Norton.com > Viren & Risiken > W32.Blaster.Worm Removal Tool

W32.Blaster.Worm Removal Tool

Entdeckt am:
11 August 2003
Aktualisiert:
13 Februar 2007 11:35:01 AM
Typ:
Removal Information

Die Version 1.0.6.1 des W32.Blaster.Worm-Entfernungsprogramms entfernt die folgenden Bedrohungen und die damit verbundenen Symptome:
W32.Blaster.Worm
W32.Blaster.B.Worm
W32.Blaster.C.Worm
W32.Blaster.D.Worm
W32.Blaster.E.Worm
W32.Blaster.F.Worm



Wichtige Hinweise:
  • W32.Blaster.Worm nutzt die DCOM RPC-Schwachstelle aus. Diese wird im Microsoft Security Bulletin MS03-026 beschrieben, wo auch ein Patch verfügbar ist. Sie müssen den Patch herunterladen und installieren. In vielen Fällen müssen Sie dies tun, bevor Sie mit den Entfernungsanweisungen fortfahren können. Wenn Sie mit den folgenden Anweisungen die Infektion nicht entfernen oder eine erneute Infektion verhindern können, laden Sie zuerst den Patch herunter und installieren Sie ihn.
  • Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.
  • Aufgrund der Funktionsweise des Wurms kann es schwierig sein, eine Verbindung zum Internet herzustellen und den Patch, die Definitionen oder das Entfernungsprogramm herunterzuladen, bevor der Wurm den Computer herunterfährt. Berichten zufolge kann das Problem für Windows XP-Benutzer durch Aktivieren der Windows XP-Firewall gelöst werden: Anschließend können der Patch und die Virusdefinitionen heruntergeladen und das Entfernungsprogramm ausgeführt werden. Dies funktioniert möglicherweise auch mit anderen Firewalls, bisher liegen jedoch noch keine Bestätigungen vor.



Was bewirkt das Programm?
Das W32.Blaster.Worm-Entfernungsprogramm funktioniert folgendermaßen:
  1. Es beendet die Virusprozesse von W32.Blaster.Worm, W32.Blaster.B.Worm und W32.Blaster.C.Worm.
  2. Es löscht die mit W32.Blaster.Worm, W32.Blaster.B.Worm und W32.Blaster.C.Worm infizierten Dateien.
  3. Es löscht die abgelegten Dateien.
  4. Es löscht die durch den Wurm hinzugefügten Registrierungseinträge.

Befehlzeilenparameter für dieses Programm

Parameter

Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/NOFIXREG

Deaktiviert die Reparatur der Registrierung. (die Anwendung dieses Parameters wird nicht empfohlen.)

/SILENT, /S

Deaktiviert Rückmeldungen.

/LOG=[Pfadname]

Erstellt eine Protokolldatei, wobei der [Pfadname] den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixBlast.log in dem gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.

/MAPPED

Prüft zugeordnete Netzlaufwerke. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie die Hinweise unten.)

/START

Erzwingt das unmittelbare Starten des Prüfvorgangs.

/EXCLUDE=[Pfad]

Schließt den angegebenen [Pfad] von der Prüfung aus. (die Anwendung dieses Parameters wird nicht empfohlen.)


Hinweise: Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
  • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
  • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.

    Aus diesen Gründen führen Sie das Programm möglichst auf jedem einzelnen Computer aus.



Wiederherstellen einer funktionierenden Internetverbindung
In vielen Fällen kann sowohl unter Windows 2000 als auch unter XP eine Änderung der Einstellungen für den Remote Call Procedure (RPC)-Dienst eventuell bewirken, dass Sie eine Verbindung zum Internet herstellen können, ohne dass der Computer herunterfährt. Führen Sie folgende Schritte aus, um wieder eine Verbindung von Ihrem PC mit dem Internet herzustellen:
  1. Klicken Sie auf Start > Ausführen. Das Dialogfeld Ausführen wird geöffnet.
  2. Geben Sie im Feld Öffnen Folgendes ein:

    SERVICES.MSC /S

    Klicken Sie anschließend auf OK. Das Fenster Dienste wird geöffnet.

  3. Suchen Sie im rechten Teilfenster den Dienst "Remoteprozeduraufruf (RPC)".


    ACHTUNG: Es gibt auch einen Dienst namens "Remoteprozeduraufruf (RPC) Locator". Vergewissern Sie sich, dass Sie den richtigen Dienst auswählen.

