virus? (bugbear)

#1 hi leute
ich bin echt am ende! Ich hab auf meinem PC die selbe probleme die der Bugbear wurm verursacht, also norton wir nach ein paar sekunden beendet und ich kriege ständig viren per mail zugeschickt (aber ca.40 kb). ich hab mir dann von der synantec homepage das entfernungstool gezogen, das meint aber, dass das system nicht infiziert sei! ich hab den pc mal im abgesicherten modus gestartet und da wird norten nicht wieder beendet, dh dort konnte ich eine Vollständige Systemprüfung durchführen aber wieder keine Infektion gefunden!

Was kann ich machen

gruß Tacoden

#2 http://board.protecus.de/t1269.htm

Ansonsten Fprot mit neuster Signatur laden auf Startdiskette kopieren und Rechner von dieser starten - Rechner scannen. Bei diversen Herstellern gibt es auch andere Tools zum Entfernen.

Hat Deine NAV die neusten Signaturen? Mein NAV erkennt Bugbear.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 ich habs installiert und die neusten virus def heruntergeladen und installiert (18.10)!

tacoden

#4 hi
ich hab eine datei auf meinem pc die nennt sich ndis.vxd. diese datei wird wird beim start geladen und somit wir norton gleich wieder beendet.
wenn ich die datei aus der msconfig rausnehme,dh das sie beim start nicht geladen wird, funktioniert Norton einwandfrei. der nachteil: jetzt funktioniert das netzwerk nicht mehr (t-dsl adapter, dfü und netzwerkkarte) da die datei von den netzwerk geräten benötigt wird.

was kann ich tun

tacoden

#5 dann nimm doch einfach mal die originale ndis.vxd von Deiner BetrioebssystemCD und überschreibe die bestehende. ndis.vxd ist unter Windows ehr wichtig fürs Netzwerk

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 ich hab die datei ersetzt und neugestartet aber norton geht nach wie vor nicht! ich hab die datei mal gelöscht, beim nächsten booten wa sie wieder da!

ich bitte um eure ratschläge

tacoden

#7 Online-Viren-Test: http://www.kaspersky.com/de/banner.html?p=kaspde&type=630&format=4&alt= , sofern Du eine Datei im verdacht hast

Removal-Tools von anderen Herstellern
http://virusall.com/downrem.html

Zur Sicherheit mal das Klez-Tool anwenden. Ist immer noch sehr verbreitet.
http://www.kaspersky.com/support.html?chapter=950180

Überprüfe nochmals, ob Du auch wirklich Bugbear-Symptome auf deinem rechner hast ! http://www.zefis.ch/newsletter/archiv/viren/viren.html
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 hi,

gibt es denn keinen wurm oder virus der der ähnliche symptone wie der bugbear zeigt?

tacoden

#9 hi
die mails die ich bekomme habe fast alle den betreff: BITTE LESEN

danke für eure hilfe
tacoden

#10 Ein paar Infos zum Wurm Bugbear ...

Name: W32.Bugbear@mm
Alias: W32/Bugbear-A [Sophos],WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel
Risiko: bei Ausführung des Attachments: mittel, hoch bei englischen Windows-Versionen
Schadensfunktion: Beenden von verschiedenen Viren-Schutz- und Firewall-Programmen
Installation einer Backdoor
bekannt seit: Sept 2002
Tools Entfernungs-Programm

