Norton.com > Viren & Risiken > W32.Sircam.Worm@mm Removal Tool

W32.Sircam.Worm@mm Removal Tool

Entdeckt am:
20 Juli 2001
Aktualisiert:
13 Februar 2007 11:33:25 AM
Typ:
Removal Information

Das Entfernungsprogramm für W32.Sircam.Worm@mm löscht alle mit dem Wurm W32.Sircam.Worm@mm infizierten Dateien und beseitigt die Änderungen, die von diesem Virus an einem Computer vorgenommen wurden.

Bezug und Ausführung des Programms
  1. Gehen Sie zu http://www.sarc.com/avcenter/FixSirc.com
  2. Laden Sie die Datei Fixsirc.com in ein geeignetes Verzeichnis herunter, zum Beispiel in Ihren Downloads-Ordner oder auf den Windows-Desktop. Wenn Sie in einem Netzwerk arbeiten, sollte das Entfernungsprogramm für alle Computer einschließlich Server ausgeführt werden.
  3. Um die Authentizität der digitalen Unterschrift zu überprüfen, lesen Sie den Abschnitt Die digitale Unterschrift.
  4. Schließen Sie alle geöffneten Programme, bevor Sie das Programm ausführen, einschließlich jeglicher Virenprüfprogramme wie z. B. NAV Auto-Protect.

    ACHTUNG: Überspringen Sie diesen Schritt nicht (lesen Sie aber auch den nachfolgenden Hinweis). Auto-Protect muss deaktiviert werden, bevor Sie das Programm ausführen. Anweisungen hierzu finden Sie im Dokument Wie Sie Norton AntiVirus Auto-Protect aktivieren und deaktivieren.

    HINWEIS: Es gibt eine Ausnahme, bei der Sie Auto-Protect nicht deaktivieren müssen: Wenn NAV den Virus erkannt und isoliert hat und NAV aufgrund der vom Wurm vorgenommenen Registrierungsänderung nicht länger ausgeführt wird, können Sie Auto-Protect nicht deaktivieren, da es nicht ausgeführt wird. Sie müssen sich jedoch vergewissern, dass NAV Auto-Protect nicht aktiv ist, indem Sie wie oben beschrieben versuchen, es zu deaktivieren.
  5. Wenn Sie sich in einem Netzwerk befinden oder eine permanente Verbindung zum Internet besteht, trennen Sie den Computer vom Netzwerk und vom Internet. Deaktivieren Sie die Dateifreigabe oder schützen Sie sie mit einem Kennwort, bevor Sie Computer erneut an das Netzwerk oder das Internet anschließen. Da sich dieser Wurm mit Hilfe von freigegebenen Ordnern auf vernetzten Computern verbreitet, sollten Sie Dateien nur schreibgeschützt oder mit Kennwort versehen freigeben. So können Sie sicherstellen, dass der Wurm den Computer nicht erneut infiziert, nachdem er entfernt wurde. Anweisungen dazu finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie werden gemeinsam genutzte Ordner für maximalen Netzwerkschutz konfiguriert?.

    ACHTUNG: Überspringen Sie diesen Schritt nicht. Sie müssen die Verbindung zum Netzwerk trennen, bevor Sie das Programm ausführen.
  6. Wenn Sie unter Windows Me oder XP arbeiten, deaktivieren Sie die Systemwiederherstellung. Weitere Informationen finden Sie im Abschnitt Die Option "Systemwiederherstellung" in Windows Me/XP.

    HINWEIS: Wenn Sie Windows Me/XP ausführen, empfehlen wir Ihnen nachdrücklich, diesen Schritt nicht zu überspringen.
  7. Doppelklicken Sie auf die Datei Fixsirc.com, um das Entfernungsprogramm zu starten.

    HINWEIS: Falls Sie das Programm auf eine Diskette heruntergeladen haben und es von der Diskette aus ausführen möchten, können Sie Anweisungen dazu im Abschnitt So führen Sie das Programm von einer Diskette aus am Ende dieses Dokuments erhalten.

    HINWEIS: Wenn Sie Windows Me verwenden und die Systemwiederherstellung nicht deaktiviert haben, wird eine Warnmeldung angezeigt. Sie können entscheiden, ob das Entfernungsprogramm mit aktivierter Systemwiederherstellung ausgeführt (nicht empfohlen) oder ob es beendet werden soll.
  8. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm ausgeführt wurde.
  9. Wenn Sie Windows Me/XP verwenden, aktivieren Sie die Systemwiederherstellung erneut.
  10. Aktivieren Sie Auto-Protect erneut.

