Norton.com > Viren & Risiken > W32.Klez Removal Tool

W32.Klez Removal Tool

Aktualisiert:
13 Februar 2007 11:33:59 AM
Typ:
Removal Information

Symantec bietet ein Entfernungsprogramm an, das Infektionen aller bekannten Varianten von W32.Klez@mm und W32.ElKern entfernt.

Um eine Online-Demonstration zum Herunterladen und Ausführen dieses Programms und anderer Programme zu erhalten, klicken Sie hier.

Informationen zur Erkennung von W32.Klez.gen@mm
W32.Klez.gen@mm weist auf eine allgemeine Erkennung von Varianten von W32.Klez hin. Computer, die eine Infizierung mit W32.Klez.gen@mm aufweisen, wurden wahrscheinlich entweder von W32.Klez.E@mm oder von W32.Klez.H@mm infiziert. Wenn auf Ihrem Computer eine Infizierung mit W32.Klez.gen@mm festgestellt wird, laden Sie das Programm herunter und führen es aus. In den meisten Fällen kann die Infektion durch das Programm beseitigt werden.

Wie arbeitet das Programm?
Das W32.Klez-Entfernungsprogramm führt folgende Vorgänge aus:
  • Es beendet alle Prozesse, die mit W32.Klez@mm oder W32.ElKern verknüpft sind
  • Es löscht die Dienste von W32.Klez@mm
  • Es entfernt die durch W32.Klez@mm erstellten Registrierungseinträge
  • Es entdeckt alle Arten von Infektionen durch W32.Klez@mm und W32.ElKern und repariert die reparierbaren Dateien
  • Es impft die nach einer Infizierung durch W32.ElKern.4926 reparierten Dateien, um eine erneute Infektion zu verhindern

HINWEISE:
  • Eine Datei, die mit W32.Klez.E@mm oder W32.Klez.H@mm infiziert ist, enthält eine Verknüpfung zu der verschlüsselten Host-Datei. Wenn die verschlüsselte Datei in dieser Verknüpfung nicht vorhanden ist, löscht das Programm die infizierte Datei, da diese nicht reparierbar ist. Die verschlüsselte Datei wird also nicht wiederhergestellt.
  • Beim Reparieren einer mit W32.ElKern infizierten Datei wird der Viruscode aus der infizierten Datei entfernt. Eine Datei, die von einer W32.ElKern-Infektion befreit wurde, kann jedoch möglicherweise nicht mehr ausgeführt werden, da dieser Virus Dateien häufig beschädigt.
Befehlzeilenparameter für dieses Tool

Parameter
Beschreibung
/HELP, /H, /?Zeigt die Hilfsnachricht an.
/NOFIXREGVerhindert die Reparatur der Registrierung (die Verwendung dieses Parameters wird nicht empfohlen).
/SILENT, /SDeaktiviert Rückmeldungen.
/LOG=<Pfadname>Erstellt eine Protokolldatei, wobei der <Pfadname> den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixKlez.log im gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.
/MAPPEDPrüft zugeordnete Netzlaufwerke (die Verwendung dieses Parameters wird nicht empfohlen, bitte beachten Sie den folgenden Hinweis).
/STARTFührt zum unmittelbaren Starten des Prüfvorgangs.
/EXCLUDE=<Pfad>Schließt einen bestimmten <Pfad> von der Prüfung aus (die Anwendung dieses Parameters wird nicht empfohlen).


HINWEIS: Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
  • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
  • Wenn eine infizierte Datei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.
  • Die Reparatur einer mit W32.Klez@mm infizierten Datei kann fehlschlagen, wenn sich die Datei auf dem zugeordneten Laufwerk befindet, da es sich beim Pfad zur ursprünglichen, verschlüsselten Host-Datei um einen lokalen Pfad handelt.
Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

Bezug und Ausführung des Programms

HINWEIS: Sie müssen für die Anwendung dieses Programms auf Windows NT 4.0, Windows 2000 oder Windows XP über Administratorrechte verfügen.
  1. Laden Sie die Datei FixKlez.com von der folgenden Internetseite herunter: http://securityresponse.symantec.com/avcenter/FixKlez.com.
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift in diesem Dokument.
  4. Beenden Sie alle Programme.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP in diesem Dokument.

