Ja, das kann vorkommen, z. b. wenn es ursprünglich eine html-Mail war. - Dann muss man eben ganz genau hinschauen!

MTT

Oha, wieder was gelernt. Merci.
Bei Mails ( und Links) schau ich immer ganz genau hin
Brain 1.0 wird schließlich auch täglich geupdated genau wie das Antivirenprogramm.

hyrican

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. </font>[/QUOTE]Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat. Ohne topaktuellen Virenwächter ist es dann passiert; im MYDOOM-Fall bemerkst Du das nicht einmal.</font>[/QUOTE]Wieso? nur weil ich ein Mail öffnen wird doch der Anhang noch lange nicht ausgeführt.
Nachtrag: Vorausgesetzt man macht kein HTML-Mail unbedacht auf/falsch auf.
Schaut man sich ein HTML-Mail aber in Plaintext an sieht man ja was drin ist.
Ein Mailer-Daemon ist immer Plain-Text also wenn HTML =&gt; Fake + Gefahr, außerdem siehe unten /Nachtrag Ende
Und außer ich bin selber ein Spammer werde ich es doch gerade noch schaffen zu wissen wem ich ein Mail gesendet habe. Habe ich mich vertippt muß die Mailadresse doch ähnlich sein, wie eine die ich in den letzten Stunden angeschrieben habe.

[ 29. Januar 2004, 08:00: Beitrag editiert von: Shadow ]

Mal eine Frage an die Betroffenen - hat das schon mal jemand gehabt, dass er die shimgapi.dll nicht löschen konnte?

Sie wird vom Virus mitgebracht und steht auch in der Registry drin, löschen konnte ich sie im ersten Gang nicht, da sie in Verwendung war. Ich habe sie aus der Registry gelöscht (über die Suchfunktion aufgespürt damit ich ja nichts vergesse) und neu gestartet und siehe da - es war erneut nicht möglich.

Hat das schon mal jemand gehabt?

Gruss
Jessy

War nach dem Neustart der Registryeintrag nicht mehr da? Theoretisch ist es ja möglich, dass irgendein laufender Prozess den Eintrag wieder eingefügt hat.

ciao

Information "Mydoom.b- Wichtig

Kaspersky schrieb am 28.01.2004
</font><blockquote>Zitat:</font><hr />The worm is activated only if the user opens the archive and launches the infected file by double-clicking on the attachment. The worm then installs itself in the system and starts the replication process.</font>[/QUOTE]F-Secure schreibt heute:
</font><blockquote>Zitat:</font><hr />The worm has the ability of sending itself to already infected computers. It will do so by first finding them through a network scan, where IP addresses will be randomly forged (skipping some invalid ranges). Then a connection attempt is made to port 3127 (opened by previous variant's backdoor), if the machine is found infected then the worm transfers itself and will be executed immediately, thereby updating the infected computers to the new version without the need for the user to receive the worm through e-mail.

Additionally the worm will request the infected computer's hostname through gethostbyname(), resolve its IP and scan for other infected computers in the same range.</font>[/QUOTE]Link: http://www.europe.f-secure.com/v-descs/mydoom_b.shtml

Gruß!
MyThinkTank

Bezüglich Mydoom geistern nun solche Mails durch das Web:

Dear Customer!
At 0 : 34 PST on Wednesday-January 28, 2004,
Microsoft began investigating reports of a variant of a new virus "Mydoom", known as Mydoom.A.
This worm reportedly denies access to some websites, including any Microsoft.com websites. The virus is noticed to entice electronic mail recipients into opening a message that has a file attachment. If the file that attached is opened, virus installs malicious program on the computer user's system and sends itself to some contacts in the user's address book.

Please download the latest patch available from Microsoft.com website or download this digitally signed attachment.


messageCA761668952089
Support Center. SHIRLEY PALLAZZO
PALLAZZO@microsoft.com

Hmmmm, ja und??? Was is damit???

@peso

</font><blockquote>Zitat:</font><hr />or download this digitally signed attachment</font>[/QUOTE]Na, klingelts nun ...?

