Norton.com > Viren & Risiken > W32.Bugbear@mm Removal Tool

W32.Bugbear@mm Removal Tool

Entdeckt am:
1 Oktober 2002
Aktualisiert:
13 Februar 2007 11:34:07 AM
Typ:
Removal Information


WICHTIG -- BITTE ZUERST LESEN:
  • Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben (wie z. B. DSL oder Kabelmodem), müssen Sie die Verbindungen zum Netzwerk und zum Internet unterbrechen. Heben Sie die Dateifreigabe auf oder schützen Sie die Dateien mit einem Passwort (bzw. aktivieren Sie deren Schreibschutz), bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm durch die Verwendung gemeinsam genutzter Ordner auf Netzwerkcomputern verbreitet, empfehlen wir die gemeinsame Nutzung mit Schreib- und Kennwortschutz zu verwenden, damit der Wurm den Computer nicht erneut infizieren kann. Anweisungen hierfür finden Sie in der Dokumentation von Windows oder im Dokument Wie werden gemeinsam genutzte Ordner für maximalen Netzwerkschutz konfiguriert?.
  • Wenn Sie eine Infizierung im Netzwerk bekämpfen, stellen Sie zuallererst sicher, dass gemeinsam genutzte Ressourcen deaktiviert oder schreibgeschützt sind.
  • Dieses Programm ist nicht zur Ausführung auf Novell NetWare-Servern geeignet. Zur Entfernung dieser Bedrohung von einem NetWare-Server stellen Sie zunächst sicher, dass Ihre Virusdefinitionen auf dem aktuellen Stand sind, und führen dann mit Ihrem Symantec Antivirusprodukt eine vollständige Systemprüfung durch.

Wie arbeitet das Programm?

Das W32.Bugbear@mm-Entfernungsprogramm funktioniert wie folgt:
  1. Es beendet den Virusprozess W32.Bugbear@mm.
  2. Es löscht die vom Wurm eingestreuten W32.Bugbear@mm-Virendateien und den Trojaner (wird von Symantec Antivirus-Produkten als PWS.Hooker.Trojan erkannt)
  3. Es löscht den vom Wurm angelegten Registrierungswert.

HINWEIS: Das Programm entfernt alle Werte aus dem folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Normalerweise löscht das Betriebssystem die Werte aus diesem Registrierungsschlüssel, sobald die jeweiligen Prozesse gestartet wurden. Dies erfolgt automatisch. Der Wurm stellt den Wert jedoch immer wieder her, der dann vom Entfernungsprogramm gelöscht wird. Vor der Ausführung des Programms sollten Sie sicherstellen, dass alle vorhergegangenen Software-Installationen abgeschlossen wurden und der Computer falls nötig neu gestartet wurde.

Befehlzeilenschalter für dieses Tool

Schalter
Beschreibung
/HELP, /H, /?
    Zeigt die Hilfsnachricht an.
/NOFIXREG
    Verhindert die Reparatur der Registrierung (der Gebrauch dieses Schalters wird nicht empfohlen).
/SILENT, /S
    Deaktiviert Rückmeldungen.
/LOG=<Pfadname>
    Erstellt eine Protokolldatei, wobei der <Pfadname> den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Schalter die Protokolldatei Fxbgbear.log in dem gleichen Ordner, von dem das Entfernungsprogramm ausgeführt wurde.
/MAPPED
    Prüft zugeordnete Netzlaufwerke (die Anwendung dieses Schalters wird nicht empfohlen, bitte beachten Sie die Hinweise).
/START
    Führt zum unmittelbaren Starten des Prüfvorgangs.
/EXCLUDE=<Pfad>
    Schließt einen bestimmten <Pfad> von der Prüfung aus (die Anwendung dieses Schalters wird nicht empfohlen).


HINWEIS: Beim Gebrauch des Schalters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
  • Die Prüfung zugeordneter Laufwerke betrifft nur zugeordnete Ordner. Manche Ordner auf dem Remote-Computer können somit ausgelassen werden, was zu verpassten Virenerkennungen führen kann.
  • Wenn eine infizierte Datei auf einem zugeordnetem Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei benutzt.

Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

Bezug und Ausführung des Programms:

HINWEISE:
  • Für die Anwendung dieses Programms unter Windows NT, Windows 2000 oder Windows XP müssen Sie über Administratorrechte verfügen.
  • Einigen Berichten zufolge kann es vor allem unter Windows 95/98/Me notwendig sein, das Programm im abgesicherten Modus auszuführen. Wenn Sie Schwierigkeiten mit der Ausführung des Tools haben, laden Sie es zunächst gemäß der Anweisungen in Schritt 1 und 2 herunter und starten Sie den Computer dann im abgesicherten Modus neu. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Für weitere Anweisungen hierzu beachten Sie bitte das Dokument Wie wird der Computer im abgesicherten Modus gestartet?.
  • Wenn Sie Anschluss an ein Netzwerk haben -- und eine DSL- oder Kabelverbindung ist eine Art Netzwerk -- , müssen Sie die Netzwerkverbindung wie in Schritt 5 beschrieben trennen.
  1. Laden Sie die Datei FxBgbear.exe hier herunter:

    http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihren Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift.
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP.

    HINWEIS:
    Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen.
  7. Doppelklicken Sie auf die Datei FxBgbear.com, um das Entfernungsprogramm zu starten.
  8. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  9. Starten Sie den Computer neu.
  10. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  11. Wenn Sie mit Windows Me oder XP arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".
  12. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virendefinitionen verfügen.

    HINWEIS: Das Entfernungsprogramm ist evtl. nicht erfolgreich, wenn die Systemwiederherstellung in Windows Me/XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt. Das Entfernungsprogramm könnte aus diesem Grund nicht funktionieren.

Nach Abschluss des Programms wird Ihnen in einer Nachricht gemeldet, ob der Computer von W32.Bugbear@mm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
    • Die gesamte Anzahl der überprüften Dateien.
    • Die Anzahl der gelöschten Dateien.
    • Die Anzahl der beendeten Virusprozesse.
    • Die Anzahl der gelöschten Registrierungseinträge.

Die digitale Unterschrift
FxBgbear.com ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt die Anwendung nur solcher Kopien von FxBgbear.exe, die direkt von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, folgen Sie bitte diesen Schritten:
  1. Gehen Sie auf die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie die Datei FxBgbear.exe gespeichert haben (z. B. C:\Downloads).
  3. Abhängig vom verwendeten Betriebssystem führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und klicken Sie schließlich auf "MS-DOS-Eingabeaufforderung".
  4. Wechseln Sie zum Ordner, in dem FxBgbear.exe und Chktrust.exe gespeichert sind, und geben Sie folgendes ein:

    chktrust -i Fixnimda.com

    Haben Sie die Datei z. B. im Ordner C:\Downloads abgelegt, geben Sie die folgenden Befehle ein und drücken nach jedem Befehl die Eingabetaste:

    cd\
    cd downloads
    chktrust -i FxBgbear.exe

    Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Aufforderung:

    Do you want to install and run "W32.Bugbear@mm Fix Tool" signed on 10/1/2002 1:10 PM and distributed by Symantec Corporation.

    HINWEISE:
      • Das in der Dialogbox angezeigt Datum wird Ihrer Zeitzone angepasst werden, wenn Ihr Computer nicht auf Pazifikzeit (US) eingestellt ist.
      • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
      • Wenn dieses Dialogfeld nicht erscheint, kann dies zwei Gründe haben:
        • Dieses Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Tool echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
        • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut anzeigen lassen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  5. Klicken Sie auf "Ja", um das Dialogfenster zu schließen.
  6. Geben Sie exit ein und drücken Sie dann die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.

Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese Funktion ist normalerweise aktiviert und wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, wenn diese beschädigt werden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden. Windows verhindert standardmäßig, dass die Systemwiederherstellung durch andere Programme verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass die Onlineprüfung die Infektion in diesem Bereich entdeckt. Bitte beachten Sie die folgenden englischsprachigen Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung auszuschalten:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung finden Sie im englischsprachigen Microsoft Knowledge Base-Artikel Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder (Artikel-ID Q263455).

Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei FxBgbear.exe in das Diskettenlaufwerk ein.
  2. Klicken Sie auf "Start" und anschließend auf "Ausführen".
  3. Geben Sie Folgendes ein und klicken Sie dann auf "OK":

    a:\fxbgbear.exe

    HINWEISE:
    • Im Befehl a:\fixbgbear.exe sind keine Leerzeichen enthalten.
    • Wenn unter Windows Me die Systemwiederherstellung eingeschaltet bleibt, werden Sie eine Warnmeldung sehen. Sie können wählen, ob Sie das Entfernungsprogramm bei eingeschalteter Systemwiederherstellung ausführen oder es stattdessen beenden möchten.
  4. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Funktion "Systemwiederherstellung" wieder.