  4. Klicken Sie mit der rechten Maustaste auf den Dienst "Remoteprozeduraufruf (RPC)" und anschließend auf Eigenschaften.
  5. Klicken Sie auf die Registerkarte Wiederherstellen.
  6. Ändern Sie über die Dropdown-Listen die Einstellungen für Erster Fehlschlag, Zweiter Fehlschlag und Weitere Fehlschläge auf Dienst neu starten.
  7. Klicken Sie auf Übernehmen und anschließend auf OK.


    ACHTUNG: Machen Sie diese Änderungen nach Entfernung des Wurms unbedingt wieder rückgängig.


Bezug und Ausführung des Programms


Hinweis: Sie müssen für die Ausführung dieses Programms unter Windows 2000 oder Windows XP über Administratorrechte verfügen.

WARNUNG: Für Netzwerkadministratoren: Wenn Sie mit MS Exchange 2000 Server arbeiten, empfiehlt es sich, das Laufwerk M: von der Prüfung auszuschließen. Starten Sie hierzu das Programm mit dem Parameter /Exclude von der Befehlszeile aus. Die Notwendigkeit dieser Schritte wird in dem englischsprachigen Microsoft-Artikel XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Artikel 298924) erläutert.

  1. Laden Sie die Datei FixBlast.exe hier herunter:

    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt Die digitale Unterschrift.
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  5. Wenn Sie mit Windows XP arbeiten, deaktivieren Sie die Option "System Restore". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP.



    ACHTUNG: Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen. Die Infektion kann möglicherweise nicht erfolgreich entfernt werden, wenn die Systemwiederherstellung in Windows XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt.

  6. Doppelklicken Sie auf die Datei FixBlast.exe, um das Entfernungsprogramm zu starten.
  7. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.


    Hinweis: Wenn Sie bei Ausführung des Programms die Meldung erhalten, dass eine oder mehrere Dateien nicht entfernt werden konnten, führen Sie das Programm im abgesicherten Modus aus. Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie 30 Sekunden. Starten Sie den Computer im abgesicherten Modus neu und führen Sie das Programm erneut aus. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.

  8. Starten Sie den Computer neu.
  9. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  10. Wenn Sie mit Windows XP arbeiten, reaktivieren Sie die Systemwiederherstellung.
  11. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.

Nach Abschluss des Programms wird Ihnen in einer Nachricht gemeldet, ob der Computer von W32.Blaster.Worm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge


Die digitale Unterschrift

FixBlast.exe ist digital gekennzeichnet. Wir empfehlen Ihnen, ausschließlich Kopien von FixBlast.exe zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie die Datei FixBlast.exe gespeichert haben (z. B. im Ordner C:\Downloads).
  3. Führen Sie je nach Betriebssystem einen der folgenden Schritte aus:
    • Klicken Sie auf Start > Programme, und klicken Sie auf MS-DOS-Eingabeaufforderung.
    • Klicken Sie auf Start > Programme, klicken Sie auf Zubehör und anschließend auf Eingabeaufforderung.
  4. Wechseln Sie in den Ordner, in dem FixBlast.exe und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

    chktrust -i FixBlast.exe

    Wenn die Datei z. B. im Ordner C:\Downloads gespeichert ist, geben Sie die folgenden Befehle ein:

    cd\
    cd downloads
    chktrust -i FixBlast.exe


    Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    Installieren und Ausführen von "W32.Blaster.Worm Removal Tool", signiert am 02.09.2003 00:17 und herausgegeben von: Symantec Corporation



    Hinweise:
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
        • Dieses Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, führen Sie es nicht aus.
        • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.

  5. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
  6. Geben Sie Exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.


Systemwiederherstellungsoption in Windows XP
Anwender von Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

In manchen Fällen kann es vorkommen, dass bei einer Online-Virenprüfung im Systemwiederherstellungsordner eine Bedrohung erkannt wird, obwohl Sie Ihren Computer mit einem Antivirusprogramm geprüft und keine infizierten Dateien gefunden haben.

Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?


Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei FixBlast.exe in das Diskettenlaufwerk ein.
  2. Klicken Sie auf Start > Programme.
  3. Geben Sie den folgenden Text ein:

    a:\FixBlast.exe

    Klicken Sie anschließend auf OK.



    Hinweis: Im Befehl a:\FixBlast.exe sind keine Leerzeichen enthalten.

  4. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie Windows XP verwenden, aktivieren Sie die Systemwiederherstellung wieder.


Englische Version dieses Dokuments

Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.


Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.