W32.Bugbear@mm verbreitet sich über Massenmail und Netzwerkfreigaben. Der Wurm besitzt Eigenschaften einer Backdoor (Trojanisches Pferd), indem er den TCP Port 36794 öffnet.
Er beendet außerdem Anti-Viren- und Firewall-Software.
Ein weiterer möglicher Nebeneffekt ist, dass an alle freigegebenen Netzwerkdrucker selbstständig Druckaufträge mit unsinnigem Inhalt gesendet und dann eventuell auch gedruckt bzw. Drucker blockiert werden.
Der Wurm kopiert sich bei der Aktivierung als Datei C:\%System%\****.exe.
**** sind variable Zeichen.
%System% bezeichnet das Systemverzeichnis von Windows und ist in den verschiedenen Versionen unterschiedlich (Beispiel:C:\Windows\System oder C:\Winnt\System32).
Er kopiert sich in das Autostart-Verzeichnis von:
Windows 9x: C:\WINDOWS\Start Menu\Programs\Startup\CUU.EXE
Windows NT/2000: C:\Documents and Settings\<Benutzername>\Start Menu\Programs\Startup\CTI.EXE
Anmerkung: Die angegebenen Verzeichnisse existieren nicht in deutschen Windows-Versionen.
Bugbear legt 5 Dateien (die selber nicht virulent sind) an:
C:\%System%\iccyoa.dll
C:\%System%\lgguqaa.dll
C:\%System%\roomuaa.dll
C:\%Windir%\okkqsa.dat
C:\%Windir%\ussiwa.dat
Anschließend wird ein Registry-Schlüssel erzeugt, mit dem der Wurm beim Systemstart aktiviert wird:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Folgende Dienste von Anti-Virensoftware und Firewallsoftware werden durch W32.Bugbear@mm beendet:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE


Findet der Wurm in Netzwerkfreigaben einen Autostart-Ordner, so kopiert er sich (mit variablem Dateinamen) dort hin.
E-Mail-Adressen zur eigenen Verbreitung entnimmt er dem aktuellen Posteingangsfach und Dateien mit den Endungen:
MMF
NCH
MBX
EML
TBB
DBX
OCS
Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist. Informationen zu dieser Sicherheitslücke finden Sie unter:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Die Absenderadresse im Von: -Feld ist entweder eine real existierende E-Mail-Adresse, oder sie wird aus mehreren E-Mail-Adressen konstruiert, die der Wurm auf dem Rechner findet:
Existieren E-Mail-Adressen wie a@a.com, b@b.com und c@c.com, so wird eine infizierte E-Mail an a@a.com gesendet. Die Absenderadresse setzt der Wurm jedoch zu b@c.com zusammen.
Zusätzlich zu der folgenden Liste von Betreffzeilen kann W32.Bugbear@mm eine E-Mail als eine Antwort bzw. Weiterleitung einer existierenden E-Mail verfassen:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Die E-Mail enthält entweder keinen Nachrichtentext, oder der Nachrichtentext besteht aus Fragmente von Dateien des lokalen Systems.
Die angehängte Datei ist 50.688 Bytes groß; sie ist UPX-codiert. Der Dateiname ist variable. Er enthält zwei Erweiterungen, von denen die letzte .exe, .scr, oder .pif ist.
Der Wurm öffnet durch eine Trojanische Komponente den TCP Port 36794. Damit erhält ein Angreifer Kontrolle über den Rechner. Dieses Trojanische Pferd installiert außerdem eine DLL-Datei, die Kennworte sammelt.
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Bugbear@mm zum kostenlosen Download bereitgestellt.
Vor der Verwendung des Tools muss der Rechner im abgesicherten Modus gestartet werden!
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 1.10.2002, geändert: 24.10.2002)


Neustart von Windows 98 oder Windows Me in den abgesicherten Modus:
1. Neustart des Computers.
2. während des Neustarts, "Strg" Taste gedrückt halten bis das Windows 98 Startmenü erscheint.
3. Windows 98 im "abgesicherten Modus starten" auswählen und mit "Enter" bestätigen.

W32.Bugbear@mm Removal Tool
Discovered on: October 1, 2002
Last Updated on: October 21, 2002 01:16:03 PM PDT


pf/w32.bugbear@mm.removal.tool.htmlpf/w32.bugbear@mm.removal.tool.html Fehler! Hyperlink-Referenz ungültig.Fehler! Hyperlink-Referenz ungültig.

#11 und weiter geht' s ...

Bugbear-Removal Tool starten ...

