Entfernen des Bymer-Wurms

Leider haben Sie nicht erwähnt, mit welcher Windows-Version Sie arbeiten. Dies macht es für uns sehr schwierig, die weiteren Schritte zu empfehlen. Wir versuchen aus der mehrseitigen Anleitung von Symantec [1] die relevanten Punkte herauszupicken und für Sie in Deutsch wiederzugeben.

Der Bymer-Wurm verbreitet sich über freigegebene Laufwerke und Ordner. Wenn Ihr PC ihn eingefangen hat, bedeutet das, dass Sie wahrscheinlich anderen Benutzern einen Ordner oder ein ganzes Laufwerk für Vollzugriff freigegeben haben. Dies ist nie ratsam! Ausser Bymer verbreiten sich übrigens auch andere Würmer und Viren auf die selbe Weise - bekanntestes Beispiel aus der jüngeren Vergangenheit ist z.B. der Nimda-Wurm, der die Verbreitung über Netzwerkfreigaben als eines von vielen "Standbeinen" benutzt.

Die erste Frage ist, ob Norton AntiVirus den Wurm abfangen konnte, bevor er sich tatsächlich installieren konnte. Wurde die Datei vom Virenscanner in die Quarantäne gesteckt, bevor der Wurm aktiv wurde, dann brauchen Sie die Datei bloss aus der Quarantäne löschen zu lassen. Tun Sie dies und scannen Sie den PC (alle seine Laufwerke) erneut. Vielleicht ist die Sache hier schon ausgestanden. Falls sich Bymer aber auf Ihrem System regelrecht installieren konnte, wird es etwas komplizierter.

Beachten Sie, dass wir hier davon ausgehen, dass Ihr Windows im Ordner C:\Windows installiert ist. Passen Sie den Ordnernamen in der folgenden Anleitung entsprechend an, wenn das System in einem anderen Ordner liegt.

1. Entfernen Sie alle Freigaben:

Starten Sie den Windows Explorer und schauen Sie, ob Sie bei einem Laufwerk oder Ordner ein blaues Händchen entdecken. Wenn ja, klicken Sie den Ordner oder das Laufwerk mit rechts an und wählen im Kontextmenü "Freigabe". Klicken Sie im anschliessenden Dialogfenster die Option "Nicht freigeben" an und anschliessend den OK-Knopf. Wenn Sie nicht sicher sind, ob Sie alle Freigaben erwischt haben, doppelklicken Sie das Symbol der Netzwerkumgebung auf Ihrem Desktop. Doppelklicken Sie darin den Namen Ihres PCs: Was dort drin als gelbe Ordner erscheint, ist immer noch freigegeben. Gehen Sie im Windows Explorer auch zu diesen Freigaben und schalten Sie diese wie beschrieben aus.

2. Starten Sie den PC im abgesicherten Modus:

Bei Windows 95: Fahren Sie den PC herunter und schalten ihn aus. Nach 30 Sekunden schalten Sie ihn wieder ein und drücken sofort die Taste F8, wenn die Meldung "Windows 95 wird gestartet" in weisser Schrift auf schwarzem Hintergrund erscheint. Im Boot-Menü, das jetzt angezeigt wird, wählen Sie (z.B. per Pfeiltaste) den "Abgesicherten Modus" und drücken Enter.

Bei Windows 98 oder ME: Gehen Sie zu Start/Ausführen, tippen Sie MSCONFIG ein und drücken Enter. Im Systemkonfigurations-Programm klicken Sie auf "Weitere Optionen" und setzen ein Häkchen bei "Autostart-Menü aktivieren". Klicken Sie OK, fahren Sie den PC herunter und schalten ihn aus. Nach 30 Sekunden schalten Sie ihn wieder ein, wählen im Boot-Menü den "Abgesicherten Modus" und drücken Enter.

3. Virendateien entfernen

Scannen Sie Ihre Festplatte (alle Partitionen) manuell nach Viren. Sorgen Sie dafür, dass bei diesem Scan in Norton AntiVirus "Alle Dateien" gewählt ist. Lassen Sie sämtliche Dateien löschen, die als Bymer-Wurm oder Dnet-Dropper identifiziert werden.

4. Entfernen weiterer vom Wurm platzierten Files

Der Wurm legt auf der Platte weitere Dateien ab. Von diesen könnte aber bei Ihnen die eine oder andere fehlen. Wenn der Wurm sich nicht installieren konnte, werden sogar alle fehlen.

Wininit.exe: Klicken Sie "Start/Suchen/Dateien/Ordner". Bei "Suchen in" wählen Sie das Laufwerk C: und bei "Suchen nach" tippen Sie wininit.exe ein. Achtung: Eine wininit.exe im Windows-Ordner (C:\Windows) benötigen Sie. Wird die Datei noch in anderen Ordnern gefunden, klicken Sie sie mit rechts an und wählen "Löschen".

