Norton.com > Viren & Risiken > W32.Magistr Removal Tool

W32.Magistr Removal Tool

Entdeckt am:
27 Februar 2002
Aktualisiert:
13 Februar 2007 11:34:05 AM
Typ:
Removal Information

Symantec hat ein Programm, Fixmagi.com, entwickelt, mit dem Infektionen aller bekannten Varianten von W32.Magistr@mm entfernt werden können.

Funktionsweise des Programms
DasW32.Magistr-Entfernungsprogramm geht folgendermaßen vor:
  • Es beendet alle mit W32.Magistr.24876@mm oder W32.Magistr.39921@mm verknüpften Prozesse.
  • Es löscht die W32.Magistr.24876@mm- oder W32.Magistr.Magistr@mm-Dienste.
  • Es entfernt die Registrierungseinträge, die von W32.Magistr.24876@mm oder W32.Magistr.39921@mm erstellt wurden.
  • Es erkennt W32.Magistr.24876@mm- und W32.Magistr.39921@mm-Infektionen und repariert alle Dateien, die repariert werden können.
  • Es erstellt Sicherungskopien von allen Dateien, die nicht repariert werden können.
  • Es zeigt an, welche Aktionen stattgefunden haben, und speichert die Beschreibung in einer Protokolldatei.

HINWEIS: Bei der Reparatur von W32.Magistr-Infektionen wird der Viruscode aus der Datei entfernt. Dies gewährleistet jedoch nicht, dass eine Datei, die von einer W32.Magistr.24876@mm- oder W32.Magistr.39921@mm-Infektion befreit wurde, weiterhin ausgeführt werden kann, da diese Viren Dateien oft beschädigt.

Befehlzeilenparameter für dieses Programm

Parameter
Beschreibung
PfadDient zur Angabe des zu prüfenden Pfads. Dieser kann zugeordnete Laufwerke enthalten. Es werden alle unter dem angegebenen Pfad befindlichen Unterordner geprüft.
/aPrüft alle Laufwerke mit Ausnahme von Dislettenlaufwerken.
/log=<Protokolldatei_Pfad>Wird verwendet, um das Verzeichnis und den Namen der Protokolldatei anzugeben. Die Standardprotokolldatei ist C:\Magi.log.
/backup=<Backup_Verz>Wird verwendet, um den Speicherort für irreparable Dateien anzugeben. Der Standardordner für Sicherungskopien ist C:\Backup.


Bezug und Ausführung des Programms

HINWEIS: Zur Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP müssen Sie über Administratorrechte verfügen.
  1. Laden Sie Fixmagi.com von der folgenden Website herunter:

    http://securityresponse.symantec.com/avcenter/Fixmagi.com
  2. Je nachdem, unter welchem Betriebssystem Sie arbeiten, speichern Sie die Datei an einem der folgenden Speicherorte:
    • Windows 95/98/Me: Speichern Sie die Datei auf dem Windows-Desktop.
    • Windows 2000/XP: Speichern Sie die Datei im Stammverzeichnis von Laufwerk C:.
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, lesen Sie den nächsten Abschnitt Die digitale Unterschrift.
  4. Starten Sie den Computer im abgesicherten Modus neu. (Alle 32 Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden.) Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet?.
  5. Nachdem der Computer im abgesicherten Modus neu gestartet wurde, gehen Sie folgendermaßen vor, um das Entfernungsprogramm auszuführen:
    1. Klicken Sie auf "Start"und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
    2. Geben Sie den folgenden Befehl ein und klicken Sie dann auf "OK":

      command

      Wenn die Meldung "Wenn Sie ein MS-DOS-Programm im abgesicherten Modus ausführen, laufen Sie Gefahr, den Grafikkartentreiber zu beschädigen..." angezeigt wird, klicken Sie auf "Ja".
    3. Gehen Sie folgendermaßen vor, um das Programm auszuführen (abhängig von der Windows-Version, die auf dem infizierten Computer ausgeführt wird):
      • Windows 95/98/Me:
        Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

        fixmagi.com C:\
      • Windows 2000/XP:
        Geben Sie die folgenden Befehle ein und drücken Sie nach jeder Zeile die Eingabetaste:

        cd\
        fixmagi.com C:\

    4. Lesen Sie die Warnmeldung und drücken Sie auf die Taste "Y", wenn Sie folgende Frage sehen: "Do you accept this condition?" (Akzeptieren Sie diese Bedingung?)

      Der Computer wird daraufhin auf Spuren einer Magistr-Infektion geprüft. Nach Abschluss der Prüfung erstellt das Entfernungsprogramm eine Protokolldatei, in der alle Ergebnisse aufgezeichnet werden. Die Protokolldatei wird standardmäßig C:\Magi.log genannt. Doppelklicken Sie auf die Datei, um ihren Inhalt anzuzeigen.
  6. Der Virus sollte nun deaktiviert sein. Starten Sie den Computer im normalen Modus neu.
  7. Wenn der Computer wieder im normalen Modus ausgeführt wird, starten Sie Norton AntiVirus und führen Sie LiveUpdate aus, um die neuesten Virusdefinitionen und alle verfügbaren Programmaktualisierungen zu erhalten.
  8. Führen Sie eine vollständige Prüfung des Systems durch.
Die digitale Unterschrift
Fixmagi.com ist mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Versionen von Fixmagi.com verwenden, die direkt von der Symantec Security Response-Website heruntergeladen wurden. Gehen Sie folgendermaßen vor, um die Authentizität der digitalen Unterschrift zu überprüfen:
  1. Gehen Sie zu http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie in demselben Ordner, in dem Sie Fixmagi.com gespeichert haben (zum Beispiel C:\Windows\Desktop).
  3. Führen Sie je nach Windows-Version einen der folgenden Schritte durch:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und dann auf "MS-DOS-Eingabeaufforderung".
    • Wechseln Sie zu dem Ordner, in dem Fixmagi.com und Chktrust.exe gespeichert sind. Geben Sie folgenden Befehl ein

      chktrust -i fixmagi.com

      Befindet sich diese Datei z. B. im Ordner C:\Windows\Desktop, geben Sie die folgenden Befehle ein:

      cd \windows\desktop
      chktrust -i fixmagi.com

      Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, wird folgende Meldung angezeigt:

      Installieren und Ausführen von "W32.Magistr Fix Tool", signiert am 28.02.02 02:29 signiert und herausgegeben von: Symantec Corporation

      HINWEISE:
      • Datum und Uhrzeit, die im Dialogfeld angezeigt werden, sind Ihrer Zeitzone angepasst.
      • Wenn Sie Sommerzeit verwenden, ist die angezeigte Uhrzeit genau eine Stunde früher.
      • Sollte dieses Dialogfeld nicht angezeigt werden, gibt es dafür zwei mögliche Gründe:
        • Das Programm stammt nicht von Symantec. Wenn Sie nicht sicher sind, ob das Programm legitim ist und von der offiziellen Symantec-Website heruntergeladen wurde, sollten Sie es nicht ausführen.
        • Das Programm stammt von Symantec und ist legitim. Ihr Betriebssystem wurde jedoch zuvor bereits angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut aufrufen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
  4. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  5. Geben Sie exit ein und drücken Sie die Eingabetaste, um die MS-DOS-Sitzung zu beenden.


Englische Version dieses Dokuments
Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.