Supportnet / Forum / PC-Sonstiges
Klez/Elkern, BugBear und kein Ende....
Frage
Tach zusammen!
Nachdem ich vor kurzem Klez (durch eigene Doofheit eingefangen) nach Formatierung und Neuinstallation losgeworden bin, bin ich wesentlich vorsichtiger geworden.
Gestern habe ich jedoch einem Bekannten, der keinen PC besitzt, erlaubt, ein bisschen herumzusurfen. Heute Morgen meldete mir AV dann, dass Worm/BugBear1 in den temporären Internetfiles des IE gefunden wurde. Ich habe dann eben erfahren, dass der Bekannte auch sein tschechisches Mail-Account gecheckt hatte. Inzwischen habe ich den Wurm offenbar mit Hilfe von AV und Bitdefender eliminiert.
Nun meine Frage: In der Registry habe ich folgenden Schlüssel gefunden, der offenbar von BugBear dort abgelegt wird "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce" und dann noch das selbe mit "EX" hintendran.
Der Wurm wird auch nach Neustart nicht mehr von AV und Bitdefender (BugBear Removal Tool) gefunden. Sollte ich den Key trotzdem löschen? Oder kann er keinen Schaden mehr anrichten? Da ich einen Höllenrespekt vor Eingriffen in die Registry habe, möchte ich erst mal die Experten fragen.
Danke.
Svenja
Antwort 1 von Mickey
Leg ne Sicherung dieses Schlüssels an ( zur Sicherheit auf Diskette ) und dann lösch das den Eintrag.
Gruss,
Mic
Gruss,
Mic
Antwort 2 von Joe_69
Hi!
Registry sichern (exportieren) und dann den Schlüssel löschen.
Da sich der Eintrag aber nur in "RunOnce" befindet, dürfte das Löschen kein Problem sein. Denn hier sind nur Programme drin, die beim Booten automatisch gestartet werden.
mfg Joe
Registry sichern (exportieren) und dann den Schlüssel löschen.
Da sich der Eintrag aber nur in "RunOnce" befindet, dürfte das Löschen kein Problem sein. Denn hier sind nur Programme drin, die beim Booten automatisch gestartet werden.
mfg Joe
Antwort 3 von Mickey
Schritt-für-Schritt:
Die in den Schlüsseln:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Once
eingetragen Programme werden beim Systemstart automatisch gestartet. Sind hier Einträge zu finden, die nicht zugeordnet werden können,
solltest du die folgenden Schritte befolgen, um die, in den oben beschriebenen Schlüsseln automatisch gestarteten Programme, wie folgt zu überprüfen:
Sichere den Teilbaum HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Registry-Editor
Entferne einen Schlüsseleintrag bei einem Programm, das du nicht zuordnen können
Starte den Rechner neu (Achtung: Der Rechner muß komplett neu gestartet werden)
Gruss,
Mic
P.S. Hat sich dein Bekannter schon mal mit der Absicherung seines Systems befasst, IE, OE, Outlook, etc.?
Die in den Schlüsseln:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Once
eingetragen Programme werden beim Systemstart automatisch gestartet. Sind hier Einträge zu finden, die nicht zugeordnet werden können,
solltest du die folgenden Schritte befolgen, um die, in den oben beschriebenen Schlüsseln automatisch gestarteten Programme, wie folgt zu überprüfen:
Sichere den Teilbaum HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Registry-Editor
Entferne einen Schlüsseleintrag bei einem Programm, das du nicht zuordnen können
Starte den Rechner neu (Achtung: Der Rechner muß komplett neu gestartet werden)
Gruss,
Mic
P.S. Hat sich dein Bekannter schon mal mit der Absicherung seines Systems befasst, IE, OE, Outlook, etc.?
Antwort 4 von Svenja
Danke Mic und Jo!
Was ist der Registrierungseditor? Und noch mal die Frage: Ist es wirklich nötig, den/die Schlüssel zu löschen, wenn der Wurm doch offensichtlich gar nicht aktiv geworden ist und außerdem entfernt wurde? Von wegen "Never change a..."
Gruß
Svenja
PS: Mic, es geht nicht um das (nicht vorhandene) System meines Bekannten, sondern um meins. Ich benutze weder IE, OE noch Outlook. Der Bekannte kam mit Opera nicht zurecht, also habe ich ihm den IE geöffnet. Seine Mails hat er offenbar online gecheckt. Mehr habe ich noch nicht herausbekommen.
