Norton.com > Viren & Risiken > W32.Frethem Removal Tool

W32.Frethem Removal Tool

Entdeckt am:
16 Juli 2002
Aktualisiert:
13 Februar 2007 11:34:04 AM
Typ:
Removal Information


Symantec Security Response hat ein Programm entwickelt, mit dem Infektionen durch alle bekannten Varianten von W32.Frethem repariert werden können. Dazu zählen W32.Frethem.A@mm bis W32.Frethem.O@mm.

Funktionsweise des Programms

Das Entfernungsprogramm für W32.Frethem.Gen@mm geht folgedermaßen vor:
  1. Es beendet alle bekannten W32.Frethem-Virenprozesse.
  2. Es löscht alle bekannten W32.Frethem-Dateien.
  3. Es löscht den vom Wurm hinzugefügten Registrierungswert.

Für dieses Programm verfügbare Befehlszeilenparameter

ParameterBeschreibung
/HELP, /H, /?Zeigt die Hilfenachricht an.
/NOFIXREGDeaktiviert die Reparatur der Registrierung (die Verwendung dieses Parameters wird nicht empfohlen).
/SILENT, /SDeaktiviert Rückmeldungen.
/LOG=<Pfadname>Erstellt eine Protokolldatei, wobei <Pfadname> den Speicherort darstellt, in dem die Ausgabe des Programms gespeichert wird.
Standardmäßig erstellt dieser Parameter die Protokolldatei FixFreth.log im gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.
/MAPPEDPrüft zugeordnete Netzlaufwerke (die Verwendung dieses Parameters wird nicht empfohlen, siehe Hinweise.)
/STARTErzwingt den unmittelbaren Start des Prüfvorgangs.
/EXCLUDE=<Pfad>Schließt den angegebenen <Pfad> von der Prüfung aus (die Verwendung dieses Parameters wird nicht empfohlen).

HINWEIS: Bei Verwendung des Parameters /MAPPED kann die vollständige Entfernung des Virus aus dem Remote-Computer aus folgenden Gründen nicht gewährleistet werden:
  • Bei einer Prüfung zugeordneter Laufwerke werden nur die Ordner geprüft, die zugeordnet sind. Dabei werden u. U. nicht alle Ordner auf dem Remote-Computer einbezogen. Dies kann dazu führen, dass Infektionen nicht erkannt werden.
  • Wenn eine infizierte Datei auf einem zugeordneten Laufwerk festgestellt wird, kann die Datei nicht entfernt werden, wenn ein Programm auf dem Remote-Computer diese Datei verwendet.

Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

Bezug und Ausführung des Programms

HINWEIS: Zur Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP müssen Sie über Administratorrechte verfügen.
  1. Laden Sie die Datei FixFreth.exe über folgende Adresse herunter:

    http://securityresponse.symantec.com/avcenter/FixFreth.exe
  2. Speichern Sie die Datei an einem für Sie praktischen Speicherort, z. B. in Ihrem Download-Ordner oder auf dem Desktop (oder ggf. auf austauschbaren Datenträgern, die nicht infiziert sind).
  3. Um die Authentizität der digitalen Unterschrift zu überprüfen, lesen Sie den Abschnitt Die digitale Unterschrift.
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine permanente Internetverbindung besteht, trennen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie unter Windows Me oder XP arbeiten, deaktivieren Sie die Systemwiederherstellung. Weitere Informationen finden Sie im Abschnitt Die Option "Systemwiederherstellung" in Windows Me/XP.

    ACHTUNG: Wenn Sie Windows Me/XP ausführen, empfehlen wir Ihnen nachdrücklich, diesen Schritt nicht zu überspringen.
  7. Doppelklicken Sie auf die Datei FixFreth.exe, um das Entfernungsprogramm zu starten.
  8. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm die Ausführung beendet hat.
  9. Starten Sie den Computer neu.
  10. Führen Sie das Entfernungsprogramm erneut aus, um sicherzustellen, dass das System gesäubert wurde.
  11. Wenn Sie unter Windows Me/XP arbeiten, aktivieren Sie die Systemwiederherstellung erneut.
  12. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.

