Erkannt: August 09, 2004
Aktualisiert: February 13, 2007 12:28:41 PM
Auch bekannt als: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Typ: Worm
Betroffene Systeme: Windows


W32.Beagle.AO@mm ist ein Massen-Mail-Wurm, der seine eigene SMTP-Engine zur Verbreitung verwendet. Der E-Mail-Anhang ist ein "Downloader", ähnlich der "Mitglieder"-Trojanerfamilie, der den Wurm von einer externen Quelle auf den Computer herunterlädt.

Der Wurm hat außerdem eine Hintertür-Funktion und öffnet den UDP-Port 80 sowie den TCP-Port 80.


Hinweis: Virusdefinitionen der Version 60809aj (erweiterte Version 09.08.2004, rev. 36) oder höher erkennen diese Bedrohung. Die LiveUpdate-Definitionen, die entsprechenden Schutz enthalten, sind Definitionen der Version 60809ak (08.09.2004, rev. 37).




Englische Version dieses Dokuments

Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.


Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


Termine für Antivirus-Schutz

  • Erste Rapid Release-Version August 09, 2004
  • Latest Rapid Release version September 28, 2017 Änderung 037
  • Erste Daily Certified-Version August 09, 2004
  • Latest Daily Certified version September 29, 2017 Änderung 001
  • Initial Weekly Certified release date August 09, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Erkannt: August 09, 2004
Aktualisiert: February 13, 2007 12:28:41 PM
Auch bekannt als: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Typ: Worm
Betroffene Systeme: Windows


Bei Ausführung geht W32.Beagle.AO@mm folgendermaßen vor:

  1. Er kopiert sich selbst nach %System%\WINdirect.exe.


    Hinweis: %System% ist eine Variable. Der Trojaner sucht den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

  2. Er fügt den Wert

    "win_upd2.exe"="%System%\WINdirect.exe"

    den folgenden Registrierungsschlüsseln hinzu:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird der Wurm ausgeführt, sobald Sie Windows neu starten.

  3. Er erstellt die Datei %System%\_dll.exe und fügt diese als Thread in einen Prozess mit dem Fensterklassennamen "Shell_TrayWnd" ein. Wenn dies erfolgreich ist, wird diese Bedrohung weiterhin im infizierten Prozess ausgeführt. Alle im nächsten Schritt beschriebenen Aktionen scheinen durch den infizierten Prozess ausgeführt zu werden, und der Trojaner wird beim Anzeigen der Liste der Prozesse im Task-Manager von Windows nicht angezeigt.

  4. Er beendet die folgenden Prozesse:
    • ATUPDATER.EXE
    • ATUPDATER.EXE
    • AUPDATE.EXE
    • AUTODOWN.EXE
    • AUTOTRACE.EXE
    • AUTOUPDATE.EXE
    • AVPUPD.EXE
    • AVWUPD32.EXE
    • AVXQUAR.EXE
    • AVXQUAR.EXE
    • CFIAUDIT.EXE
    • DRWEBUPW.EXE
    • ESCANH95.EXE
    • ESCANHNT.EXE
    • FIREWALL.EXE
    • ICSSUPPNT.EXE
    • ICSUPP95.EXE
    • LUALL.EXE
    • MCUPDATE.EXE
    • NUPGRADE.EXE
    • NUPGRADE.EXE
    • OUTPOST.EXE
    • UPDATE.EXE
    • sys_xp.exe
    • sysxp.exe
    • winxp.exe

