welche anderen Namen hat der myDoom-Virus noch?
Antwort 3: MiMail.R und Novarg.A Frage 4: Gibt es bald Versionen dieses Tools f�r Windows 9x/Me?
Antwort 4: Microsoft plant solche Versionen, best�tigt ist allerdings nicht. Frage 5: Ich habe mir schon ein MyDoom-Entfernungstool meines AntiViren-Softwareherstellers heruntergeladen - brauche ich den Cleaner?
Antwort 5: Generell: Nein, denn die anderen Remover sollten den myDoom mindestens genauso entfernen. Es kann aber auch nicht schaden... Frage 6: Sammelt das Tool Informationen und sendet es diese zu MS?
Antwort 6: Definitiv: Nein! Frage 7: Es ist immer noch eine Datei namens Taskmon.exe im Task-Manager. Diese wurde doch auch infiziert - warum ist sie noch da?
Antwort 7: Diese ist auch gleichzeitig eine originale Systemdatei, die, nach Ausf�hrung des DoomCleaners, nicht mehr infiziert ist. Frage 8: Was muss ich tun, wenn der myDoom-Wurm immer noch vorhanden ist?
Antwort 8: Installieren Sie sich eine AntiViren-Software und laden Sie sich die neuesten Virendefinitionen (Updates) herunter. Frage 9: Wird dieses Tool im SP2 enthalten sein?
Antwort 9: Nein! Frage 10: Kann ich das Tool via SMS auf Client-Rechnern im Netzwerk verteilen?
Antwort 10: Ja, pr�fen Sie vorher aber die Funktionalit�t auf einzelnen Rechnern. Frage 11: Wie kann ich mich zus�tzlich vor solchen Anh�ngen sch�tzen?
Antwort 11: Installieren Sie sich f�r Ihr Outlook (Aus dem Office Paket) die aktuellsten Updates von dieser Seite - Office 2000 SP2, Office XP und Office 2003 sind standardm��ig gut gesch�tzt; ein Update kann trotzdem sinnvoll sein. Benutzer der Versionen Outlook 2000 (Ohne SR1) und Outlook 98 finden hier passende Updates. Benutzer von Outlook Express 6 sollten sich folgende (leider englische) Seite genauer betrachten und z.B. keinerlei HTML-Mails empfangen (Nur-Text) sowie keine Dateianh�nge �ffnen: Using Virus Protection Features in Outlook Express 6 Frage 12: Wie kann ich, ohne das Tool (z.B. wenn ich nur Windows 9x/Me) verwende, trotzdem auf AntiViren-Seiten zugreifen?
Antwort 12: Gehen Sie folgenderma�en vor: 1. Klicken Sie auf Start/Ausf�hren und tippen Sie cmd ein, um die Eingabeaufforderung zu gelangen. 2. Tippen Sie hier folgende Befehle nacheinander ein: Windows 98/Me
del c:\windows\hosts Windows 2000/XP
del /F %systemroot%\system32\drivers\etc\hosts echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts attrib +R %systemroot%\system32\drivers\etc\hosts Tippen Sie nun ipconfig /flushdns ein. Mit diesen Befehlen werden die Seiten-Beschr�nkungen f�r Antivirenhersteller und Microsoft aufgel�st. Frage 13: Mit welchen Mitteln kann ich danach (auch als 9x/Me-Benutzer) den MyDoom-Wurm entfernen?
Antwort 13: Benutzen Sie, wie erw�hnt, ein aktuelles Antiviren-Programm oder laden Sie sich den alternativen Remover von Symantec herunter. Frage 14: Wie kann ich feststellen, ob mein System von diesem Wurm befallen ist?
Antwort 14: Die MyDoom.B-Variante blockiert den Zugriff auf Virenseiten sowie Microsoft.com - Um Ihren Rechner auf Befall von MyDoom.A (auch B) zu �berpr�fen, geben Sie folgendes in die Eingabeaufforderung (Im Startmen� zu finden) ein: 1. cd \ - damit kommen Sie aufs Hauptlaufwerks C:\ bzw. auf das Laufwerk ihrer Windows-Installation. 2. Tippen Sie nun dir shimgapi.dll /a /s ein und warten Sie einen Moment. Wenn die Meldung Datei nicht gefunden erscheint, ist der PC nicht infiziert. Sollte allerdings etwas gefunden worden sein, so haben Sie sich den myDoom.A-Wurm eingefangen. �berpr�fen Sie mit dem Befehl dir ctfmon /a /s, ob myDoom.B auf dem Rechner ist.
Ich hoffe, dass Ihnen diese Seite bei der Entfernung von myDoom helfen konnte. Bedanken m�chte ich mich bei Microsoft, die diese Informationen (auf englisch) zur Verf�gung stellten - diese �bersetzte und erweiterte ich f�r Windows-Tweaks.
| 