Was ist der Registrierungseditor? Und noch mal die Frage: Ist es wirklich nötig, den/die Schlüssel zu löschen, wenn der Wurm doch offensichtlich gar nicht aktiv geworden ist und außerdem entfernt wurde? Von wegen "Never change a..."
Gruß
Svenja
PS: Mic, es geht nicht um das (nicht vorhandene) System meines Bekannten, sondern um meins. Ich benutze weder IE, OE noch Outlook. Der Bekannte kam mit Opera nicht zurecht, also habe ich ihm den IE geöffnet. Seine Mails hat er offenbar online gecheckt. Mehr habe ich noch nicht herausbekommen.
Antwort 5 von Joe_69
Hi!
Registrierungseditor:
Klicke auf Start > Ausführen und gib dann
In "RunOnce" usw. sollten nur Programme drin sein, die wirklich benötigt werden (entweder von dir oder Systemprogramme von Windows). Da Dein Eintrag aber anscheinend ein "Übrigbleibsel" von BugBear ist, kannst Du es getrost löschen. Wenn es auch harmlos ist, es frisst nur unnötige Resourcen.
mfg Joe
Registrierungseditor:
Klicke auf Start > Ausführen und gib dann
regeditIn "RunOnce" usw. sollten nur Programme drin sein, die wirklich benötigt werden (entweder von dir oder Systemprogramme von Windows). Da Dein Eintrag aber anscheinend ein "Übrigbleibsel" von BugBear ist, kannst Du es getrost löschen. Wenn es auch harmlos ist, es frisst nur unnötige Resourcen.
mfg Joe
Antwort 6 von Mickey
Über Start-Ausführen-Regedit rufst du die Registry auf.
Dann geh mal hier runter zu Punkt 3., da wird dir erklärt wie du einzelne Pfade oder Werte exportierts ( das kannst du auch mit der ganzen Reg. machen- sie muss nur zusammengefahren sein, der Arbeitsplatz blau hinterlegt, dann wird alles exportiert ).
http://www.technodoctor.de/meintipregistry.htm
Gruss,
Mic
Dann geh mal hier runter zu Punkt 3., da wird dir erklärt wie du einzelne Pfade oder Werte exportierts ( das kannst du auch mit der ganzen Reg. machen- sie muss nur zusammengefahren sein, der Arbeitsplatz blau hinterlegt, dann wird alles exportiert ).
http://www.technodoctor.de/meintipregistry.htm
Gruss,
Mic
Antwort 7 von Mickey
Anhang:
Datei mit einer Doppelextension und mit der finalen Extension:
.exe .pif .scr
Der Wurm nutzt das iframe Exploit und führt sich aus, wenn ihn man von einem Computer mit einer alten Varianten von Internet Explorer voraussieht.
Wird der Anhang ausgeführt, kopiert sich der Wurm mit einem zufälligen Namen in %SYSDIR% und schreibt einen Registry Schlüssel in
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\%name% with value %SYSDIR%\%name%
wo %SYSDIR% das System Directory ist und %name% der zufällig generierte Name ist.
Er kopiert sich auch unter
%WINDIR%\Start Menu\Programs\StartUp\%name% on Win9x oder
Documents and Settings\%user%\Start Menu\Programs\StartUp\%name% auf Win2k/XP
wo %user% der eingeloggte Benutzername ist
Der Wurm lässt eine dll Datei in %SYSDIR% hinter, die zum Einloggen aller Keystrokes genutzt wird. Das dll wird als Trojan.KeyLogger.BugBear.A entdeckt.
Also, der Wurm verfasst 2 .dat Dateien in %WINDIR% und 2 .dll Dateien in %SYSDIR%. Diese Dateien werden vom Virus genutzt, um alle von diesem Computer gesammelten Informationen zu speichern.
Der Wurm hat einen Pfad, der periodisch die Existänz seiner Dateien und des runonce Registry Schlüssels prüft und der die folgenden Prozessen tötet:
http://de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=97
Auf einem weiteren Pfad, sucht er nach Mail Datenbanken mit den folgenden Extensionen
.ods .inbox .mmf .nch .mbx .eml .tbb .dbx und sammelt er einige Mails die er da findet.
