Entdeckt: September 30, 2002
Aktualisiert: February 13, 2007 11:42:00 AM
Auch bekannt als: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Typ: Worm
Infektionslänge: 50.688 Byte
Betroffene Systeme: Windows
CVE-Referenzen: CVE-2001-0154


HINWEIS: Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response am 2. Oktober 2002 diese Bedrohung von Kategorie 4 auf Kategorie 3 herabgestuft.

W32.Bugbear@mm ist ein Massen-Mail-Wurm. Er kann sich auch über gemeinsam genutzte Netzwerkressourcen verbreiten. Zudem kann er Tastendrücke mitprotokollieren und eine sogenannte "Backdoor" (Hintertür) einrichten. Darüber hinaus versucht der Wurm, die Prozesse verschiedener Antivirus- und Firewall-Programme zu terminieren.

Da der Wurm die Netzwerkressourcenarten nicht ordnungsgemäß behandelt und deshalb gemeinsam genutzte Druckerressourcen überflutet, führt dies zum Ausdruck von Datenmüll oder anderen Störungen des normalen Betriebs.

Er wurde in der Programmiersprache Microsoft Visual C++ 6 geschrieben und mit UPX v0.76.1-1.22 komprimiert.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version September 30, 2002
  • Latest Rapid Release version November 26, 2017 Änderung 020
  • Erste Daily Certified-Version September 30, 2002
  • Neueste Daily Certified-Version November 27, 2017 Änderung 001
  • Initial Weekly Certified release date September 30, 2002

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Dokument verfasst von: Yana Liu

Entdeckt: September 30, 2002
Aktualisiert: February 13, 2007 11:42:00 AM
Auch bekannt als: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Typ: Worm
Infektionslänge: 50.688 Byte
Betroffene Systeme: Windows
CVE-Referenzen: CVE-2001-0154


Bei Ausführung geht W32.Bugbear@mm folgendermaßen vor:

Er kopiert sich selbst als %system%\????.exe, wobei ? vom Wurm gewählte Buchstaben darstellt.

HINWEIS : %system% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

Er kopiert sich selbst in den Ordner "\Autostart" als ????.exe, wobei ? vom Wurm gewählte Buchstaben darstellt. Beispiel:

  • Er könnte sich bei Ausführung auf einem Windows 95/98/Me-System als C:\Windows\Startmenü\Programme\Autostart\Cuu.exe kopieren.
  • Er könnte sich bei Ausführung auf einem Windows NT/2000/XP-System als C:\Dokumente und Einstellungen\<Aktueller Benutzername>\Startmenü\Programme\Autostart\Cti.exe kopieren.

Er erstellt drei verschlüsselte .dll-Dateien im Ordner %system% sowie zwei verschlüsselte .dat-Dateien im Ordner %windir%. Eine der Dateien enthält ein Kennwort, das zur Verbindungsaufnahme mit der Hintertürkomponente erforderlich ist. Eine andere der erstellten .dll-Dateien dient dem Wurm zur Installation von Hook-Prozeduren in einer Hook-Kette, um das System auf Tastatureingaben zu überwachen. Die Tastatur-Hook-Prozeduren verarbeiten die Eingaben und geben die Hook-Information an die nächste Hook-Prozedur in der aktuellen Hook-Kette weiter. Die installierte .dll-Datei hat eine Größe von 5,632 Byte und wird von Symantec Antivirus-Produkten als PWS.Hooker.Trojan erkannt. Die folgende Grafik verdeutlicht den implementierten Mechanismus:



Die abgefangenen Tastendrücke können Anmeldungsdaten, Passwörter, Kreditkartennummern und ähnliches sein. Auch wenn diese Informationen dann in einem sicheren Kanal in eine verschlüsselte Form umgewandelt werden, sind die abgefangenen Tastendrücke dennoch verfügbar und können dem Hacker zugänglich gemacht werden.

Dateien, die von Symantec Antivirus-Produkten nicht erkannt werden, sind harmlos. Der Wurm verwendet sie, um interne Konfigurationsinformationen in verschlüsselter Form zu speichern. Diese Dateien sollten manuell gelöscht werden. Beispielsweise könnte der Wurm die folgenden Dateien anlegen:
  • %system%\Iccyoa.dll
  • %system%\Lgguqaa.dll
  • %system%\Roomuaa.dll
  • %windir%\Okkqsa.dat
  • %windir%\Ussiwa.dat

HINWEISE : %windir% ist eine Variable. Der Wurm findet den Ordner "\Windows" (standardmäßig ist dies C:\Windows oder C:\Winnt) und legt dort Dateien an.