  5. Er versucht, Dateien von den folgenden Webseiten als %Windir%\~.exe herunterzuladen und anschließend auszuführen:
    • 134.102.228.45
    • 196.12.49.27
    • 213.188.129.72
    • 64.62.172.118
    • abi-2004.org
    • advm1.gm.fh-koeln.de
    • alexey.pioneers.com.ru
    • alfinternational.ru
    • aus-Zeit.com
    • binn.ru
    • burn2k.ipupdater.com
    • carabi.ru
    • catalog.zelnet.ru
    • cavalierland.5u.com
    • celine.artics.ru
    • change.east.ru
    • colleen.ai.net
    • controltechniques.ru
    • dev.tikls.net
    • diablo.homelinux.com
    • dodgetheatre.com
    • dozenten.f1.fhtw-berlin.de
    • emnesty.w.interia.pl
    • emnezz.e-mania.pl
    • euroviolence.com
    • evadia.ru
    • fairy.dataforce.net
    • financial.washingtonpost.com
    • free.bestialityhost.com
    • gutemine.wu-wien.ac.at
    • herzog.cs.uni-magdeburg.de
    • home.profootball.ru
    • host.businessweek.com
    • host.wallstreetcity.com
    • host23.ipowerweb.com
    • hsr.zhp.org.pl
    • infokom.pl
    • kafka.punkt.pl
    • kooltokyo.ru
    • kypexin.ru
    • lars-s.privat.t-online.de
    • lottery.h11.ru
    • matzlinger.com
    • megion.ru
    • mmag.ru
    • molinero-berlin.de
    • momentum.ru
    • niebo.net
    • nominal.kaliningrad.ru
    • omegat.ru
    • ourcj.com
    • packages.debian.or.jp
    • pb195.slupsk.sdi.tpnet.pl
    • photo.gornet.ru
    • pixel.co.il
    • pocono.ru
    • polobeer.de
    • porno-mania.net
    • protek.ru
    • przeglad-tygodnik.pl
    • przeglad-tygodnik.pl
    • quotes.barchart.com
    • r2626r.de
    • rausis.latnet.lv
    • relay.great.ru
    • republika.pl
    • sacred.ru
    • sbuilder.ru
    • sec.polbox.pl
    • shadkhan.ru
    • silesianet.pl
    • silesianet.pl
    • slavarik.ru
    • sovea.de
    • spbbook.ru
    • strony.wp.pl
    • szm.sk
    • tarkosale.net
    • tdi-router.opola.pl
    • terramail.pl
    • thorpedo.us
    • traveldeals.sidestep.com
    • ultimate-best-hgh.0my.net
    • vip.pnet.pl
    • werel1.web-gratis.net
    • www.5100.ru
    • www.PlayGround.ru
    • www.aannemers-nederland.nl
    • www.abcdesign.ru
    • www.airnav.com
    • www.aktor.ru
    • www.ankil.ru
    • www.antykoncepcja.net
    • www.aphel.de
    • www.artics.ru
    • www.astoria-stuttgart.de
    • www.avant.ru
    • www.baltmatours.com
    • www.baltnet.ru
    • www.biratnagarmun.org.np
    • www.biysk.ru
    • www.boglen.com
    • www.bridesinrussia.com
    • www.busheron.ru
    • www.ccbootcamp.com
    • www.chat4adult.com
    • www.chelny.ru
    • www.ciachoo.pl
    • www.dami.com.pl
    • www.ddosers.net
    • www.dicto.ru
    • www.dilver.ru
    • www.dsmedia.ru
    • www.dynex.ru
    • www.elemental.ru
    • www.elit-line.ru
    • www.epski.gr
    • www.forbes.com
    • www.free-time.ru
    • www.gamma.vyborg.ru
    • www.gantke-net.com
    • www.gin.ru
    • www.glass-master.ru
    • www.glavriba.ru
    • www.gradinter.ru
    • www.hack-gegen-rechts.com
    • www.hbz-nrw.de
    • www.hgr.de
    • www.hgrstrailer.com
    • www.ifa-guide.co.uk
    • www.iluminati.kicks-ass.net
    • www.infognt.com
    • www.intellect.lvc
    • www.interfoodtd.ru
    • www.interrybflot.ru
    • www.inversorlatino.com
    • www.jewishgen.org
    • www.k2kapital.com
    • www.kefaloniaresorts.com
    • www.lamatec.com
    • www.landofcash.net
    • www.laserbuild.ru
    • www.math.kobe-u.ac.jp
    • www.mcschnaeppchen.com
    • www.mdmedia.org
    • www.met.pl
    • www.metacenter.ru
    • www.milm.ru
    • www.myrtoscorp.com
    • www.nefkom.net
    • www.neostrada.pl
    • www.neprifan.ru
    • www.netradar.com
    • www.no-abi2003.de
    • www.oldtownradio.com
    • www.omnicom.ru
    • www.oshweb.com
    • www.pakwerk.ru
    • www.perfectgirls.net
    • www.perfectjewel.com
    • www.peterstar.ru
    • www.pgipearls.com
    • www.phg.pl
    • www.porsa.ru
    • www.porta.de
    • www.rafani.cz
    • www.rastt.ru
    • www.republika.pl
    • www.republika.pl
    • www.rollenspielzirkel.de
    • www.rubikon.pl
    • www.rumbgeo.ru
    • www.rweb.ru
    • www.scli.ru
    • www.sdsauto.ru
    • www.sensi.com
    • www.silesianet.pl
    • www.sjgreatdeals.com
    • www.sposob.ru
    • www.strefa.pl
    • www.tanzen-in-sh.de
    • www.taom-clan.de
    • www.tayles.com
    • www.teatr-estrada.ru
    • www.teleline.ru
    • www.thepositivesideofsports.com
    • www.timelessimages.com
    • www.tuhart.net
    • www.vconsole.net
    • www.vendex.ru
    • www.virtmemb.com
    • www.vivamedia.ru
    • www.vrack.net
    • www.wapf.com
    • www.webpark.pl
    • www.webronet.com
    • www.webzdarma.cz
    • www.yarcity.ru
    • www.youbuynow.com
    • www.zeiss.ru
    • www.zelnet.ru
    • www.zhp.gdynia.pl
    • wynnsjammer.proboards18.com
    • yaguark.h10.ru


