Norton.com > Viren & Risiken > Wscript.Kakworm Removal Tool

Wscript.Kakworm Removal Tool

Aktualisiert:
13 Februar 2007 11:33:58 AM
Typ:
Removal Information

HINWEIS: Es gibt zwei Versionen dieses Wurms: Wscript.KakWorm und Wscript.KakWorm.B. Das hier beschriebene Programm bezieht sich lediglich auf den Wurm Wscript.KakWorm.
Informationen zum Wscript.KakWorm.B-Entfernungsprogramm erhalten Sie hier.

So erhalten und verwenden Sie das Wscript.KakWorm-Entfernungsprogramm:
Zur Verwendung des Programms sollten Sie die Datei Fixkak.exe auf Ihren Windows-Desktop oder in einen Ordner auf Ihrer Festplatte herunterladen. Nach abgeschlossenem Download gehen Sie folgendermaßen vor:
  1. Beenden Sie alle Programme.
  2. Doppelklicken Sie auf Fixkak.exe, um die Datei auszuführen. Es wird ein Dialogfeld für das Entfernungsprogramm angezeigt.
  3. Klicken Sie auf "Remove" (Entfernen). Nachdem Sie auf "Remove" geklickt haben, wird eine der folgenden drei Meldungen angezeigt:
    • "Your computer is not infected." (Ihr System ist sicher und Sie müssen keine Maßnahmen ergreifen.)
    • "Your computer has been successfully restored." (Der Wurm wurde entfernt und die vom Wurm im System verursachten Schäden wurden behoben.)
    • "An error occurred during execution of this program." (Das Entfernungsprogramm hat ein Problem festgestellt, das es nicht beheben kann. Sie müssen den Virus manuell entfernen. Anweisungen zur manuellen Entfernung finden Sie auf dieser Internetseite.)

Funktionsweise des Programms
Das Programm zur Beseitigung von Wscript.KakWorm nimmt am System die folgenden Änderungen vor:
  • Es sucht nach der Datei Kak.hta, die vom Wurm im Startordner abgelegt wurde. Wenn die Datei vorhanden ist und die CRC (cyclic redundancy check, zyklische Redundanzprüfung) übereinstimmt, löscht es diese Datei. (Eine CRC ist eine Zahl, die aus einem Datenblock abgeleitet wird und Beschädigungen bei der Übertragung von Daten erkennt.)
  • Es sucht im folgenden Registrierungsschlüssel nach dem Wert "cAgOu":

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Ist dieser Wert vorhanden, wird er gelöscht.
  • Das Programm durchsucht alle Schlüssel unter

    HKEY_CURRENT_USER\Identities\<Unterschlüssel>\Software\Microsoft\Outlook Express\5.0\Signatures

    wobei <Unterschlüssel> für alle möglichen Unterschlüssel von HKEY_CURRENT_USER\Identities steht.
  • Es sucht nach dem Wert für "Default Signature" im Schlüssel "Signatures" für Outlook Express 5.0. Wenn vorhanden, wird dieser Wert gelöscht.
  • Es sucht im Windows-Ordner nach der Datei "Kak.htm" und löscht sie.
  • Es stellt die ursprüngliche Autoexec.bat-Datei wieder her.
  • Falls vorhanden, löscht das Programm den Unterschlüssel \00000000, den der Virus an folgender Stelle erstellt:

    HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000

    HINWEIS: Falls eine Standardsignatur vorhanden war, bevor Outlook Express infiziert wurde, kann das Programm diese nicht wiederherstellen, da der Wurm diese Information nicht speichert.

Informationen zu Chktrust
So können Sie die digitale Unterschrift des Programms Fixkak.exe mithilfe der Date chktrust überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/free.htm
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie Fixkak.exe gespeichert haben.
  3. Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS-DOS-Eingabeaufforderung".
  4. Wechseln Sie zu dem Verzeichnis, in dem Fixkak.exe und chktrust.exe gespeichert sind. Wenn die Dateien z. B. auf dem Windows-Desktop gespeichert sind, geben Sie Folgendes ein:

    cd \windows\desktop
  5. Geben Sie folgenden Befehl ein, um die digitale Unterschrift von Fixkak.exe zu überprüfen:

    chktrust -i fixkak.exe
  6. Wenn die digitale Signatur gültig ist, wird eine der folgenden ähnliche Meldung angezeigt:

    Installieren und Ausführen von "Fix Utility", signiert am 29.07.00 01:38 signiert und herausgegeben von: Symantec Corporation

    HINWEISE:
    • Datum und Uhrzeit, die in dieser Meldung angezeigt werden, sind Ihrer Zeitzone angepasst. Wenn Sie beispielsweise in der Zeitzone "Eastern" leben, sehen Sie für Datum und Uhrzeit 7/28/2000 8:38PM.
    • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
    • Sollte dieses Dialogfeld nicht angezeigt werden, gibt es dafür zwei mögliche Gründe:
        • Das Programm stammt nicht von Symantec. Wenn Sie nicht sicher sind, ob das Programm legitim ist und von der offiziellen Symantec Website heruntergeladen wurde, sollten Sie es nicht ausführen.
        • Das Programm stammt von Symantec und ist legitim. Ihr Betriebssystem wurde jedoch zuvor bereits angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut aufrufen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  7. Klicken Sie auf "Ja", um das Chktrust-Dialogfeld zu schließen.
  8. Geben Sie exit ein und drücken Sie die Eingabetaste.


Englische Version dieses Dokuments
Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.