Der Wurm verbreitet sich in das locale Netzwerk, indem er den Startup Folder in Netzwerk Shares sucht und sich da lässt.
Er öffnet auch Port 36794 und wartet auf HTTP Anschlüsse.
Entfernung:
- automatische Entfernung: lassen Sie BitDefender die infizierten Dateien löschen.
Lösch den Wert, Svenja.
Gruss,
Mic
Datei mit einer Doppelextension und mit der finalen Extension:
.exe .pif .scr
Der Wurm nutzt das iframe Exploit und führt sich aus, wenn ihn man von einem Computer mit einer alten Varianten von Internet Explorer voraussieht.
Wird der Anhang ausgeführt, kopiert sich der Wurm mit einem zufälligen Namen in %SYSDIR% und schreibt einen Registry Schlüssel in
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\%name% with value %SYSDIR%\%name%
wo %SYSDIR% das System Directory ist und %name% der zufällig generierte Name ist.
Er kopiert sich auch unter
%WINDIR%\Start Menu\Programs\StartUp\%name% on Win9x oder
Documents and Settings\%user%\Start Menu\Programs\StartUp\%name% auf Win2k/XP
wo %user% der eingeloggte Benutzername ist
Der Wurm lässt eine dll Datei in %SYSDIR% hinter, die zum Einloggen aller Keystrokes genutzt wird. Das dll wird als Trojan.KeyLogger.BugBear.A entdeckt.
Also, der Wurm verfasst 2 .dat Dateien in %WINDIR% und 2 .dll Dateien in %SYSDIR%. Diese Dateien werden vom Virus genutzt, um alle von diesem Computer gesammelten Informationen zu speichern.
Der Wurm hat einen Pfad, der periodisch die Existänz seiner Dateien und des runonce Registry Schlüssels prüft und der die folgenden Prozessen tötet:
http://de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=97
Auf einem weiteren Pfad, sucht er nach Mail Datenbanken mit den folgenden Extensionen
.ods .inbox .mmf .nch .mbx .eml .tbb .dbx und sammelt er einige Mails die er da findet.
Der Wurm verbreitet sich in das locale Netzwerk, indem er den Startup Folder in Netzwerk Shares sucht und sich da lässt.
Er öffnet auch Port 36794 und wartet auf HTTP Anschlüsse.
Entfernung:
- automatische Entfernung: lassen Sie BitDefender die infizierten Dateien löschen.
Lösch den Wert, Svenja.
Gruss,
Mic
Antwort 8 von IRON
Die genannten Schlüssel sollten keinesfalls gelöscht werden. Nur Einträge und Werte in der rechten Spalte, für den Fall, dass sie von BugBear stammen. Solltest du tatsächlich
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
und
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
löschen, wirst du Probleme mit Windows bekommen.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
und
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
löschen, wirst du Probleme mit Windows bekommen.
Antwort 9 von Svenja
Vielen lieben Dank für eure Mühe, Mic, Joe und IRON,
jetzt weiß ich, was ich löschen oder vielmehr nicht löschen muss/darf. Bin nur froh, dass ich gefragt und nicht einfach drauflos gelöscht habe. ;-)
Gruß
Svenja
jetzt weiß ich, was ich löschen oder vielmehr nicht löschen muss/darf. Bin nur froh, dass ich gefragt und nicht einfach drauflos gelöscht habe. ;-)
Gruß
Svenja
Antwort 10 von Mickey
@ Iron,
besten Dank, aber ich hoffe ich habe nur von
"lösch den Eintrag"
"eingetragen Programme"
"Entferne einen Schlüsseleintrag"
"Lösch den Wert"
nach vorheriger Sicherung (Export ) der einzelnen Pfade gesprochen.
Will ja nich das Svenja´s PC morgen stillsteht ;-)
Gruss,
Mic
besten Dank, aber ich hoffe ich habe nur von
"lösch den Eintrag"
"eingetragen Programme"
"Entferne einen Schlüsseleintrag"
"Lösch den Wert"
nach vorheriger Sicherung (Export ) der einzelnen Pfade gesprochen.
Will ja nich das Svenja´s PC morgen stillsteht ;-)
Gruss,
Mic