      Hinweis: %Windir% ist eine Variable. Der Trojaner sucht den Windows-Installationsordner und speichert dort die heruntergeladenen Dateien. In der Regel ist dies C:\Windows oder C:\Winnt.

  6. Er erstellt die folgenden sieben Mutexe, die die Ausführung mancher Varianten von W32.Netsky@mm unterbinden:
    • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
    • 'D'r'o'p'p'e'd'S'k'y'N'e't'
    • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
    • [SkyNet.cz]SystemsMutex
    • AdmSkynetJklS003
    • ____--->>>>U<<<<--____
    • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

  7. Er erstellt die folgenden Dateien:
    • %System%\windll.exe.
    • %System%\windll.exeopen (Eine Kopie des Wurms mit willkürlich angehängten Daten)
    • %System%\windll.exeopenopen (Eine Kopie des Wurms mit willkürlich angehängten Daten)
    • %System%\re_file.exe

  8. Er fügt den Wert

    "erthgdr"="%System%\windll.exe"

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  9. Er löscht alle Werte, die die folgenden Zeichenfolgen enthalten:
    • "9XHtProtect"
    • "Antivirus"
    • "EasyAV"
    • "FirewallSvr"
    • "HtProtect"
    • "ICQ Net"
    • "ICQNet"
    • "Jammer2nd"
    • "KasperskyAVEng"
    • "MsInfo"
    • "My AV"
    • "NetDy"
    • "Norton Antivirus AV"
    • "PandaAVEngine"
    • "SkynetsRevenge"
    • "Special Firewall Service"
    • "SysMonXP"
    • "Tiny AV"
    • "Zone Labs Client Ex"
    • "service"

      aus den folgenden Registrierungsschlüsseln:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  10. Er versucht, Kopien von sich selbst in einem Ordner zu erstellen, der die Zeichenfolge "shar" enthält. Diese Dateien können unter den folgenden Dateinamen gespeichert werden:
    • Microsoft Office 2003 Crack, Working!.exe
    • Microsoft Windows XP, WinXP Crack, working Keygen.exe
    • Microsoft Office XP working Crack, Keygen.exe
    • Porno, sex, oral, anal cool, awesome!!.exe
    • Porno Screensaver.scr
    • Serials.txt.exe
    • KAV 5.0
    • Kaspersky Antivirus 5.0
    • Porno pics arhive, xxx.exe
    • Windows Sourcecode update.doc.exe
    • Ahead Nero 7.exe
    • Windown Longhorn Beta Leak.exe
    • Opera 8 New!.exe
    • XXX hardcore images.exe
    • WinAmp 6 New!.exe
    • WinAmp 5 Pro Keygen Crack Update.exe
    • Adobe Photoshop 9 full.exe
    • Matrix 3 Revolution English Subtitles.exe
    • ACDSee 9.exe

  11. Er durchsucht Dateien mit den folgenden Dateierweiterungen nach E-Mail-Adressen:
    • .adb
    • .asp
    • .cfg
    • .cgi
    • .dbx
    • .dhtm
    • .eml
    • .htm
    • .jsp
    • .mbx
    • .mdx
    • .mht
    • .mmf
    • .msg
    • .nch
    • .ods
    • .oft
    • .php
    • .pl
    • .sht
    • .shtm
    • .stm
    • .tbb
    • .txt
    • .uin
    • .wab
    • .wsh
    • .xls
    • .xml

  12. Er verwendet eine eigene SMTP-Engine, um E-Mails an die im obigen Schritt gefundenen E-Mail-Adressen zu senden.

    Die E-Mail kann folgende Merkmale haben:

    Von: <Gefälscht>

    Betreff: <leer>

    Nachrichtentext: New price

    Anhang: (Eine der folgenden Zeilen)
    • 08_price.zip
    • new__price.zip
    • new_price.zip
    • newprice.zip
    • price.zip
    • price2.zip
    • price_08.zip
    • price_new.zip


      Hinweis: Die .zip-Datei enthält die Datei Price.html sowie eine Programmdatei mit demselben Namen wie die .zip-Datei. Dies ist die Programmdatei, die die Mailer-Komponente herunterlädt. Der Code enthält einen Mechanismus, um die .zip-Datei mit einem Kennwort zu schützen. Aufgrund von Fehlern im Code funktioniert dies jedoch nicht.


  13. Der Wurm sendet keine E-Mails an Adressen, die die folgenden Zeichenfolgen enthalten:
    • @avp.
    • @foo
    • @iana
    • @messagelab
    • @microsoft
    • abuse
    • admin
    • anyone@
    • bsd
    • bugs@
    • cafee
    • certific
    • contract@
    • feste
    • free-av
    • f-secur
    • gold-certs@
    • google
    • help@
    • icrosoft
    • info@
    • kasp
    • linux
    • listserv
    • local
    • news
    • nobody@
    • noone@
    • noreply
    • ntivi
    • panda
    • pgp
    • postmaster@
    • rating@
    • root@
    • samples
    • sopho
    • spam
    • support
    • unix
    • update
    • winrar
    • winzip

  14. Er öffnet eine Hintertür auf dem TCP-Port 80 und dem UDP-Port 80. Dadurch kann der infizierte Computer als E-Mail-Relay verwendet werden.

  15. Er erstellt den folgenden Registrierungsschlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n


5400er-Serie von Symantec Gateway Security 2.0
5300er-Serie von Symantec Gateway Security 1.0
  • Virenschutzkomponente: Es ist eine Aktualisierung für die Symantec Gateway Security AntiVirus-Engine verfügbar, die Ihr System vor dem Wurm W32.Beagle.AO@mm schützt. Benutzern der 5000er-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
  • Vollständige Anwendungsinspektions-Firewall-Komponente: Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Beagle.AO@mm, indem Angreifern der Zugriff auf den TCP-Port 80 (die Hintertür) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien nicht so geändert wurden, dass eingehender UDP/80-Verkehr zugelassen wird. Außerdem sollten Administratoren sicherstellen, dass eingehender TCP/80-Verkehr auf ihre Webserver beschränkt ist.

    Bei der Konfiguration über den Policy Wizard blockiert die auf dem Sicherheits-Gateway erstellte SMTP-Regel infizierte Systeme so, dass keine E-Mail direkt in das Internet gesendet werden kann.

Symantec Enterprise Firewall 8.0
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Beagle.AO@mm, indem Angreifern der Zugriff auf den TCP-Port 80 (die Hintertür) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien nicht so geändert wurden, dass eingehender UDP/80-Verkehr zugelassen wird. Außerdem sollten Administratoren sicherstellen, dass eingehender TCP/80-Verkehr auf ihre Webserver beschränkt ist.

Bei der Konfiguration über den Policy Wizard blockiert die auf dem Sicherheits-Gateway erstellte SMTP-Regel infizierte Systeme so, dass keine E-Mail direkt in das Internet gesendet werden kann.

Symantec Enterprise Firewall 7.0.x
Symantec VelociRaptor 1.5
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Beagle.AO@mm, indem Angreifern der Zugriff auf den TCP-Port 80 (die Hintertür) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien nicht so geändert wurden, dass eingehender UDP/80-Verkehr zugelassen wird. Außerdem sollten Administratoren sicherstellen, dass eingehender TCP/80-Verkehr auf ihre Webserver beschränkt ist.

Bei der Konfiguration über den SMTP Wizard mit den Standardeinstellungen blockiert die auf dem Sicherheits-Gateway erstellte SMTP-Regel infizierte Systeme so, dass keine E-Mail direkt in das Internet gesendet werden kann.

4400er-Serie von Symantec Clientless VPN Gateway
Symantec Clientless VPN Gateway v5.0 wird durch diese Bedrohung nicht beeinträchtigt. Um das Risiko einer weiteren Verbreitung zu reduzieren, sollten Sie eine Regel konfigurieren, die lediglich den Mail-Zugriff von authentifizierten Remote-Benutzern auf Ihren internen Mail-Server zulässt.