Er erstellt den Wert

<beliebige Buchstaben> <Dateiname des Wurms>

im Registrierungsschlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HINWEIS : Normalerweise löscht das Betriebssystem Werte aus diesem Schlüssel, sobald die darin genannten Programme beim Systemstart gestartet werden. In diesem Fall erzeugt der Wurm den Wert jedoch wieder, damit er bei jedem Windows-Start ebenfalls gestartet wird.

Der Wurm legt hauptsächlich vier Threads an. Der erste aktiviert seinen Auftrag alle 30 Sekunden, um die folgenden Prozesse an der Ausführung zu hindern:
  • Zonealarm.exe
  • Wfindv32.exe
  • Webscanx.exe
  • Vsstat.exe
  • Vshwin32.exe
  • Vsecomr.exe
  • Vscan40.exe
  • Vettray.exe
  • Vet95.exe
  • Tds2-Nt.exe
  • Tds2-98.exe
  • Tca.exe
  • Tbscan.exe
  • Sweep95.exe
  • Sphinx.exe
  • Smc.exe
  • Serv95.exe
  • Scrscan.exe
  • Scanpm.exe
  • Scan95.exe
  • Scan32.exe
  • Safeweb.exe
  • Rescue.exe
  • Rav7win.exe
  • Rav7.exe
  • Persfw.exe
  • Pcfwallicon.exe
  • Pccwin98.exe
  • Pavw.exe
  • Pavsched.exe
  • Pavcl.exe
  • Padmin.exe
  • Outpost.exe
  • Nvc95.exe
  • Nupgrade.exe
  • Normist.exe
  • Nmain.exe
  • Nisum.exe
  • Navwnt.exe
  • Navw32.exe
  • Navnt.exe
  • Navlu32.exe
  • Navapw32.exe
  • N32scanw.exe
  • Mpftray.exe
  • Moolive.exe
  • Luall.exe
  • Lookout.exe
  • Lockdown2000.exe
  • Jedi.exe
  • Iomon98.exe
  • Iface.exe
  • Icsuppnt.exe
  • Icsupp95.exe
  • Icmon.exe
  • Icloadnt.exe
  • Icload95.exe
  • Ibmavsp.exe
  • Ibmasn.exe
  • Iamserv.exe
  • Iamapp.exe
  • Frw.exe
  • Fprot.exe
  • Fp-Win.exe
  • Findviru.exe
  • F-Stopw.exe
  • F-Prot95.exe
  • F-Prot.exe
  • F-Agnt95.exe
  • Espwatch.exe
  • Esafe.exe
  • Ecengine.exe
  • Dvp95_0.exe
  • Dvp95.exe
  • Cleaner3.exe
  • Cleaner.exe
  • Claw95cf.exe
  • Claw95.exe
  • Cfinet32.exe
  • Cfinet.exe
  • Cfiaudit.exe
  • Cfiadmin.exe
  • Blackice.exe
  • Blackd.exe
  • Avwupd32.exe
  • Avwin95.exe
  • Avsched32.exe
  • Avpupd.exe
  • Avptc32.exe
  • Avpm.exe
  • Avpdos32.exe
  • Avpcc.exe
  • Avp32.exe
  • Avp.exe
  • Avnt.exe
  • Avkserv.exe
  • Avgctrl.exe
  • Ave32.exe
  • Avconsol.exe
  • Autodown.exe
  • Apvxdwin.exe
  • Anti-Trojan.exe
  • Ackwin32.exe
  • _Avpm.exe
  • _Avpcc.exe
  • _Avp32.exe

Der Wurm bestimmt, welche Betriebssystemversion läuft, und erfüllt seinen Auftrag durch Verwendung verschiedener Routinen.

