Norton.com > Viren & Risiken > W32.Nimda.E@mm Removal Tool

W32.Nimda.E@mm Removal Tool

Entdeckt am:
30 Oktober 2001
Aktualisiert:
13 Februar 2007 11:33:41 AM
Typ:
Removal Information

Symantec bietet ein Programm, mit dem Infektionen von W32.Nimda.E@mm beseitigt werden können.

ACHTUNG: Dieses Programm ist zur Beseitigung von Infektionen durch W32.Nimda.E@mm bestimmt. Es beseitigt keine Infektionen durch W32.Nimda.A@mm. Wenn Sie eine W32.Nimda.A@mm-Infektion entfernen müssen, laden Sie das Entfernungsprogramm für W32.Nimda.A@mm herunter.

Funktionsweise des Programms
DasProgramm zum Entfernen von W32.Nimda.E@mm geht folgendermaßen vor:
  1. Es beendet alle Prozesse, die mit dem Virus verknüpft sind.
  2. Es beendet den Explorer.exe-Prozess und startet diesen neu. Da sich der Virus in der Datei Explorer.exe festsetzt, ist dieser Schritt notwendig. Sie werden deshalb ein Aufflackern des Desktop bemerken (dies ist ein erwartetes Phänomen).
  3. Das Programm entdeckt alle Arten von W32.Nimda.E@mm-Infektionen. Dateien, die repariert werden können, werden repariert. Als infiziert erkannte .eml-, .nws-, .doc- und .txt-Dateien werden gelöscht.

    HINWEIS: In Fällen, in denen die Dateierweiterung nicht den oben genannten vier Erweiterungen entspricht, werden .eml-Dateien nicht gelöscht. Eine Datei, die z. B. die doppelte Erweiterung .eml.bad hat, wird nicht gelöscht. Solche Dateien müssen manuell gelöscht werden.
  4. Die Datei System.ini wird repariert, indem in der Zeile "shell=" vorgenommene Änderungen gelöscht werden.
  5. Das Gästekonto wird aus der Administratorgruppe entfernt und das Gästekonto in der Gästegruppe wird deaktiviert.
  6. Multiple HTML-Infektionen werden repariert.
  7. Freigegebene Laufwerke und Ordner werden auf ihre standardmäßigen Einstellungen zurückgesetzt.

    WICHTIGE HINWEISE:
    • Windows NT/2000/XP: Das Programm stellt die ursprünglichen Sicherheitseinstellungen von Freigaben in Windows NT/2000/XP wieder her, sofern der Computer nach dem Virusbefall nicht neu gestartet wurde. Die einzige Ausnahme betrifft Freigaben, die als einzige Berechtigungsoption Vollzugriff für Alle haben. Diese können von Freigaben, die von dem Virus geändert wurden, nicht unterschieden werden und werden daher auf Vollzugriff für Administratoren eingestellt.
    • Windows 95/98/Me: Sofern der Computer nicht neu gestartet wurde, stellt das Programm unter Windows 95/98/Me die Sicherheitseinstellungen der Freigaben vor der Infektion wieder her. Wurde der Computer bereits neu gestartet, so werden folgende Einstellungen übernommen:
      • Das Win9x-Freigabekennwort für Lese-/Schreibzugriff wird Freigaben mit Vollzugriff zugewiesen.
      • Das Win9x-Freigabekennwort für schreibgeschützten Zugriff wird Freigaben mit dem Zugriffstyp "Schreibgeschützt" zugewiesen.
      • Beide Kennwörter werden Freigaben mit dem Zugriffstyp "Zugriff abhängig von Kennwort" zugewiesen.
    • Novell-Server: Das Entfernungsprogramm kann nicht auf Novell-Servern ausgeführt werden. Infizierte Dateien auf einem Novell-Server können nicht repariert werden. Der Novell-Server selbst wird nicht infiziert, aber alle darauf befindlichen Dateien können den Viruscode enthalten. Auf Novell-Volumes müssen Sie alle als infiziert erkannten Dateien löschen und diese aus einer nicht infizierten Sicherungskopie wiederherstellen.
  8. Das Programm löscht Registrierungswerte, die bearbeitet wurden, um Windows Explorer daran zu hindern, versteckte Dateien oder bekannte Dateierweiterungen anzuzeigen. Durch das Löschen dieser Werte werden die Standardeinstellungen wiederhergestellt. Sie sollten diese Optionen für die gewünschten Einstellungen umkonfigurieren. Klicken Sie dazu im Windows Explorer auf das Menü "Ansicht" (Windows 95/98/NT) bzw. "Extras" (Windows Me/2000) und dann auf "Optionen" bzw. "Ordneroptionen". Ändern Sie die Einstellungen wie gewünscht.
  9. Führt eine Virenprüfung für zugeordnete Laufwerke durch.