Gruß!
MyThinkTank

Voll drollig, was die Jungs sich immer wieder einfallen lassen... [img]graemlins/lach.gif[/img]

Allerdings kam dieses Ding ohne Anlage.

Heute erhielt ich eine Anlage mit dazu.
Bin gerade beim Prüfen.

Ok, die Anlage in der Datei ist der TrojanDropper.Win32.Small.
Kaspersky wird ihm ab dem nächsten Update erkennen.

Wusste doch, dass sowas nicht sein kann. [img]graemlins/koch.gif[/img]

Hallo zusammen

Ich hatte "mydoom" vor ca. 2,5 Wochen erhalten und den Anhang nicht ausgeführt. Stattdessen habe ich ihn testweise mit "Anhang lösen" (Lotus Notes Mail) auf meinem PC abgelegt, worauf McAfee (lokal auf dem PC installiert) promt Alarm schlug. Soweit so gut.

Nun möchte ich sicher gehen, dass Mydoom bei mir nicht drauf ist, und dass keine Hintertüre geöffnet wurde.

Der Virenscan mit McAfee (neueste Dat-Files) bescheinigte mir immer einen virenfreien PC. Trotzdem hat unser Notes-Server angebliche Mails von mir (infiziert mit Mydoom) abgefangen (ich erhielt entsprechende Meldungen, ein Bsp. am Schluss dieses Postings).

Die Datei SHIMGAPI.DLL exisitert nicht in meinem Dateisystem. Hingegen ist der Eintrag SHIMGAPI.DLL zweimal in der Registry vorhanden (unter Internet Explorer\Explorer Bars).

- Ist mein PC nun wirklich virenfrei?

- Bedeutet der Eintrag SHIMGAPI.DLL in der Registry, dass der Virus zumindest mal drauf war (kann ich mir aber überhaupt nicht vorstellen, denn das alleinige Abspeichern des Attachments ist ja nicht gleichbedeutend mit dem Ausführen des Attachments).

- Und was ist von den Mydoom-verseuchten Mails zu halten, die ich selber abgesandt haben soll?

Hat jemand einen Rat?

Viele Grüsse

Dieter

Hier noch das Bsp. einer Info, die ich von unserem Mail-Server erhalten habe:
Incident Information:-
Originator: (da stand meine Mail-Adresse...)
Recipients: jack@gr.hp.com
Subject: hi
Date/Time: 05.02.2004 15:02:57
The file attachment document.zip you sent to the recipients listed above was infected with the W32/Mydoom.a@MM virus and was successfully cleaned.

hier gibt es eine anleitung (einige tastatureingaben/ausführen) wie du prüfen kannst ob auf deinem system etwas von mydoom's varianten ist. eventuell weiter nach unten scrollen bis:
Wie Sie feststellen, ob ihr Computer von Mydoom.A, Mydoom.B oder Mydoom.C infiziert ist

bye
tony

</font><blockquote>Zitat:</font><hr />Original erstellt von DeinVater:
Hey, lust an nem wirklich witzigen und spannendem onlinegame mitzumachn?
Es ist wirklich einfach und ziemlich geil
hier der link: cyberthug.
</font>[/QUOTE]nanu...merkwürdig, was soll das posting in diesem thread...

INFO: http://www.cyberthug.de/main.php

Spielprinzip
Der Sinn dieses Spiels ist es, möglichst viele User virtuell zu überfallen, indem man ihnen einen Link zuschickt, bei dessen Aufruf das "Guthaben" des Diebes erhöht und der User als bestohlen gemeldet wird. Ziel ist es, in die Top 10 der Meisterdiebe zu kommen.

Sehr Wichtig: Bitte hört auf in öffentlichen Foren, Chats oder Gästebüchern zu spammen. Das gibt nur unnötigen Ärger, den keiner von uns gebrauchen kann.

[ 16. Februar 2004, 23:36: Beitrag editiert von: tony manero ]