300er-Serie von Symantec Gateway Security
Die vollständige Inspektions-Firewall-Technologie von Symantec verhindert standardmäßig, dass Angreifer auf den UDP-Port 80 und den TCP-Port 80 (die Hintertüren) eines infizierten Computers zugreifen können. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien nicht so geändert wurden, dass eingehender UDP/80-Verkehr zugelassen wird. Außerdem sollten Administratoren sicherstellen, dass eingehender TCP/80-Verkehr möglichst auf ihre Webserver beschränkt ist. Um Wir empfehlen außerdem, die AVpe-Funktion der 300er-Serie von SGS zu verwenden, damit sichergestellt ist, dass alle ihre AV-Clients die aktuellsten Virusdefinitionen besitzen.

100/200er-Serie von Symantec Firewall/VPN
Die vollständige Inspektions-Firewall-Technologie von Symantec verhindert standardmäßig, dass Angreifer auf den UDP-Port 80 und den TCP-Port 80 (die Hintertüren) eines infizierten Computers zugreifen können. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien nicht so geändert wurden, dass eingehender UDP/80-Verkehr zugelassen wird. Außerdem sollten Administratoren sicherstellen, dass eingehender TCP/80-Verkehr möglichst auf ihre Webserver beschränkt ist.


Empfehlungen

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Erkannt: August 09, 2004
Aktualisiert: February 13, 2007 12:28:41 PM
Auch bekannt als: W32/Bagle.aq@MM [McAfee], WORM_BAGLE.AC [Trend Micro], Win32.Bagle.AG [Computer Assoc, W32/Bagle-AQ [Sophos], I-Worm.Bagle.al [Kaspersky]
Typ: Worm
Betroffene Systeme: Windows


Entfernung mit dem W32.Beagle@mm-Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Beagle.AO@mm -Infektionen entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um diese Bedrohung zu beseitigen, und sollte daher als Erstes ausprobiert werden.

Manuelle Entfernung
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

  1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
  2. Aktualisieren Sie Ihre Virusdefinitionen.
  3. Starten Sie den Computer im abgesicherten Modus oder im VGA-Modus neu.
  4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Beagle.AO@mm infiziert erkannt werden.
  5. Entfernen Sie den in die Registrierung geschriebenen Wert.
    Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

    1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
    Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.

    Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Virenschutzprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Virenschutzprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

    Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

    Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
    Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

    Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

    2. Aktualisieren der Virusdefinitionen
    Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
    • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
    • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

      Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.


    3. Neustarten des Computers im abgesicherten Modus oder im VGA-Modus
    Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie den Computer dann im abgesicherten Modus oder VGA-Modus neu.
    • Wenn Sie mit Windows 95, 98, Me, 2000 oder XP arbeiten, starten Sie den Computer im abgesicherten Modus neu. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.
    • Wenn Sie mit Windows NT 4 arbeiten, starten Sie den Computer im VGA-Modus neu.


    4. Prüfen des Computers und Löschen infizierter Dateien
    1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
    2. Führen Sie eine vollständige Systemprüfung durch.
    3. Wenn Dateien als mit W32.Beagle.AO@mm infiziert gemeldet werden, klicken Sie auf Löschen.


      Hinweis: Wenn Ihr Virenschutzprodukt von Symantec infizierte Dateien entdeckt und nicht reparieren kann, so wird die Datei möglicherweise von Windows verwendet. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet. Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.

      (Nachdem die Dateien gelöscht wurden, können Sie den Computer im abgesicherten Modus lassen und mit Abschnitt 2 fortfahren. Starten Sie den Computer anschließend im normalen Modus neu.)

    4. Entfernen eines Werts aus der Registrierung


    WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen , bevor Sie fortfahren.
    1. Klicken Sie auf Start > Ausführen.
    2. Geben Sie regedit ein.

      Klicken Sie auf OK.

    3. Suchen Sie den Schlüssel

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. Löschen Sie diesen Wert im rechten Teilfenster:

      "erthgdr" = "%System%\windll.exe"

    5. Suchen Sie die Schlüssel

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    6. Löschen Sie diesen Wert im rechten Teilfenster:

      "win_upd2.exe"="%System%\WINdirect.exe"

    7. Suchen Sie den Schlüssel

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

    8. Löschen Sie im linken Teilfenster den Unterschlüssel Ru1n

    9. Schließen Sie den Registrierungseditor.