Der zweite Thread hat den massenhaften Mail-Versand zur Aufgabe. Er sucht nach E-Mail-Adressen im aktuellen Posteingang sowie in Dateien mit folgenden Erweiterungen:
  • .mmf
  • .nch
  • .mbx
  • .eml
  • .tbb
  • .dbx
  • .ocs

Er ruft die E-Mail-Adresse und den SMPT-Server des aktuellen Benutzers aus folgendem Registrierungsschlüssel ab:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Über seine eigene SMTP Engine sendet er sich dann an alle gefundenen E-Mail-Adressen. Der Wurm kann zudem aus gesammelten Informationen vom infizierten Computer Adressen für das Absenderfeld konstruieren. Beispielsweise könnte der Wurm die Adressen a@a.com, b@b.com und c@c.com finden. Dann könnte der Wurm eine E-Mail an a@a.com erstellen und mit einer gefälschten Absenderadresse den Anschein erwecken, die Mail käme von c@b.com. Bei der vorgetäuschten Adresse kann es sich auch um eine vom Wurm auf dem System gefundene gültige E-Mail-Adresse handeln.

Neben den unten aufgeführten Themen kann der Wurm eine neue Nachricht auch als Antwort oder Weiterleitung einer auf dem infizierten System vorhandenen Nachricht erstellen.
  • Greets!
  • Get 8 FREE issues - no risk!
  • Hi!
  • Your News Alert
  • $150 FREE Bonus!
  • Re:
  • Your Gift
  • New bonus in your cash account
  • Tools For Your Online Business
  • Daily Email Reminder
  • News
  • free shipping!
  • its easy
  • Warning!
  • SCAM alert!!!
  • Sponsors needed
  • new reading
  • CALL FOR INFORMATION!
  • 25 merchants and rising
  • Cows
  • My eBay ads
  • empty account
  • Market Update Report
  • click on this!
  • fantastic
  • wow!
  • bad news
  • Lost & Found
  • New Contests
  • Today Only
  • Get a FREE gift!
  • Membership Confirmation
  • Report
  • Please Help...
  • Stats
  • I need help about script!!!
  • Interesting...
  • Introduction
  • various
  • Announcement
  • history screen
  • Correction of errors
  • Just a reminder
  • Payment notices
  • hmm..
  • update
  • Hello!

Der Wurm liest den Inhalt des Werts Personal im Registrierungsschlüssel

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

aus und listet die dort gespeicherten Dateien auf (standardmäßig in "C:\Eigene Dateien" unter Windows 95/98/Me, C:\WINNT\Profiles\<Benutzername>\Personal unter Windows NT und "C:\Dokumente und Einstellungen\<Benutzername>\Eigene Dateien" unter Windows 2000/XP). Die so ermittelten Dateinamen werden unter Umständen herangezogen, um den Namen der angehängten Virendatei zusammenzustellen. Zusätzlich kann der Dateiname aus einem der folgenden Wörter bestehen:
  • readme
  • Setup
  • Card
  • Docs
  • news
  • image
  • images
  • pics
  • resume
  • photo
  • video
  • music
  • song
  • data

Die Erweiterung des Dateinamens wird aus folgender Liste gewählt:
  • .scr
  • .pif
  • .exe

Falls der Wurm einen Dateinamen aus dem Ordner "Eigene Dateien" verwendet hatte, ändert er den Inhaltstyp der Nachricht der Dateierweiterung entsprechend. Folgende Erweiterungen werden analysiert:
  • .reg
  • .ini
  • .bat
  • .diz
  • .txt
  • .cpp
  • .html
  • .htm
  • .jpeg
  • .jpg
  • .gif
  • .cpl
  • .dll
  • .vxd
  • .sys
  • .com
  • .exe
  • .bmp

Der Inhaltstyp der zusammengestellten Nachricht wird in folgende Formate geändert:
  • text/html
  • text/plain
  • application/octet-stream
  • image/jpeg
  • image/gif

Die E-Mail-Nachricht kann mit oder ohne Ausnutzen der Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment zusammengestellt werden, um auf einem anfälligen System automatisch ausgeführt zu werden. Bitte begeben Sie sich zu http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp für weitere (englischsprachige) Informationen.