IMPORTANT - READ THIS FIRST:
„h If you are on a network, or have a full time connection to the Internet, disconnect the computer from the network and the Internet. Disable or password protect file sharing before reconnecting computers to the network or to the internet. Because this worm spreads by using shared folders on networked computers, to ensure that the worm does not reinfect the computer after it has been removed, Symantec suggests sharing with read-only access or using password protection. For instructions on how to do this, see your Windows documentation or the document How to configure shared Windows folders for maximum network protection.
If you are cleaning out an infection on a network, make sure any shares are disabled or set to Read-Only before doing so.
„h This tool is not designed to run on Novell NetWare servers. To remove this threat from a NetWare server, after making sure that you have current virus definitions, run a full system scan with your Symantec antivirus product.

What the tool does

The W32.Bugbear@mm Removal Tool does the following:
1. It terminates the viral W32.Bugbear@mm processes.
2. It deletes the viral W32.Bugbear@mm files and the Trojan that the worm drops (detected by Symantec antivirus products as PWS.Hooker.Trojan)
3. It deletes the registry value that was added by the worm.

NOTE: The tool removes all values from the following registry key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Normally, the operating system removes any values from this registry key as soon as the processes are launched. This is performed automatically. The worm, however, recreates the value that the fixtool will delete. Before running the tool, make sure you have completed any previous software installations and restarted your computer if that was required.

Command-line switches available with this tool


Switch
Description

/HELP, /H, /?
Displays the help message.

/NOFIXREG
Disables registry repair (the use of this switch is not recommended).

/SILENT, /S
Enables silent mode.

/LOG=<path name>
Creates a log file where <path name> is the location in which to store the tool's output. By default, this switch creates the log file Fxbgbear.log in the same folder from which the removal tool was executed.

/MAPPED
Scans mapped network drives (the use of this switch is not recommended--see notes).

/START
Forces the tool to start scanning immediately.

/EXCLUDE=<path>
Excludes the specified <path> from scanning (the use of this switch is not recommended).

NOTE: The use of the /MAPPED switch does not ensure the complete removal of the virus on the remote computer because:
„h The scanning of mapped drives scans only the folders that are mapped. This might not include all folders on the remote computer, and this can to lead to missed detections.
„h If a viral file is detected on the mapped drive, the removal will fail if a program on the remote computer is using this file.

For these reasons, you should run the tool on every computer.

To obtain and run the tool

NOTES:
„h You must have administrative rights to run this tool on Windows NT4/2000/XP.
„h There have been some reports, mostly on Windows 95/98/Me computers, where it was necessary to run the tool in Safe mode. If you have problems running the tool, first download it by following the instructions in steps 1 and 2, and then restart the computer in Safe mode. All Windows 32-bit operating systems, except Windows NT, can be restarted in Safe mode. For instructions on how to do this, read the document How to start the computer in Safe Mode.
„h If you are connected to a network--and a DSL line or Cable connection is a type of network, you must disconnect from the network as described in step 5.
1. Download the FxBgbear.exe file from:

http://securityresponse.symantec.com/avcenter/FxBgbear.exe

2. Save the file to a convenient location, such as your download folder or the Windows desktop (or removable media that is known to be uninfected, if possible).
3. To check the authenticity of the digital signature, refer to the section The digital signature.
4. Close all programs before you run the tool.
5. If you are on a network or have a full-time connection to the Internet, disconnect the computer from the network and the Internet.
6. If you are running Windows Me or XP, disable System Restore. Please refer to the section System Restore option in Windows Me/XP for additional details.

NOTE: If you are running Windows Me/XP, we strongly recommend that you do not skip this step.

7. Double-click the FxBgbear.exe file to start the removal tool.
8. Click Start to begin the process, and then allow the tool to run.
9. Restart the computer.
10. Run the removal tool again to ensure that the system is clean.
11. If you are running Windows Me or XP, then re-enable System Restore.
12. Run LiveUpdate to make sure that you are using the most current virus definitions.

