Norton.com > Viren & Risiken > CodeRed Removal Tool

CodeRed Removal Tool

Aktualisiert:
13 Februar 2007 11:33:27 AM
Typ:
Removal Information

Mit dem CodeRed-Entfernungsprogramm können Sie CodeRed I und II sowie CodeRed.F entfernen und eine Schwachstellenanalyse Ihres Computers durchführen. Symantec stellt ein sicheres und zuverlässiges Programm zur Verfügung, um die Auswirkungen einer CodeRed-Infektion zu beseitigen.

So erhalten Sie das Programm und führen es aus:
  1. Gehen Sie zu http://www.sarc.com/avcenter/FixCRed.exe.
  2. Laden Sie die Datei FixCRed.exe in ein geeignetes Verzeichnis herunter, zum Beispiel in Ihren Download-Ordner oder auf den Windows-Desktop.
  3. Um die Authentizität der digitalen Unterschrift zu überprüfen, lesen Sie den Abschnitt Die digitale Unterschrift.
  4. Schließen Sie alle geöffneten Programme, bevor Sie das Programm ausführen, einschließlich jeglicher Virenprüfprogramme wie z. B. NAV Auto-Protect.
  5. Doppelklicken Sie auf die Datei FixCRed.exe, um das Entfernungsprogramm zu starten.

    HINWEIS: Falls Sie das Programm auf eine Diskette heruntergeladen haben und es von der Diskette aus ausführen möchten, beachten Sie bitte den Abschnitt Ausführen des Programms von einer Diskette aus am Ende dieses Dokuments für spezielle Anweisungen.
  6. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm die Ausführung beendet hat.
  7. Aktivieren Sie Auto-Protect erneut.

HINWEISE:
  • Das Entfernungsprogramm prüft nur in Windows 2000 auf CodeRed I und II. Es stellt jedoch den Trojaner Trojan.VirtualRoot in allen Versionen von Windows fest.
  • Wenn das Verfahren abgeschlossen ist, stellt das Programm u. U. fest, dass offene Freigaben vorhanden sind. Die offenen Freigaben werden automatisch durch das Programm entfernt.

Wenn die Ausführung des Programms beendet ist, wird eine Meldung eingeblendet, die angibt, ob der Computer durch den CodeRed-Wurm oder den Trojaner Trojan.VirtualRoot infiziert war. Außerdem wird eine Meldung angezeigt, wenn Ihr Computer für eine erneute Infektion anfällig ist. Falls CodeRed im Arbeitsspeicher festgestellt wurde oder Ihr Computer anfällig ist, öffnet das Programm den Standard-Webbrowser und lädt die Microsoft-Seite, die den Patch enthält. Das Programm sucht erst dann nach dem Trojan.VirtualRoot, wenn der Patch installiert wurde. Im Fall, dass ein Trojan.VirtualRoot entfernt wird, zeigt das Programm folgende Ergebnisse an:
  • Die Anzahl der insgesamt geprüften Dateien
  • Die Anzahl der gelöschten Dateien
  • Die Anzahl beendeter viraler Prozesse

Funktionsweise des Programms
Das Programm führt folgende Aktionen aus:
  1. Es prüft den Arbeitsspeicher auf das Vorhandensein aller bekannten CodeRed-Varianten.
  2. Es führt eine Schwachstellenanalyse des Computers durch. Falls der Computer anfällig ist, öffnet das Programm den Standard-Webbrowser und lädt die Microsoft-Seite, die den Patch enthält.
  3. Es versucht, die CodeRed- und Trojan.VirtualRoot-Prozesse zu beenden.
  4. Es sucht nach von CodeRed II abgelegten Trojan.VirtualRoot-Dateien und löscht diese.
  5. Es entfernt die IIS-Zuordnungen für /Scripts oder /MSADC und stellt das Systemdatei-Überprüfungsprogramm (System File Checker) wieder her.
  6. Es löscht die folgenden vier Dateien, falls diese vorhanden sind:
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\progra~1\Gemein~1\System\MSADC\Root.exe
    • D:\Progra~1\Gemein~1\System\MSADC\Root.exe
  7. Es stellt die von Trojan.VirtualRoot erstellten offenen Freigaben fest und löscht diese automatisch.
  8. Es löscht die Werte von /MSADC und /Scripts aus der Registrierung, um sie vor dem Plazieren in der IIS Metabase zu schützen, falls sie nicht schon vorhanden sind. Sind diese Werte bereits vorhanden, ist die Löschung harmlos, das IIS die Standardwerte wiederherstellt.
  9. Es protokolliert seine Vorgänge in der Datei FixCRed.log. Die Datei wird im selben Ordner wie das Entfernungsprogramm gespeichert.

HINWEIS: Sie müssen über Administratorrechte verfügen, damit das Programm die Zuordnung der virtuellen Roots aufheben kann, die durch den Wurm von der IIS-Metasis aus erstellt wurden.

Die digitale Unterschrift
FixCRed.exe ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Versionen von FixCRed.exe verwenden, die direkt von der Symantec Security Response-Website heruntergeladen wurden. Gehen Sie folgendermaßen vor, um die Authentizität der digitalen Unterschrift zu überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/pub/chktrust.exe.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie FixCRed.exe gespeichert haben, z. B. Ihrem Download-Ordner.
  3. Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS DOS-Eingabeaufforderung".
  4. Wechseln Sie zu dem Ordner, in dem FixCRed.exe und Chktrust.exe gespeichert sind, und geben Sie dann folgenden Befehl ein:

    chktrust -i FixCRed.exe

    Beispiel: Wenn Sie die Datei im Ordner C:\Downloads gespeichert haben, müssen Sie Folgendes eingeben:

    cd\
    cd downloads
    chktrust -i FixCRed.exe


    Drücken Sie nach jedem Befehl die Eingabetaste.
  5. Wenn die digitale Unterschrift gültig ist, werden Sie aufgefordert, Folgendes zu bestätigen:

    Installieren und Ausführen von "Code Red Fix Tool", signiert am 05.09.01 signiert und herausgegeben von: Symantec Corporation

    HINWEISE:
    • Datum und Uhrzeit, die im Dialogfeld angezeigt werden, werden Ihrer Zeitzone angepasst, falls Ihr Computer nicht auf die Zeitzone "Pacific" eingestellt ist.
    • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
    • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
        • Das Programm stammt nicht von Symantec. Wenn Sie sich nicht sicher sind, ob das Programm legitim ist und ob Sie es von der Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
        • Das Programm stammt von Symantec und ist legitim. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut anzeigen lassen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  6. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  7. Geben Sie exit ein, und drücken Sie die Eingabetaste. Die MS DOS-Sitzung wird daraufhin geschlossen.

Ausführen des Programms von einer Diskette aus
  1. Legen Sie die Diskette, auf der die Datei FixCRed.exe gespeichert ist, in das Diskettenlaufwerk ein.
  2. Klicken Sie auf "Start" und dann auf "Ausführen".
  3. Geben Sie den nachstehenden Befehl ein, und klicken Sie dann auf "OK".

    a:FixCRed.exe
  4. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm die Ausführung beendet hat.