Beim dritten vom Wurm erzeugten Thread handelt es sich um eine Backdoor- (oder Hintertür-) Routine. Er öffnet Port 36794 und wartet auf den Empfang von Befehlen des Hackers. Die Befehle gestatten dem Wurm folgende Aktivitäten:
  • Das Löschen von Dateien.
  • Das Beenden von Prozessen.
  • Das Auflisten von Prozessen und die Übermittlung der Liste an den Hacker.
  • Das Kopieren von Dateien.
  • Das Starten von Prozessen.
  • Das Auflisten von Dateien und die Übermittlung der Liste an den Hacker.
  • Die Übermittlung abgefangener Tastendrücke an den Hacker (in verschlüsselter Form). Dadurch können vertrauliche Informationen, die auf einem Computer eingegeben wurden (Kennwörter, Anmeldedaten usw.) in falsche Hände gelangen.
  • Die Übermittlung von Systeminformationen an den Hacker in der folgenden Form:
    • Benutzer: <Benutzername>
    • Prozessor: <verwendeter Prozessortyp >
    • Windows-Version: <Windows-Version, Build-Nummer>
    • Speicherinformationen: <verfügbarer Speicher usw.>
    • Lokale Laufwerke, deren Typen (z.B. Fest/Wechsel/RAM-Disk/CD-ROM/Portabel) sowie deren physische Charakteristiken.
  • Das Auflisten von Netzwerkressourcen samt deren Typen und die Übermittlung der Liste an den Hacker.

Handelt es sich beim Betriebssystem um Windows 95/98/Me, versucht der Wurm sich Zugang zum Passwort-Cache auf dem lokalen Computer zu verschaffen. Die dort zwischengespeicherten Passwörter umfassen Modem- und DFÜ-Passwörter, URL-Passwörter, Passwörter gemeinsamer Ressourcen und andere. Dies wird durch eine offiziell nicht dokumentierte Funktion -- WNetEnumCachedPasswords -- erreicht, die nur in den Windows 95/98/Me-Versionen der Datei "Mpr.dll" existiert.

Die Befehle für die Hintertürkomponente des Wurms verlangen ein Authentifizierungskennwort, gefolgt vom Befehl und gegebenenfalls Befehlsparametern. Beispielsweise benötigt der Befehl "i" keine Parameter. Der folgende Antworttext ist ein Beispiel für die Anwendung des Befehls "i":

Server: '<ISCHIA>'
User: 'Ischia'
Prozessor: I586
Win32 on Windows 95 v4.10 build 1998
 -  
Memory: 127M in use: 50%  Page file: 1920M free: 1878M
C:\ - Fixed Sec/Clust: 64 Byts/Sec: 512,  Bytes free: 2147155968/2147155968
D:\ - CD-ROM

Network:
unknow cont  (null) (Microsoft Network)
unknow cont  (null) (Microsoft Family Logon)

Der Befehl "h" enthält einen Parameter, der eine Port-Nummer ist. Dieser Befehl veranlasst die Hintertürkomponente, diesen Port zu öffnen und auf übertragene Befehle in Form von "HTTP Get"-Anfragen abzuhören. Die Anfragen werden analysiert und verarbeitet und die Ergebnisse in Form von formatierten HTML-Seiten zurückgeliefert. Hackern wird so auf bequeme Weise die Durchsicht der Ressourcen des betroffenen Computers ermöglicht. Zum Beispiel kann der betroffene Computer "Ischia" vom entfernten Standort aus wie hier gezeigt eingesehen werden:





Vom entfernten Standort aus können Dateien auf den befallenen Computer übertragen werden. Beim Anklicken einer Textdatei erscheint dessen Inhalt in den Browser-Fenstern. Bei anderen Dateien bietet der Browser das Herunterladen und anschließende Öffnen in einer verknüpften Anwendung an.

Der vierte Wurm-Thread vervielfältigt sich über ein Netzwerk. Dazu listet der Wurm sämtliche Ressourcen im Netzwerk auf. Wenn er offene, gemeinsam genutzte Administratorkonten aufspürt, versucht er sich in den Autostart-Ordner des entfernten Computers zu kopieren. Dies führt zur Infizierung der betroffenen Netzwerkcomputer, sobald sie neu gestartet werden.

Da der Wurm die Netzwerkressourcenarten nicht ordnungsgemäß behandelt und deshalb gemeinsam genutzte Druckerressourcen überflutet, führt dies zum Ausdruck von Datenmüll oder anderen Störungen des normalen Betriebs.