Für dieses Programm verfügbare Befehlszeilenparameter:


/NOFIXSHAREDeaktiviert die Reparatur von Freigaben (die Verwendung dieses Parameters wird nicht empfohlen).
/NOFIXREGDeaktiviert die Reparatur der Registrierung (die Verwendung dieses Parameters wird nicht empfohlen).
/SILENT, /SAktiviert den Silent-Modus.
/LOG=<Pfadname>Erstellt eine Protokolldatei, wobei <Pfadname> den Speicherort darstellt, in dem die Ausgabe des Programms gespeichert wird.
/RWPWD=<Kennwort>Weist dieses Kennwort Windows 9x-Freigaben mit Lese/-Schreibzugriff zu.
/ROPWD=<Kennwort>Weist dieses Kennwort Windows 9x-Freigaben mit schreibgeschützem Zugriff zu.
/MAPPED Prüft zugeordnete Netzlaufwerke.


ACHTUNG: Sobald Ihr Computer durch W32.Nimda.E@mm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat. Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:
  • Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
  • Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
  • Installieren von Software zur Aufzeichnung von Tastatureingaben
  • Konfigurieren von Firewall-Regeln
  • Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
  • Löschen und Bearbeiten von Dateien
  • Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto
  • Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
  • Löschen von Protokolldateien, um solche Aktivitäten zu verbergen

Um sicherzustellen, dass Ihr System sicher ist, muss das Betriebssystem neu installiert werden. Dateien aus Sicherungskopien vor der Infizierung müssen wiederhergestellt werden und alle Kennwörter, die sich auf den infizierten Computern befanden oder auf die von diesen zugegriffen werden konnte, müssen geändert werden. Dies ist die einzige Möglichkeit, die Sicherheit Ihrer Systeme zu gewährleisten. Weitere Informationen bezüglich der Sicherheit in Ihrem Unternehmen erhalten Sie von Ihren Systemadministrator.

So erhalten Sie das Programm und führen es aus:
HINWEIS: Zur Ausführung dieses Programms unter Windows NT, Windows 2000 oder Windows XP müssen Sie über Administratorrechte verfügen.

WICHTIG! Bitte beachten Sie:
Wenn eine oder beide der folgenden Situationen eintreten:
  • Nach der Ausführung des Programms können Programme wie Microsoft Word nicht mehr ausgeführt werden
  • Bei der Ausführung des Programms erhalten Sie in etwa die folgende Meldung: "Die Datei "not" ist infiziert und *$#&#$*#@ repariert."
In diesen Fällen ist die Microsoft Windows-Datei Riched20.dll durch den Virus beschädigt worden. Sie müssen diese Datei ersetzen und in den vielen Fällen zudem Word oder Office neu installieren. Bitte lesen Sie den Abschnitt Extrahieren der Datei Riched20.dll weiter unten in diesem Dokuments.