HINWEIS:
  • Wenn Sie die Meldung erhalten, dass das Programm im abgesicherten Modus ausgeführt werden muss, starten Sie den Computer im abgesicherten Modus neu, und führen Sie das Programm noch einmal aus. Bitte befolgen Sie diese Anweisung, um sicherzustellen, dass der Virus den Computer nicht erneut infiziert. Um einen Neustart im abgesicherten Modus durchzuführen, lesen Sie das Dokument Wie kann ich Windows 95/98/Me im abgesicherten Modus starten?.
  • Falls die Systemwiederherstellung unter Windows Me aktiviert ist, kann es sein, dass die Infektion nicht erfolgreich entfernt werden kann, da Windows verhindert, dass die Systemwiederherstellung von externen Programmen modifiziert wird. Deshalb könnte es sein, dass jegliche Versuche des Programms, den Wurm zu entfernen, fehlschlagen.
  • Wenn der Vorgang abgeschlossen ist, stellt das Entfernungsprogramm u. U. fest, dass Sie Windows Me verwenden und die Systemwiederherstellung noch deaktiviert ist. In diesem Fall werden Sie durch eine Meldung daran erinnert, diese Option erneut zu aktivieren.
  • Wenn Sie dass Programm in Anmeldeskripts oder Batch-Dateien ohne angezeigte Meldungen ausführen müssen, verwenden Sie folgende Befehlszeilensyntax für den "Silent"-Modus:
    Fixsirc.com /s

Nachdem die Ausführung des Programms abgeschlossen ist, wird eine Meldung angezeigt, die angibt, ob der Computer mit dem Wurm W32.Sircam.Worm@mm infiziert war. Wenn der Wurm entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der reparierten Registrierungsschlüssel

Funktionsweise des Programms
Das W32.Sircam.Worm@mm-Entfernungsprogramm geht folgendermaßen vor:
  1. Es sucht nach Dateien, die mit dem Wurm W32.Sircam.Worm@mm infiziert sind, und löscht diese.
  2. Das Programm entfernt den folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\Software\SirCam
  3. Im Registrierungsschlüssel

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\RunServices

    wird der folgende Wert gelöscht:

    Driver32
  4. Im Registrierungsschlüssel

    HKEY_CLASSES_ROOTexefile\shell\open\command

    ändert das Programm den Wert [Default] in folgende Einstellung:

    "%1" %*
  5. Das Programm entfernt die Zeile "@win \recycled\sirc32.exe" aus der Datei C:\Autoexec.bat.
  6. Es stellt die vom Wurm umbenannte Datei Rundll32.exe wieder her.

Die digitale Unterschrift
FixSirc.com ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Versionen von FixSirc.com verwenden, die direkt von der Symantec Security Response-Website heruntergeladen wurden. Gehen Sie folgendermaßen vor, um die Authentizität der digitalen Signatur zu überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/free.htm
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie FixSirc.com gespeichert haben (zum Beispiel C:\Downloads).
  3. Klicken Sie auf "Start", zeigen Sie auf "Programme", und klicken Sie auf "MS-DOS-Eingabeaufforderung".
  4. Wechseln Sie zu dem Ordner, in dem FixSirc.com und Chktrust.exe gespeichert sind, und geben Sie dann Folgendes ein:

    chktrust -i FixSirc.com

    Wenn die Datei z. B. im Ordner C:\Downloads gespeichert ist, geben Sie Folgendes ein:

    cd\
    cd downloads
    chktrust -i FixSirc.com

    Drücken Sie nach jedem Befehl die Eingabetaste.
  5. Wenn die digitale Unterschrift gültig ist, wird Folgendes angezeigt:

    Installieren und Ausführen von "FixSirc.com", signiert am 31.07.01 17:36 signiert und herausgegeben von: Symantec Corporation.

    HINWEISE:
    • Datum und Uhrzeit, die in diesem Dialogfeld angezeigt werden, sind Ihrer Zeitzone angepasst.
    • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
    • Wenn dieses Dialogfeld nicht angezeigt wird, sollten Sie diese Kopie von FixSirc.com nicht verwenden. Sie stammt nicht von Symantec.
  6. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  7. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird daraufhin beendet.

Die Option "Systemwiederherstellung" in Windows Me/XP
Anwender von Windows Me und Windows XP sollten diese Funktion vorübergehend deaktivieren. Diese Funktion, die standardmäßig aktiviert ist, wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, falls diese beschädigt wurden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass von ihnen in der Systemwiederherstellung eine Sicherungskopie vorhanden ist. Standardmäßig verhindert Windows, dass die Systemwiederherstellung von externen Programmen verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass Online-Prüfprogramme die Infektion an dieser Stelle erkennen. Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in den folgenden englischsprachigen Artikeln oder in Ihrer Windows Dokumentation:
Weitere Informationen sowie eine Alternative zur Deaktivierung der Systemwiederherstellung unter Windows Me finden Sie im Microsoft Knowledge Base-Artikel Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, Artikel-ID: Q263455.

So führen Sie das Programm von einer Diskette aus:
  1. Legen Sie die Diskette, auf der die Datei Fixsirc.com gespeichert ist, in das Diskettenlaufwerk ein.
  2. Klicken Sie auf "Start" und dann auf "Ausführen".
  3. Geben Sie den nachstehenden Befehl ein und klicken Sie dann auf "OK".

    a:\fixsirc.com

    HINWEISE:
    • In dem Befehl a:\fixsirc.com sind keine Leerzeichen enthalten.
    • Wenn Sie Windows Me verwenden und die Systemwiederherstellung nicht deaktiviert haben, wird eine Warnmeldung angezeigt. Sie können entscheiden, ob das Entfernungsprogramm mit aktivierter Systemwiederherstellung ausgeführt oder ob es beendet werden soll.
  4. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm die Ausführung beendet hat.
  5. Wenn Sie Windows Me verwenden, aktivieren Sie die Systemwiederherstellung erneut.


Englische Version dieses Dokuments
Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.