Suchen Sie jetzt noch einmal in Laufwerk C:. Diesmal geben Sie als Suchbegriff die folgenden sieben Dateinamen ein (alle auf einmal) und trennen Sie diese im Such-Fenster einfach durch ein Leerzeichen voneinander, genau wie hier:

ms??.exe ms???.exe ms????.exe dnetc.* msclient.exe info.dll flcss.exe

!!Achtung: Die Fragezeichen stehen bei dieser Suche als Platzhalter. Bei den Suchresultaten werden also vielleicht viele Dateien gefunden, die mit MS anfangen, zwei bis vier weitere Zeichen enthalten und mit .EXE aufhören. Von den gefundenen MS-Files werden Sie nur eine löschen müssen. Diese enthält vor dem Punkt eine zwei- bis dreistellige Zahl und heisst z.B. MS216.EXE oder MSI216.EXE.

Die Dateien dnetc.exe und dnetc.ini gehören zu einem sonst harmlosen Programm, das normalerweise für Netz-Zusammenarbeit via Internet benutzt wird. Der Bymer-Wurm missbraucht diese aber als Trojaner, der eine Hintertüre öffnet. Deshalb löschen Sie alle Dateien, die mit dnetc. anfangen. Bei der Datei info.dll löschen Sie nur jene, die im Ordner C:\Windows\System liegen oder im Autostart-Ordner. Die Dateien msclient.exe und flcss.exe löschen Sie ebenfalls und leeren anschliessend den Papierkorb.

5. Entfernen des WIN.INI-Eintrags:

Windows 95/98/NT/2000: Unter "Start/Ausführen" tippen Sie SYSEDIT ein und drücken Enter. Im Fenster WIN.INI entfernen Sie den Eintrag in der Zeile, die mit "load=" beginnt, sodass load= alleine dort steht. Tun Sie das selbe, falls Sie einen Eintrag in der Zeile "run=" finden, schliessen Sie den Systemkonfigurations-Editor und und bestätigen mit JA, wenn Sie gefragt werden, ob Sie die Änderungen speichern wollen.

Windows ME: Aufgrund der Systemwiederherstellung müssen Sie zuerst eine Datei in einem anderen Ordner löschen: Gehen Sie zum Ordner C:\Windows\Recent und entfernen Sie die dortige Kopie von WIN.INI. Anschliessend gehen Sie zu "Start/Ausführen", tippen folgendes ein und drücken Enter:

edit c:\windows\win.ini

Im DOS-Editor nehmen Sie die selben Änderungen vor, wie oben für Windows 95/98 etc. beschrieben. Speichern und schliessen Sie die Datei.

6. Registry-Einträge sichern:

Gehen Sie zu "Start/Ausführen" und tippen REGEDIT ein. Unter "Registrierung" wählen Sie "Registrationsdatei exportieren", markieren im Export-Bereich "Alles" und wählen einen Speicherort. Dies dient als Sicherheitskopie, falls jetzt etwas schiefgehen sollte. Änderungen in der Windows Registry sollten eigentlich nur geübte Benutzer vornehmen, denn eine Fehlmanipulation könnte schwerwiegende Folgen für Ihr System haben.

7. Registry-Einträge entfernen:

Die Registry ist in einer Art Baum-Struktur aufgebaut. Die Plus-Zeichen in den Registry-Zweigen bedeuten, dass sich darin weitere Zweige befinden. Navigieren Sie zu diesem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

In der rechten Fensterhälfte klicken Sie diesen Wert (falls vorhanden) mit rechts an und wählen im Kontextmenü den Befehl "Löschen": bymer.scanner

Schauen Sie auch gleich, ob Sie in der rechten Fensterhälfte die folgenden Einträge finden. Löschen Sie auch diese, falls vorhanden:

distributed.net.client "C:\Windows\System\dnetc.exe"

distributed.net.client "C:\Windows\System\dnetc.vbs"

internat "C:\Windows\internat.exe" -hide"

msinit "C:\Windows\System\ms***.exe"

Sollte in der linken Fensterhälfte dieser Schlüssel vorhanden sein (beachten Sie das Minus-Zeichen am Schluss), wiederholen Sie obiges auch hier:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-

Gehen Sie nun zum folgenden Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices

In der rechten Fensterhälfte löschen Sie diese Einträge, falls vorhanden:

distributed.net.client "C:\Windows\System\dnetc.exe"

distributed.net.client "C:\Windows\System\dnetc.vbs"

internat "C:\Windows\internat.exe" -hide"

msinit "C:\Windows\System\ms***.exe"

Und nochmals das selbe in Grün für diesen Schlüssel mit dem Minus-Zeichen am Schluss:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices-

8. Abschluss-Arbeiten

Schliessen Sie den Registry Editor und scannen Sie den PC erneut komplett nach Viren. Ist alles in Ordnung, starten Sie Ihren PC neu. Falls Sie unter Punkt 2 dieser Anleitung im Programm MSCONFIG das Häkchen bei "Autostart-Menü" aktiviert haben, entfernen Sie es auf dem selben Weg wieder. Sollte Ihr PC via Netzwerk mit anderen PCs verbunden sein, prüfen Sie auch diese auf eine Bymer-Infektion! Andernfalls könnte es sein, dass der Wurm schnell wieder bei Ihnen auftaucht.

Falls Sie auf Ihrem PC Ordner oder Laufwerke freigeben wollen, tun Sie dies nie mit Vollzugriff, sondern nur schreibgeschützt. Und setzen Sie für den Zugriff auf die Freigaben ein Passwort.