NOTE: The removal procedure might be unsuccessful if Windows Me/XP System Restore is not disabled as previously directed because Windows prevents System Restore from being modified by outside programs. Because of this, the removal tool might fail.

When the tool has finished running, you will see a message indicating whether the computer was infected by W32.Bugbear@mm. In the case of a removal of the worm, the program displays the following results:
„h The total number of the scanned files
„h The number of deleted files
„h The number of viral processes terminated
„h The number of viral registry entries deleted

The digital signature
FxBgbear.exe is digitally signed. Symantec recommends that you use only copies of FxBgbear.exe that were downloaded directly from the Symantec Security Response download site. To check the authenticity of the digital signature, follow these steps:
1. Go to http://www.wmsoftware.com/free.htm
2. Download and save the Chktrust.exe file to the same folder where you saved FxBgbear.exe (for example, C:\Downloads).
3. Depending on your operating system, do one of the following:
„h Click Start, point to Programs, and click MS-DOS Prompt.
„h Click Start, point to Programs, click Accessories, and then click Command Prompt.
4. Change to the folder in which FxBgbear.exe and Chktrust.exe are stored, and then type:

chktrust -i FxBgbear.exe

For example, if you saved the file to the C:\Downloads folder, you would enter the following commands (press Enter after you type each command):

cd\
cd downloads
chktrust -i FxBgbear.exe

If the digital signature is valid, you will see the following:

Do you want to install and run "W32.Bugbear@mm Fix Tool" signed on 10/1/2002 1:10 PM and distributed by Symantec Corporation.

NOTES:
„h The date and time that appear in this dialog box will be adjusted to your time zone if your computer is not set to the Pacific time zone.
„h If you are using Daylight Saving Time, the time that appears will be exactly one hour earlier.
„h If this dialog box does not appear, there are two possible reasons:
ħ The tool is not from Symantec. Unless you are sure that the tool is legitimate, and that you downloaded it from the legitimate Symantec Web site, you should not run it.
ħ The tool is from Symantec and is legitimate. However, your operating system was previously instructed to always trust content from Symantec. For information on this, and how to view the confirmation dialog again, read the document How to restore the Publisher Authenticity confirmation dialog box.
5. Click Yes to close the dialog box.
6. Type exit and then press Enter. This will close the MS-DOS session.

System Restore option in Windows Me/XP
Windows Me and Windows XP users should temporarily turn off System Restore. This feature, which is enabled by default, is used by Windows Me/XP to restore files on your computer in case they become damaged. When a computer is infected with a virus, worm, or Trojan, it is possible that the virus, worm, or Trojan could be backed up by System Restore. By default, Windows prevents System Restore from being modified by outside programs. As a result, there is the possibility that you could accidentally restore an infected file, or that on-line scanners would detect the threat in that location. For instructions on how to turn off System Restore, read your Windows documentation or one of the following articles:
„h How to disable or enable Windows Me System Restore.
„h How to disable or enable Windows XP System Restore.

For additional information, and an alternative to disabling System Restore, see the Microsoft Knowledge Base article Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, Article ID: Q263455.

How to run the tool from a floppy disk
1. Insert the floppy disk that contains the FxBgbear.exe file in the floppy disk drive.
2. Click Start and then click Run.
3. Type the following and then click OK:

a:\fxbgbear.exe

NOTES:
„h There are no spaces in the command a:\fxbgbear.exe
„h If you are running Windows Me and System Restore remains enabled, you will see a warning message. You can choose to run the removal tool with the System Restore option enabled or exit the removal tool.
4. Click Start to begin the process, and then allow the tool to run.
5. If you are running Windows Me, then re-enable System Restore.

#12 Notfalls: Norton runterschmeißen, schnell zu www.antivir.de .
Da gab´s gestern Abend Updates; die sind auf dem neuesten Stand und kosten nix.
Hatte vor 10 Tagen auch diesen Drecksvirus, antivir hat ihn sich geholt.

Greetz,
`Wick