Norton.com > Viren & Risiken > VBS.Potok@mm Removal Tool

VBS.Potok@mm Removal Tool

Aktualisiert:
13 Februar 2007 11:33:26 AM
Typ:
Removal Information

Das VBS.Potok@mm-Reparaturprogramm löscht die vom VBS.Potok@mm-Wurm abgelegten Dateien und repariert andere Dateien durch Entfernen von VBS.Potok@mm-Streams.


Bezug und Ausführung des Programms:
  1. Öffnen Sie http://www.symantec security services.com/avcenter/FixPotok.exe.
  2. Laden Sie die Datei FixPotok.exe in einen geeigneten Bereich herunter, z. B. in Ihrem Download-Ordner oder auf Ihrem Windows-Desktop. Wenn Sie in einem Netzwerk arbeiten, führen Sie das Entfernungsprogramm auf allen Computern einschließlich der Server aus.
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift.
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen, einschließlich aller Virenschutz-Scanner wie etwa NAV Auto-Protect.


    ACHTUNG: Überspringen Sie diesen Schritt nicht. Sie müssen Auto-Protect vor Ausführung des Programms deaktivieren. Anweisungen finden Sie im Dokument Einschalten und Ausschalten von Norton AntiVirus Auto-Protect.

  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet. Deaktivieren Sie die Funktion "Dateifreigabe" oder schützen Sie die Dateien mit einem Passwort, bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm durch die Verwendung gemeinsam genutzter Ordner auf Netzwerk-Computern verbreitet, empfehlen wir die gemeinsame Nutzung mit Schreib- und Kennwortschutz zu verwenden, damit der Wurm den Computer nicht erneut infizieren kann. Anweisungen hierzu finden Sie in Ihrer Windows-Dokumentation oder im Dokument Konfigurieren von gemeinsam genutzten Ordnern für maximalen Netzwerkschutz.


    ACHTUNG: Überspringen Sie diesen Schritt nicht. Vor Ausführung dieses Programms müssen Sie die Netzwerkverbindung trennen.

  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP.


    Hinweis: Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen.

  7. Doppelklicken Sie auf die Datei FixPotok.exe, um das Entfernungsprogramm zu starten.


    Hinweise:
    • Wenn Sie das Programm auf eine Diskette heruntergeladen haben und es von der Diskette auch ausführen möchten, finden Sie im Abschnitt Ausführung des Programms von Diskette am Ende dieses Dokuments besondere Anweisungen.
    • Wenn unter Windows Me die Systemwiederherstellung eingeschaltet bleibt, werden Sie eine Warnmeldung sehen. Sie können wahlweise das Entfernungsprogramm bei eingeschalteter Systemwiederherstellung ausführen (nicht empfohlen) oder es stattdessen beenden.

  8. Standardmäßig prüft das Entfernungsprogramm lediglich .vbs- und .ini-Dateien. Um die Prüfung von Dateien mit allen Erweiterungen zu aktivieren, markieren Sie das Feld "Scan files with all extensions".
  9. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  10. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option Systemwiederherstellung.
  11. Aktivieren Sie Auto-Protect wieder.


Hinweise:
  • Wenn Sie eine Meldung sehen, dass das Programm im bgesicherten Modus ausgeführt werden muss, starten Sie den Computer im abgesicherten Modus neu und führen Sie das Programm erneut aus. Sie müssen diese Anweisungen befolgen, um sicherzustellen, dass der Virus den Computer nicht erneut infiziert. Um im abgesicherten Modus neu zu starten, beachten Sie das Dokument Starten Ihres Computers im abgesicherten Modus.
  • Das Entfernungsprogramm ist evtl. nicht erfolgreich, wenn die Systemwiederherstellung in Windows Me noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt. Daher schlagen sämtliche Versuche des Programms, den Wurm zu entfernen, fehl.
  • Wenn der Vorgang abgeschlossen ist, erkennt das Entfernungsprogramm unter Umständen, dass Sie Windows Me verwenden und dass die Systemwiederherstellung deaktiviert ist. In diesem Fall erhalten Sie eine Erinnerungsmeldung, diese Option wieder zu aktivieren.
  • Wenn Sie das Programm über Login-Skripte oder Batch-Dateien ohne Meldungsausgabe ausführen möchten, verwenden Sie die folgende Befehlszeilensyntax für den "Silent"-Modus:

    FixPotok.exe /s

Nach Abschluss des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer von VBS.Potok@mm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Die gesamte Anzahl der überprüften Dateien.
  • Die Anzahl der gelöschten Dateien.
  • Die Anzahl der reparierten Dateien.


Was bewirkt das Programm?
Das .VBS.Potok@mm-Entfernungsprogramm funktioniert wie folgt:
  1. Es prüft und löscht von VBS.Potok@mm abgelegte Dateien.
  2. Sämtliche Dateien auf NTFS-Partitionen werden repariert, damit die infizierten Streams ohne Schaden an den geprüften Dateien gelöscht werden.


Die digitale Unterschrift
FixPotok.exe ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Kopien von FixPotok.exe benutzen, die direkt von der Security Response-Website heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie die Datei FixPotok.exe gespeichert haben (z. B. im Ordner C:\Downloads.
  3. Klicken Sie auf Start > Programme > MS-DOS-Eingabeaufforderung.
  4. Wechseln Sie in den Ordner, in dem FixPotok.exe und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

    chktrust -i FixPotok.exe

    Wenn Sie die Datei z. B. im Ordner C:\Downloads gespeichert haben:

    cd\
    cd downloads
    chktrust -i FixPotok.exe


    Drücken Sie nach jedem Befehl die Eingabetaste.

  5. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    Installieren und Ausführen von "FixPotok.exe", signiert am 31.07.01 12:24 und herausgegeben von: Symantec Corporation.


    Hinweise:
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht angezeigt wird, verwenden Sie Ihre Kopie von FixPotok.exe nicht. Dieses Dienstprogramm ist nicht von Symantec.


  6. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
  7. Geben Sie exit ein und drücken Sie dann die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.


Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese Funktion ist normalerweise aktiviert und wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, wenn diese beschädigt werden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden. Windows verhindert standardmäßig, dass die Systemwiederherstellung durch andere Programme verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass die Onlineprüfung die Infektion in diesem Bereich entdeckt. Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung auszuschalten:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).


Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei Fixpotok.exe in das Diskettenlaufwerk ein.
  2. Klicken Sie auf Start > Ausführen.
  3. Geben Sie Folgendes ein und klicken Sie dann auf OK:

    a:fixpotok.exe


    Hinweis: Wenn unter Windows Me die Systemwiederherstellung eingeschaltet bleibt, werden Sie eine Warnmeldung sehen. Sie können wahlweise das Entfernungsprogramm bei eingeschalteter Systemwiederherstellung ausführen oder es stattdessen beenden.


  4. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Funktion "Systemwiederherstellung" wieder.