ACHTUNG: Bitte zuerst lesen: Bevor Sie das Programm auf den Computer herunterladen, empfiehlt Symantec Security Response nachdrücklich, dass Sie den Computer vom Netzwerk trennen. Wenn möglich sollten Sie das Programm auf einen Computer laden, von dem Sie wissen, dass er nicht infiziert ist. Auf diesem Computer müssen alle Sicherheits-Patches installiert sein. Wenn möglich sollten das Programm und die Patches außerdem auf austauschbare Datenträger kopiert werden, die dann zur Bereinigung und Aktualisierung infizierter Computer verwendet werden sollten.
  1. Laden Sie die Datei FxNimdaE.com von http://securityresponse.symantec.com/avcenter/FxNimdaE.com herunter. Speichern Sie die Datei an einem für Sie praktischen Speicherort, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder ggf. auf austauschbaren Datenträgern, die nicht infiziert sind).
  2. Um die Echtheit der digitalen Unterschrift zu überprüfen, lesen Sie den Abschnitt Die digitale Unterschrift.
  3. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  4. Wenn Sie in einem Netzwerk arbeiten oder eine permanente Internetverbindung besteht, trennen Sie die Verbindungen zum Netzwerk und zum Internet. Deaktivieren Sie die Funktion "Dateifreigabe" oder schützen Sie die Dateien mit einem Kennwort, bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm mit Hilfe von freigegebenen Ordnern auf vernetzten Computern verbreitet, sollten Sie Dateien nur schreibgeschützt oder mit Kennwort versehen freigeben. So können Sie sicherstellen, dass der Wurm den Computer nicht erneut infiziert, nachdem er entfernt wurde. Anweisungen dazu finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie werden gemeinsam genutzte Ordner für maximalen Netzwerkschutz konfiguriert?.
  5. 5. Wenn Sie unter Windows Me oder XP arbeiten, deaktivieren Sie die Systemwiederherstellung. Weitere Informationen finden Sie im Abschnitt Die Option "Systemwiederherstellung" in Windows Me/XP.

    HINWEIS: Wenn Sie Windows Me/XP ausführen, empfehlen wir Ihnen nachdrücklich, diesen Schritt nicht zu überspringen.
  6. Doppelklicken Sie auf die Datei FxNimdaE.com, um das Entfernungsprogramm zu starten.

    ACHTUNG: Wenn Sie mit einem Netzwerk arbeiten, muss das Entfernungsprogramm auf alle Computer und Server angewendet werden.
  7. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm ausgeführt wurde.
  8. WICHTIG: Symantec empfiehlt, dass das Programm mehrmals ausgeführt wird, bis es angibt, dass keine Infektionen mehr im System vorhanden sind.
  9. Laden Sie ggf. die geeigneten Microsoft-Patches herunter, um sie in anfälligen Systemen zu installieren. Diese Patches finden Sie auf den folgenden Microsoft-Sites:
  10. Starten Sie den Computer neu.
  11. Führen Sie das Entfernungsprogramm erneut aus, um sicherzustellen, dass das System gesäubert wurde.
  12. Installieren Sie die erforderlichen Microsoft-Patches, um bekannte Schwachstellen zu beheben.
  13. Verbinden Sie das gesäuberte System erneut mit dem Netzwerk bzw. stellen Sie Ihre permanente Internetverbindung wieder her.
  14. Wenn Sie unter Windows Me/XP arbeiten, aktivieren Sie die Systemwiederherstellung erneut.
  15. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.
    HINWEIS: Die Infektion kann möglicherweise nicht erforlgreich entfernt werden, wenn die Systemwiederherstellung von Windows Me/XP nicht wie angewiesen deaktiviert wurde, da Windows verhindert, dass die Systemwiederherstellung von externen Programmen bearbeitet wird. Das Entfernungsprogramm könnte aus diesem Grund fehlschlagen.

Wenn die Ausführung des Programms beendet ist, wird Ihnen in einer Meldung mitgeteilt, ob der Computer von W32.Nimda.E@mm infiziert war. Im Falle einer Entfernung des Wurms werden die folgenden Ergebnisse angezeigt:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der reparierten Dateien
  • Anzahl der beendeten Virusprozesse

Die digitale Unterschrift
Fixnimdae.com ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Versionen von Fixnimdae.com verwenden, die direkt von der Symantec Security Response-Website (vormals SARC) heruntergeladen wurden. Gehen Sie folgendermaßen vor, um die Authentizität der digitalen Unterschrift zu überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/free.htm
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie Fixnimdae.com gespeichert haben (zum Beispiel C:\Downloads).
  3. Klicken Sie auf "Start", zeigen Sie auf "Programme", und klicken Sie auf "MS-DOS-Eingabeaufforderung".
  4. Wechseln Sie zu dem Ordner, in dem FxNimdaE.com und Chktrust.exe gespeichert sind, und geben Sie dann folgenden Befehl ein:

    chktrust -i FxNimdaE.com

    Wenn die Datei beispielsweise im Ordner C:\Downloads gespeichert ist, geben Sie folgende Befehle ein:

    cd\
    cd downloads
    chktrust -i FxNimdaE.com


    Drücken Sie nach jedem Befehl die Eingabetaste.
  5. Wenn die digitale Unterschrift gültig ist, wird Folgendes angezeigt:

    Installieren und Ausführen von "Nimda Fix Tool", signiert am 03.11.01 00:37 signiert und herausgegeben von: Symantec Corporation

    HINWEISE:
    • Datum und Uhrzeit, die im Dialogfeld angezeigt werden, sind Ihrer Zeitzone angepasst.
    • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
    • Sollte dieses Dialogfeld nicht angezeigt werden, gibt es dafür zwei mögliche Gründe:
        • Das Programm stammt nicht von Symantec. Wenn Sie nicht sicher sind, ob das Programm legitim ist und von der offiziellen Symantec Website heruntergeladen wurde, sollten Sie es nicht ausführen.
        • Das Programm stammt von Symantec und ist legitim. Ihr Betriebssystem wurde jedoch zuvor bereits angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut aufrufen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  6. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  7. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird daraufhin beendet.


Die Option "Systemwiederherstellung" in Windows Me/XP
Anwender von Windows Me und Windows XP sollten diese Funktion vorübergehend deaktivieren. Diese Funktion, die standardmäßig aktiviert ist, wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, falls diese beschädigt wurden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass von ihnen in der Systemwiederherstellung eine Sicherungskopie vorhanden ist. Standardmäßig verhindert Windows, dass die Systemwiederherstellung von externen Programmen verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass Online-Prüfprogramme die Infektion an dieser Stelle erkennen. Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in den folgenden englischsprachigen Artikeln oder in Ihrer Windows Dokumentation:
Weitere Informationen sowie eine Alternative zur Deaktivierung der Systemwiederherstellung unter Windows Me finden Sie im Microsoft Knowledge Base-Artikel Anti-Virus Programms Cannot Clean Infected Files in the _Restore Folder (Artikelnummer: Q263455).


Extrahieren der Datei Riched20.dll
Wenn Sie beim Starten von Programmen wie Microsoft Word Fehlermeldungen erhalten oder die Programme nicht gestartet werden können, müssen Sie die Datei Riched20.dll extrahieren. (Sie können auch das Betriebssystem und die betroffenen Programme neu installieren.)

Folgen Sie bitte den Anweisungen für Ihr Betriebssystem.

HINWEIS: Diese Anweisungen sollen Ihnen die Arbeit erleichtern und funktionieren auf den meisten Computern. Weitere Informationen zum Extrahieren von Dateien (einschließlich anderer Windows-Dateien, die möglicherweise beschädigt sind) finden Sie in einem der folgenden Dokumente: Windows 95/98
Verwenden Sie den Befehl "Extract" an einer DOS-Eingabeaufforderung. Führen Sie die folgenden Schritte durch und verwenden Sie dabei die für Ihr jeweiliges Betriebssystem bestimmten Anweisungen.
      HINWEISE:
      • Sie benötigen eine Windows 98/Me-Startdiskette. (Auch wenn Sie Windows 95 verwenden, benötigen Sie eine Startdiskette, die auf einem Windows 98/Me-Computer erstellt wurde.) Anweisungen zur Erstellung dieser Diskette finden Sie im Dokument Wie wird eine Windows Startdiskette erstellt?.
      • Halten Sie die Windows-Installations-CD bereit.
      • Wenn Sie den Befehl eingeben, müssen Sie den Buchstaben x durch den entsprechenden Laufwerksbuchstaben für Ihr CD-ROM-Laufwerk ersetzen. Wenn Sie z. B. Windows 98 verwenden und Ihr CD-ROM-Laufwerk das Laufwerk D ist, geben Sie Folgendes ein:

        extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
      • Wenn Sie Windows in einem anderen Ordner als C:\Windows installiert haben, dann ersetzen Sie den letzten Teil der Eingabe, die sich auf den Ordner \Windows bezieht, durch den entsprechenden Pfad- oder Ordnernamen.
      • Genaue Anweisungen zur Verwendung des Befehls "Extract" finden Sie im Microsoft-Dokument Extrahieren komprimierter Windows-Originaldateien (Artikelnummer: 129605).
      • Wenn Sie Windows 98 verwenden, besteht eine etwas einfachere Alternative zu der folgenden Verfahrensweise darin, die Datei mithilfe des Systemdatei-Überprüfungsprogramms (System File Checker) wiederherzustellen. Weitere Informationen dazu finden Sie in Ihrer Windows-Dokumentation.
    1. Fahren Sie den Computer herunter und schalten Sie ihn aus. Nachdem der Computer ausgeschaltet wurde, legen Sie die Windows 98/Me-Startdiskette in das Diskettenlaufwerk ein und schalten Sie den Computer erneut ein. Wählen Sie im Menü die Option "Computer mit CD-ROM-Unterstützung starten" aus.
    2. Geben Sie den für Ihr Betriebssystem relevanten Befehl ein:
      • Wenn Sie Windows 98 verwenden, geben Sie folgenden Befehl ein und drücken Sie die Eingabetaste:

        extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
      • Wenn Sie Windows 95 verwenden, geben Sie folgenden Befehl ein und drücken Sie die Eingabetaste:

        extract /a win95_10.cab riched20.dll /L c:\windows\system
      HINWEIS: Sollte eine Fehlermeldung angezeigt werden, so wiederholen Sie Schritt 2, und achten Sie darauf, dass Sie den für Ihr Betriebssystem bestimmten Befehl genau wie oben gezeigt eingeben. Andernfalls geben Sie exit ein und drücken Sie die Eingabetaste.

    Windows NT 4.0
    1. Vergewissern Sie sich, dass Windows so konfiguriert ist, dass alle Dateien angezeigt werden.
    2. Suchen Sie alle Riched20.dll-Dateien und löschen Sie diese.
    3. Installieren Sie das aktuellste Service Pack erneut. Das Service Pack ersetzt die Datei durch eine neue Kopie.
    4. Wenn nach Ersetzen der Riched20.dll-Datei Programme wie Microsoft Word oder Office nicht länger funktionieren, oder wenn Sie beim Starten Fehlermeldungen sehen, müssen Sie Microsoft Office möglicherweise neu installieren.

    Windows 2000
    Wenn Sie mit Windows 2000 arbeiten, sucht und ersetzt ein integriertes Programm fehlende oder beschädigte Systemdateien. Gehen Sie folgendermaßen vor, um eine beschädigte Riched20.dll-Datei zu ersetzen:
    1. Stellen Sie sicher, dass die "Systemdateiprüfung" aktiviert ist:
      1. Klicken Sie auf "Start" und dann auf "Ausführen".
      2. Geben Sie cmd ein und klicken Sie auf "OK".
      3. Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste.

        sfc /enable
      4. Geben Sie exit ein und drücken Sie die Eingabetaste.
    2. Vergewissern Sie sich, dass Windows so konfiguriert ist, dass alle Dateien angezeigt werden.
      1. Starten Sie Windows Explorer.
      2. Klicken Sie im Menü "Extras" auf "Ordneroptionen".
      3. Klicken Sie auf die Registerkarte "Ansicht".
      4. Deaktivieren Sie das Kontrollkästchen "Keine Erweiterungen für registrierte Dateien".
      5. Deaktivieren Sie die Option "Geschützte Systemdateien ausblenden (empfohlen)" und klicken Sie unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen".
      6. Klicken Sie auf "Übernehmen" und anschließend auf "OK".
    3. Suchen Sie nach der Datei Riched20.dll:
      1. Klicken Sie auf "Start", zeigen Sie auf "Suchen" und klicken Sie auf "Nach Dateien und Ordnerd".
      2. Stellen Sie sicher, dass die Option "Suchen in" auf "C:" eingestellt ist und dass die Option "Unterordner durchsuchen" aktiviert ist.
      3. Fügen Sie in das Feld "Nach folgenden Dateien oder Ordnern suchen" den folgenden Dateinamen ein:

        riched20.dll
      4. Klicken Sie auf "Jetzt Suchen".
      5. Löschen Sie die angezeigten Dateien.
    4. Starten Sie den Computer neu.
    5. Die Systemdateiprüfung ersetzt alle fehlenden Riched20.dll-Dateien. Wenn nach dem Entfernen der Datei Riched20.dll Programme wie Microsoft Word oder Office nicht länger funktionieren, oder wenn Sie beim Starten Fehlermeldungen erhalten, müssen Sie Microsoft Office möglicherweise neu installieren.


    Englische Version dieses Dokuments
    Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.