Norton.com > Viren & Risiken > W32.Nimda.A@mm Removal Tool

W32.Nimda.A@mm Removal Tool

Entdeckt am:
19 September 2001
Aktualisiert:
13 Februar 2007 11:33:35 AM
Typ:
Removal Information


Symantec hat ein Entfernungsprogramm zu der Verfügung gestellt, um Infektionen von W32.Nimda.A@mm zu entfernen. Um die Beschreibung zu lesen, die diese Bedrohung im Detail beschreibt, klicken Sie hier.



Achtung: Lesen Sie bitte dies zuerst:
Es sind mehrere Varianten von W32.Nimda im Umlauf. Zwei der häufigsten Varianten sind folgende:
  • W32.Nimda.A@mm
  • W32.Nimda.E@mm
Symantec Security Response hat unterschiedliche Entfernungsprogramme für beide dieser Bedrohungen erstellt. Die Programme sind nicht austauschbar. Bevor Sie ein Entfernungsprogramm benutzen können, müssen Sie wissen, welche Variante den Computer infiziert hat. Das Programm, das von diesem Dokument heruntergeladen werden kann, wurde entwickelt, um Infektionen von W32.Nimda.A@mm zu entfernen. (Beachten Sie die Variantenbezeichnung ".A"). Es entfernt nicht Infektionen von W32.Nimda.E@mm. Wenn Sie eine W32.Nimda.E@mm Infektion entfernen müssen, klicken Sie hier.

Bezug und Ausführung des W32.Nimda.A@mm-Entfernungsprogramms:


Hinweise:
  • Sie müssen für die Ausführung dieses Programms unter Windows NT, Windows 2000 oder Windows XP über Administratorrechte verfügen.
  • Wenn das Programm auf einem Microsoft Exchange-Server 2000 ausgeführt wird, müssen Sie den Microsoft Exchange-Dienst beenden, damit das Programm nicht versucht, das virtuelle Laufwerk M zu prüfen.
  • Das Entfernungsprogramm läuft nicht auf einem Novell-Server. Infizierte Dateien, die sich auf einem Novell-Server befinden, können nicht repariert werden. Der Novell-Server selbst wird nicht infiziert, aber alle Dateien, die sich auf dem Server befinden, können den Virus-Code speichern. Auf Novell-Volumes müssen Sie alle Dateien löschen, die als infiziert erkannt werden, und sie mit einer nicht infizierten Sicherungskopie wiederherstellen.


Wichtig! Bitte lesen:
Wenn Sie eine oder beide der folgenden Situationen auftritt:
  • Wenn nachdem Sie das Programm ausgeführt haben Programme wie Microsoft Word nicht mehr funktionieren.
  • Wenn Sie bei der Ausführung des Programms eine Meldung ähnlich der folgenden sehen: "The file "not" is infected and *$#&#$*#@ repaired."
Die Microsoft Windows-Datei Riched20.dll ist durch den Virus beschädigt worden. Sie müssen diese Datei ersetzen, und in vielen Fällen müssen Sie auch Word oder Office neu installieren. Lesen Sie bitte den Abschnitt Extrahieren der Datei Riched20.dll am Ende dieses Dokuments.


  1. Klicken SIe hier, um die Datei Fixnimda.com von http://securityresponse.symantec.com/avcenter/Fixnimda.com herunterzuladen. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf Ihrem Windows-Desktop.
  2. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift.
  3. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  4. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP.


    Hinweis:Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen.

  5. Doppelklicken Sie auf die Datei Fixnimda.com, um das Entfernungsprogramm zu starten.


    ACHTUNG:Wenn Sie auf einem Netzwerk sind, müssen Sie das Entfernungsprogramm auf allen Computern, einschließlich Servern, ausführen.