    HINWEIS: Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen nachdrücklich, diesen Schritt nicht zu überspringen.
  7. Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie 30 Sekunden. Überspringen Sie diesen Schritt nicht.
  8. Starten Sie den Computer im abgesicherten Modus neu. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus.
  9. Doppelklicken Sie auf die Datei FixKlez.com, um das Entfernungsprogramm zu starten.
  10. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  11. Starten Sie den Computer wie gewohnt neu.
  12. Installieren Sie anschließend das Symantec AntiVirus-Produkt neu, wenn Sie eines verwenden.
13. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen, und führen Sie eine erneute Prüfung auf dem Computer durch. Wenn Ihr Symantec AntiVirus-Produkt infizierte Dateien entdeckt und nicht reparieren kann, löschen Sie die Dateien.
14. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".

HINWEIS: Die Infektion kann möglicherweise nicht entfernt werden, wenn die Systemwiederherstellung in Windows Me/XP nicht wie zuvor empfohlen deaktiviert wurde, da Windows verhindert, dass die Systemwiederherstellung von fremden Programmen geändert wird. Wenn W32.Klez.gen@mm vor der Ausführung des Entfernungsprogramms aktiviert wurde, werden Sie Norton AntiVirus (NAV) in den meisten Fällen nicht starten können. Anweisungen zum Ausführen von NAV von der Befehlszeile aus und zum erneuten Installieren von NAV finden Sie im Abschnitt zur Entfernung in der Beschreibung von W32.Klez.E@mm.

Nach Abschluss des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer mit Varianten von W32.Klez@mm und/oder W32.ElKern infiziert war. Wenn die Infektion entfernt werden konnte, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der reparierten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der gelöschten Virusdienste
  • Anzahl der reparierten Registrierungseinträge

Die digitale Unterschrift
FixKlez.com ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FixKlez.com zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie bitte diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im selben Ordner, in dem Sie die Datei FixKlez.com gespeichert haben (z. B. der Ordner C:\Downloads).
  3. Führen Sie je nach Ihrer Windows-Version einen der folgenden Schritte aus:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und anschließend auf "Eingabeaufforderung".
    • Wechseln Sie in den Ordner, in dem sich FixKlez.com und Chktrust.exe befinden, und geben Sie Folgendes ein:

      chktrust -i FixKlez.com

      Wenn sich diese Datei z. B. im Ordner C:\Downloads befindet, geben Sie die folgenden Befehle ein:

      cd\
      cd downloads
      chktrust -i FixKlez.com

      Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

      "IInstallieren und Ausführen von "W32.Klez Fix Tool", signiert am 10.09.02 19:11 signiert und herausgegeben von: Symantec Corporation"

      HINWEISE:
      • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf Pazifikzeit (US) eingestellt ist.
      • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
      • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
        • Das Programm stammt nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
        • Das Dienstprogramm stammt von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
4. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
5. Geben Sie exit ein und drücken Sie auf die Eingabetaste, um die MS-DOS Sitzung zu beenden.

Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass die Onlineprüfung die Infektion in diesem Bereich entdeckt. Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikel-ID Q263455).

Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der FixKlez.com-Datei in das Diskettenlaufwerk.
  2. Klicken Sie auf "Start" und anschließend auf "Ausführen".
  3. Geben Sie den folgenden Text ein:

    a:\fixklez.com

    Klicken Sie anschließend auf "OK".

    HINWEISE:
    • Im Befehl a:\fixklez.com sind keine Leerzeichen enthalten.
    • Wenn unter Windows Me die Systemwiederherstellung eingeschaltet bleibt, erhalten Sie eine Warnmeldung. Sie können wählen, ob Sie das Entfernungsprogramm beenden oder mit aktivierter Systemwiederherstellung ausführen möchten.
4. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
5. Wenn Sie mit Windows Me arbeiten, reaktivieren Sie die Systemwiederherstellung.

HINWEIS: Wenn Sie Norton AntiVirus (NAV) 2000/2001/2002 verwenden, müssen Sie NAV in den meisten Fällen nach dem Entfernen des Virus deinstallieren und erneut installieren. Anweisungen dazu finden Sie im Dokument Wiederherstellen von Norton AntiVirus nach einer Vireninfektion.