HINWEIS: Die Infektion kann möglicherweise nicht erfolgreich entfernt werden, wenn die Systemwiederherstellung von Windows Me/XP nicht wie angewiesen deaktiviert wurde, da Windows verhindert, dass die Systemwiederherstellung von externen Programmen bearbeitet wird. Das Entfernungsprogramm könnte aus diesem Grund fehlschlagen.

Wenn die Ausführung des Programms beendet ist, wird Ihnen in einer Meldung mitgeteilt, ob der Computer von W32.Frethem.Gen@mm infiziert war. Wenn der Wurm entfernt wurde, werden die folgenden Ergebnisse angezeigt:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge
Die digitale Unterschrift
FixFreth.exe ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Versionen von FixFreth.exe verwenden, die direkt von der Symantec Security Response-Website heruntergeladen wurden. Gehen Sie folgendermaßen vor, um die Authentizität der digitalen Unterschrift zu überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie FixFreth.exe gespeichert haben (zum Beispiel C:\Downloads).
  3. Führen Sie je nach Betriebssystem einen der folgenden Schritte durch:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme" und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und dann auf "MS-DOS-Eingabeaufforderung".
  4. Wechseln Sie zu dem Ordner, in dem FixFreth.exe und Chktrust.exe gespeichert sind, und geben Sie dann folgenden Befehl ein:

    chktrust -i FixFreth.exe

    Wenn die Datei beispielsweise im Ordner C:\Downloads gespeichert ist, geben Sie folgende Befehle ein:

    cd\
    cd downloads
    chktrust -i FixFreth.exe

    Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, wird Folgendes angezeigt:

    Installieren und Ausführen von "W32.Frethem.Gen@mm Fix Tool", signiert am 23.07.02 17:17 signiert und herausgegeben von: Symantec Corporation

    HINWEISE:
    • Datum und Uhrzeit, die im Dialogfeld angezeigt werden, sind Ihrer Zeitzone angepasst.
    • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
    • Sollte dieses Dialogfeld nicht angezeigt werden, gibt es dafür zwei mögliche Gründe:
      • Das Programm stammt nicht von Symantec. Wenn Sie nicht sicher sind, dass das Programm legitim ist und von der offiziellen Symantec Website heruntergeladen wurde, sollten Sie es nicht ausführen.
      • Das Programm stammt von Symantec und ist legitim. Ihr Betriebssystem wurde jedoch zuvor bereits angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und zum erneuten Aufrufen des Bestätigungsdialogfelds finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  5. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  6. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird daraufhin beendet.

Die Option "Systemwiederherstellung" in Windows Me/XP
Anwender von Windows Me und Windows XP sollten diese Funktion vorübergehend deaktivieren. Diese Funktion, die standardmäßig aktiviert ist, wird von Windows Me/XP verwendet, um auf Ihrem Computer Dateien wiederherzustellen, falls diese beschädigt wurden. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass von ihnen in der Systemwiederherstellung eine Sicherungskopie vorhanden ist. Standardmäßig verhindert Windows, dass die Systemwiederherstellung von externen Programmen verändert wird. Es ist daher möglich, dass Sie eine infizierte Datei versehentlich wiederherstellen oder dass Online-Prüfprogramme die Infektion an dieser Stelle erkennen. Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in den folgenden englischsprachigen Artikeln oder in Ihrer Windows-Dokumentation:
Weitere Informationen sowie eine Alternative zur Deaktivierung der Systemwiederherstellung unter Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455).

Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette, auf der die Datei FixFreth.exe gespeichert ist, in das Diskettenlaufwerk ein.
  2. Klicken Sie auf "Start" und dann auf "Ausführen".
  3. Geben Sie den folgenden Befehl ein und klicken Sie dann auf "OK".

    a:\fixfreth.exe

    HINWEISE:
    • In dem Befehl a:\fixfreth.exe sind keine Leerzeichen enthalten.
    • Wenn Sie Windows Me verwenden und die Systemwiederherstellung nicht deaktiviert haben, wird eine Warnmeldung angezeigt. Sie können entscheiden, ob das Entfernungsprogramm mit aktivierter Systemwiederherstellung ausgeführt oder ob es beendet werden soll.
  4. Klicken Sie auf "Start", um den Vorgang zu starten, und warten Sie, bis das Programm die Ausführung beendet hat.
  5. Wenn Sie Windows Me verwenden, aktivieren Sie die Systemwiederherstellung erneut.


Englische Version dieses Dokuments
Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.