  6. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  7. Symantec empfiehlt, das Programm auszuführen, bis auf dem System keine Infektionen mehr gefunden werden.
  8. Bei Bedarf laden Sie die passenden Microsoft-Patches herunter, um angreifbare Systeme zu patchen. Diese Patche können hier gefunden werden:
  9. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet. Deaktivieren Sie die Funktion "Dateifreigabe" oder schützen Sie die Dateien mit einem Passwort, bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm durch die Verwendung gemeinsam genutzter Ordner auf Netzwerkcomputern verbreitet, empfehlen wir die gemeinsame Nutzung mit Schreib- und Kennwortschutz zu verwenden, damit der Wurm den Computer nicht erneut infizieren kann. Anweisungen hierzu finden Sie in Ihrer Windows-Dokumentation oder im Dokument Konfigurieren von gemeinsam genutzten Ordnern für maximalen Netzwerkschutz.
  10. Starten Sie den Computer neu.
  11. Führen Sie das Entfernungsprogramm wieder aus, um sicherzustellen, dass das System sauber ist.
  12. Installieren Sie die notwendigen Microsoft-Patche, um die bekannten Schwachstellen zu patchen.
  13. Verbinden Sie das saubere System wieder mit dem Netzwerk oder aktivieren Sie Ihre permanente Internetverbindung.
  14. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option Systemwiederherstellung.
  15. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virendefinitionen verfügen.


    Hinweis:Das Entfernungsprogramm ist evtl. nicht erfolgreich, wenn die Systemwiederherstellung in Windows Me/XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt. Das Entfernungsprogramm könnte aus diesem Grund nicht funktionieren.

Nach Ausführung des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer mit W32.Nimda.A@mm infiziert war. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm die folgenden Ergebnisse an:
  • Die gesamte Anzahl der überprüften Dateien.
  • Die Anzahl der gelöschten Dateien.
  • Die Anzahl der reparierten Dateien.
  • Die Anzahl der beendeten Virusprozesse.


Die digitale Unterschrift
Fixnimda.com ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Kopien von Fixnimda.com benutzen, die direkt von der Security Response- Website heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie die Datei Fixnimda.com gespeichert haben (z. B. im Ordner C:\Downloads).
  3. Klicken Sie auf Start > Programme > MS-DOS-Eingabeaufforderung.
  4. Wechseln Sie in den Ordner, in dem Fixnimda.com und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

    chktrust -i Fixnimda.com

    Wenn Sie die Datei z. B. im Ordner C:\Downloads gespeichert haben:

    cd\
    cd downloads
    chktrust -i Fixnimda.com


    Drücken Sie nach jedem Befehl die Eingabetaste.
  5. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    Installieren und Ausführen von "Nimda Fix Tool", signiert am 09.10.2001 11:56 und herausgegeben von: Symantec Corporation


    Hinweise:
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht erscheint, kann dies zwei Gründe haben:
      • Dieses Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Tool echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
      • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  6. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
  7. Geben Sie exit ein und drücken Sie dann die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.


Was bewirkt das Programm?
Das W32.Nimda.A@mm-Entfernungsprogramm führt die folgenden Schritte durch:
  1. Beendet alle Prozesse, die mit dem Virus verbunden werden.
  2. Beendet den Prozess Explorer.exe Prozess und startet ihn neu. Der Virus nistet sich in Explorer.exe ein, was diesen Schritt notwendig macht. Dadurch kann die Desktop-Anzeige flackern (dieses ist ein erwartetes Verhalten).
  3. Erkennt alle Typen von den W32.Nimda.A@mm-Infektionen. Repariert die Dateien, die repariert werden können. Löscht .eml-, .nws-, .doc- und .txt-Dateien, die als infiziert erkannt wurden.


    Hinweis:Das Programm löscht keine .eml-Dateien, wenn die Erweiterung keine der oben genannten vier Erweiterungen ist. Z. B. wird eine Datei mit der doppelten Erweiterung .eml.bad nicht gelöscht. Sie müssen solche Dateien manuell löschen.