Empfehlungen

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Dokument verfasst von: Yana Liu

Entdeckt: September 30, 2002
Aktualisiert: February 13, 2007 11:42:00 AM
Auch bekannt als: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Typ: Worm
Infektionslänge: 50.688 Byte
Betroffene Systeme: Windows
CVE-Referenzen: CVE-2001-0154



WICHTIG -- BITTE ZUERST LESEN:

  • Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben (wie z. B. DSL oder Kabelmodem), müssen Sie die Verbindungen zum Netzwerk und zum Internet unterbrechen. Heben Sie die Dateifreigabe auf oder schützen Sie die Dateien mit einem Passwort (bzw. aktivieren Sie deren Schreibschutz), bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm durch die Verwendung gemeinsam genutzter Ordner auf Netzwerkcomputern verbreitet, empfehlen wir die gemeinsame Nutzung mit Schreib- und Kennwortschutz zu verwenden, damit der Wurm den Computer nicht erneut infizieren kann. Anweisungen hierfür finden Sie in der Dokumentation von Windows oder im Dokument Wie werden gemeinsam genutzte Ordner für maximalen Netzwerkschutz konfiguriert?.
  • Wenn Sie eine Infizierung im Netzwerk bekämpfen, stellen Sie zuallererst sicher, dass gemeinsam genutzte Ressourcen deaktiviert oder schreibgeschützt sind.



Entfernung mit dem W32.Bugbear@mm-Entfernungsprogramm
Dies ist die einfachste Möglichkeit, diese Gefahr zu beseitigen. Symantec Security Response hat ein Entfernungsprogramm für W32.Bugbear@mm erstellt. Klicken Sie bitte hier , um das Programm zu beziehen.

Manuelle Entfernung
Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen.

HINWEIS: Diese Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec-Antivirus-Produkte einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
  1. Aktualisieren Sie Ihre Virusdefinitionen.
  2. Starten Sie den Computer im abgesicherten Modus neu.
  3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als W32.Bugbear@mm erkannt werden.
  4. Löschen Sie den vom Wurm eingefügten Wert aus folgendem Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Informationen hierzu finden Sie in den folgenden Anweisungen.

So aktualisieren Sie die Virusdefinitionen:

HINWEIS: Wenn der Wurm gerade auf Ihrem Computer aktiv ist, werden Sie LiveUpdate nicht ausführen können. In diesem Fall müssen Sie die Definitionen mit dem Intelligent Updater herunterladen.

Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern bereitgestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
  • Über die Ausführung von LiveUpdate ist es am einfachsten, Virusdefinitionen zu beziehen. Diese Virusdefinitionen werden einmal wöchentlich auf die LiveUpdate-Server aufgespielt (üblicherweise mittwochs), es sei denn ein größerer Virusausbruch liegt vor. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung zur Verfügung stehen, sehen Sie sich die Zeile Virusdefinitionen (LiveUpdate) oben in dieser Beschreibung an.
  • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updater werden an Geschäftstagen (Montag bis Freitag) veröffentlicht. Sie müssen von der Symantec Security Response-Internetseite heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung zur Verfügung stehen, sehen Sie sich die Zeile Virusdefinitionen (Intelligent Updater) oben in dieser Beschreibung an.

    Sie erhalten die Intelligent Updater-Virusdefinitionen hier. Für ausführliche Anweisungen bezüglich des Herunterladens und der Installation von Intelligent Updater-Virusdefinitionen von der Symantec Security Response-Webseite klicken Sie bitte hier.

So starten Sie den Computer im abgesicherten Modus neu:
Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Für weitere Anweisungen hierzu beachten Sie bitte das Dokument Wie wird der Computer im abgesicherten Modus gestartet? .

So überprüfen Sie den Computer und löschen infizierte Dateien:
  1. Starten Sie Ihr Antivirusprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien eingerichtet ist.
  2. Führen Sie eine vollständige Systemprüfung durch.
  3. Werden irgendwelche Dateien als mit W32.Bugbear@mm infiziert gemeldet, schreiben Sie den Dateinamen auf und klicken Sie dann auf "Löschen".

So entfernen Sie den Wert aus der Registrierung:

ACHTUNG: Wir empfehlen Ihnen nachdrücklich, dass Sie eine Sicherungskopie der Registrierung anlegen, bevor Sie Änderungen in ihr vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen , bevor Sie fortfahren.
  1. Klicken Sie auf "Start" und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
  2. Geben Sie regedit ein und klicken Sie dann auf "OK". Der Registrierungseditor wird geöffnet.
  3. Suchen Sie diesen Schlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  4. Suchen Sie im rechten Teilfenster die Zeile, die sich auf die Datei bezieht, die als mit W32.Bugbear@mm infiziert gemeldet wurde, und löschen Sie die Zeile.
  5. Schließen Sie den Registrierungseditor.

Dokument verfasst von: Yana Liu