  4. Repariert die Datei System.ini durch das Entfernen der Änderungen, die an der Zeile shell= vorgenommen wurden.
  5. Entfernt das Gast-Konto aus der Administratorgruppe und deaktiviert das Gast-Konto in der Gastgruppe.
  6. Repariert mehrere HTML-Infektionen.
  7. Setzt freigegebene Laufwerke und Ordner auf die standardmäßigen Sicherheitseinstellungen zurück.


    WICHTIGE HINWEISE:
    • Windows NT/2000/XP Dieses Programm stellt die ursprüngliche Sicherheit von Windows NT/2000/XP-Freigaben wieder her, solange der Computer nicht neu gestartet worden ist, seit der Virus gestartet wurde. Die einzige Ausnahme hierbei sind Freigaben, die Jeder [Vollzugriff] als einzige Rechte konfiguriert haben - diese können nicht von den Freigaben unterschieden werden, die der Virus geändert hat, und sie werden auf Administrator-Gruppe [Vollzugriff] eingestellt.
    • Windows 95/98/Me. Wenn der Computer nicht neu gestartet worden ist, stellt das Programm auf Windows 95/98/Me-Computern die Sicherheitseinstellungen der Freigaben vor der Infektion wieder her. Wenn der Computer neu gestartet worden ist, wendet das Programm die folgenden Einstellungen an:
      • Das "Win9x Share Read Write Password“ wird angewendet bei Freigaben mit der Zugriffsart "Vollzugriff".
      • Das "Win9x Share Read Only Password" wird angewendet bei Freigaben mit der Zugriffsart "Schreibgeschützt“.
      • Beide Kennwörter werden angewendet für Freigaben mit der Zugriffsart "Kennwortabhängig".

  8. Löscht Registrierungswerte, die geändert worden sind, um Windows-Explorer am Anzeigen der versteckten Dateien oder der bekannten Dateierweiterungen zu hindern. Das Löschen dieser Werte stellt sie auf ihre Standardeinstellungen zurück. Sie sollten diese Optionen zu mit den gewünschten Einstellungen neu konfigurieren. (Um dies in Windows-Explorer zu tun, klicken auf das Menü "Ansicht" (Windows 95/98/NT) oder das Menü "Extras" (Windows Me/2000) und klicken Sie dann auf "Optionen" oder "Ordneroptionen". Ändern Sie Einstellungen wie gewünscht.)


Befehlzeilenparameter für dieses Programm
/NOFIXSHARE - deaktiviert Freigabenreparatur (der Gebrauch dieses Schalters wird nicht empfohlen).
/NOFIXREG - deaktiviert die Registrierungsreparatur (der Gebrauch dieses Schalters wird nicht empfohlen).
/SILENT, /S - aktiviert Hintergrundmodus.
/LOG =Pfadname - erstellt eine Protokolldatei, wobei "Pfadname" der Bereich ist, in dem die Ausgabe des Programms gespeichert wird.
/RWPWD=Kennword - verwenden Sie dieses Kennwort für Win9x-Freigaben mit Lese- und Schreibzugriff
/ROPWD=password - verwenden Sie dieses Kennwort für schreibgeschützte Win9x-Freigaben

    ACHTUNG: Sobald ein Computer durch W32.Nimda.A@mm angegriffen worden ist, ist es möglich, dass auf Ihr System von einem entfernten, nicht autorisierten Benutzer zugegriffen worden ist. Aus diesem Grund ist es unmöglich, die Integrität eines Systems zu garantieren, das solch eine Infektion gehabt hat. Der entfernte Benutzer könnte Änderungen an Ihrem System vorgenommen haben, u. a. folgende Änderungen:
    • Kennwörter oder Kennwort-Dateien stehlen oder ändern
    • Remote-Verbindungs-Host-Software (auch "Hintertür" genannt) installieren
    • Tastendruckprotokollierungssoftware installieren
    • Firewall-Regeln konfigurieren
    • Kreditkartennummern, Bankinformationen, persönliche Daten usw. stehlen
    • Dateien löschen oder ändern
    • Unangemessenes oder selbst belastendes Material vom E-Mail-Konto eines Kunden senden
    • Zugriffsrechte auf Benutzerkonten oder Dateien ändern
    • Informationen aus Protokolldateien löschen, um solche Tätigkeiten zu verstecken

    Wenn Sie sicher sein müssen, dass Ihr Unternehmen sicher ist, müssen Sie das Betriebssystem neu installieren und Dateien mit einer Sicherungskopie wieder herstellen, die erstellt wurde, bevor die Infektion stattfand, und Sie müssen alle Kennwörter ändern, die auf den infizierten Computern vorhanden gewesen sein können, oder die von dort zugänglich waren. Dies ist die einzige Weise sicherzustellen, dass Ihre Systeme sicher sind. Für mehr Informationen bezüglich Sicherheit in Ihrem Unternehmen kontaktieren Sie Ihren Systemadministrator.


Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese Funktion ist normalerweise aktiviert und wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, wenn diese beschädigt werden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden. Windows verhindert standardmäßig, dass die Systemwiederherstellung durch andere Programme verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass die Onlineprüfung die Infektion in diesem Bereich entdeckt. Bitte beachten Sie die folgenden englischsprachigen Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung auszuschalten:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

Extrahieren der Datei Riched20.dll
Wenn Sie beim Starten von Programmen wie Microsoft Word Fehler sehen oder wenn die Programme nicht starten, müssen Sie die Datei Riched20.dll extrahieren. (Als Alternative können Sie das Betriebssystem und die betroffenen Programme neu installieren.)

Beachten Sie bitte die Anweisungen für Ihr Betriebssystem.


Hinweis: Diese Anweisungen werden zu Ihrer Hilfe zu der Verfügung gestellt und sollten auf den meisten Computern funktionieren. Für zusätzliche Informationen zum Extrahieren der Dateien, einschließlich andere Windows-Dateien, die beschädigt worden sein können, lesen Sie eines der folgenden Dokumente: Windows 95/98
Sie müssen den Extrahierungsbefehl an einer DOS-Eingabeaufforderung verwenden. Folgen Sie diesen Schritten, um dies mit den Anweisungen für Ihr Betriebssystem zu tun.


    Hinweise:
    • Sie benötigen eine Windows 98/Me-Startdiskette. (Wenn Sie Windows 95 benutzen, benötigen Sie ebenfalls eine Startdiskette, die auf einem Windows 98/Me-Computer erstellt wurde). Anweisungen zum Erstellen einer solchen Diskette finden Sie im Dokument Erstellen einer Windows-Startdiskette .
    • Halten Sie die Windows Installations-CD verfügbar.
    • Wenn Sie den Befehl eingeben, geben Sie für den Buchstaben x den entsprechenden Laufwerksbuchstaben für Ihr CD-ROM-Laufwerk ein. Wenn Sie z. B. Windows 98 verwenden und das CD-ROM-Laufwerk den Buchstaben D verwendet, geben Sie Folgendes ein:

      extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system

    • Wenn Windows in einem anderen Ordner als C:\Windows installiert ist, ersetzen Sie den entsprechenden Pfad oder den Ordnernamen im letzten Teil des Befehls, der sich auf den \Windows-Ordner bezieht.
    • Für ausführliche Anweisungen zum Verwenden des Extrahierunsbefehls beachten Sie das Microsoft-Dokument SO WIRD'S GEMACHT: Extrahieren komprimierter Windows-Originaldateien, Artikelnummer Q129605.
    • Als eine etwas einfachere Alternative zum folgenden Verfahren können Sie, wenn Sie Windows 98 benutzen, die Systemdateiprüfung verwenden, um die Datei wiederherzustellen. Für Informationen dazu lesen Sie Ihre Windows-Dokumentation.
  1. Fahren Sie den Computer herunter und schalten Sie ihn aus. Sobald der Computer aus ist, fügen Sie die Startdiskette in das Windows 98/Me-Diskettenlaufwerk ein und schalten Sie den Computer wieder ein. Wählen Sie im Menü die Option wählen Sie Computer mit CD-ROM-Unterstützung starten aus.
  2. Geben Sie den Befehl für Ihr Betriebssystem ein:
    • Wenn Sie Windows 98 benutzen, dann geben Sie das folgende ein und drücken Sie Eingabetaste:

      extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system

    • Wenn Sie Windows 95 benutzen, dann geben Sie das folgende ein und drücken Sie Eingabetaste:

      extract /a win95_10.cab riched20.dll /L c:\windows\system

    Hinweis: Wenn Sie eine Fehlermeldung sehen, dann wiederholen Sie den Schritt 2 und stellen Sie sicher dass Sie den richtigen Befehl für Ihr Betriebssystem eingegeben haben und dass Sie ihn genau wie gezeigt eingaben. Andernfalls geben Sie exit ein und drücken Sie dann die Eingabetaste.



Windows NT 4.0
  1. Stellen Sie sicher, dass Windows so konfiguriert ist, dass alle Dateien angezeigt werden.
  2. Suchen Sie und löschen Sie dann alle Riched20.dll-Dateien.
  3. Wenden Sie das neueste Service Pack an. Das Service Pack ersetzt die Datei mit einer neuen Kopie.
  4. Wenn, nachdem Sie die Riched20.dll Datei ersetzt haben, Programme wie Microsoft Word oder Office nicht mehr funktionieren oder Sie beim Start dieser Programme Fehlermeldungen sehen, müssen Sie Microsoft Office möglicherweise neu installieren.


Windows 2000
Wenn Sie Windows 2000 benutzen, sucht ein eingebautes Programm nach fehlenden oder beschädigten Systemdateien und ersetzt diese. Um die beschädigte Datei Riched20.dll zu ersetzen, folgen Sie diesen Schritten:
  1. Stellen Sie sicher, dass die Systemdateiprüfung wird aktiviert ist
    1. Klicken Sie auf Start > Ausführen.
    2. Geben Sie cmd ein und klicken auf Sie OK.
    3. Geben Sie Folgendes ein und drücken Sie die Eingabetaste:

      sfc /enable
    4. Geben Sie exit ein und drücken Sie dann die Eingabetaste.
  2. Stellen Sie sicher, dass Windows eingestellt ist, um alle Dateien anzuzeigen:
    1. Starten Sie Windows Explorer.
    2. Klicken Sie auf das Menü Extras und wählen Sie Ordneroptionen.
    3. Klicken Sie auf die Registerkarte Ansicht.
    4. Deaktivieren Sie Dateinamenerweiterung bei bekannten Dateitypen ausblenden.
    5. Deaktivieren Sie Geschützte Systemdateien ausblenden (empfohlen) und klicken Sie unter Versteckte Dateien und Ordner auf Alle Dateien und Ordner anzeigen.
    6. Klicken Sie auf Übernehmen > OK.
  3. Suchen Sie nach der Datei Riched20.dll:
    1. Klicken Sie auf Start > Suchen > Dateien/Ordner bzw. Nach Dateien oder Ordnern.
    2. Stellen Sie sicher, dass die Option Suchen in… auf C: eingestellt ist und dass Untergeordnete Ordner einbeziehen aktiviert ist.
    3. Fügen Sie in das Feld Name bzw. Nach folgenden Dateien oder Ordnern suchen den folgenden Dateinamen ein:

      riched20.dll

    4. Klicken Sie auf Starten oder Jetzt suchen.
    5. Löschen Sie die Dateien, die angezeigt werden.
  4. Starten Sie den Computer neu.
  5. Die Systemdateiprüfung ersetzt alle fehlenden Riched20.dll-Dateien. Wenn, nachdem Sie die Riched20.dll Datei ersetzt haben, Programme wie Microsoft Word oder Office nicht mehr funktionieren oder Sie beim Start dieser Programme Fehlermeldungen sehen, müssen Sie Microsoft Office möglicherweise neu installieren.