Norton.com > Viren & Risiken > W32.Swen.A@mm Removal Tool

W32.Swen.A@mm Removal Tool

Entdeckt am:
19 September 2003
Aktualisiert:
13 Februar 2007 11:35:08 AM
Typ:
Removal Information

Symantec Security Response hat ein Programm zur Entfernung von W32.Swen.A@mm-Infektionen entwickelt.

Was bewirkt das Programm?

Das W32.Swen.A@mm-Entfernungsprogramm funktioniert wie folgt:

  1. Es beendet den Virusprozess W32.Swen.A@mm.
  2. Es löscht die mit W32.Swen.A@mm infizierten Dateien.
  3. Es löscht die abgelegten Dateien.
  4. Es löscht die durch den Wurm hinzugefügten Registrierungseinträge.

Verfügbare Befehlzeilenparameter für dieses Programm


Parameter

Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/NOFIXREG

Deaktiviert die Reparatur der Registrierung. (Die Anwendung dieses Parameters wird nicht empfohlen.)

/SILENT, /S

Deaktiviert Rückmeldungen.

/LOG=<Pfadname>

Erstellt eine Protokolldatei, wobei der <Pfadname> den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixSwen.log in demselben Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.

/MAPPED

Prüft zugeordnete Netzlaufwerke. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie den folgenden Hinweis.)

/START

Erzwingt das unmittelbare Starten des Prüfvorgangs.

/EXCLUDE=<Pfad>

Schließt den angegebenen <Pfad> von der Prüfung aus. (die Anwendung dieses Parameters wird nicht empfohlen.)

/NOFILESCAN

Unterbindet die Prüfung des Dateisystems.
  • Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
    • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
    • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.
      Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

  • Der Parameter /EXCLUDE kann nur mit einem einzelnen und nicht mit mehreren Pfaden verwendet werden. Eine Alternative hierzu wäre der Parameter /NOFILESCAN, gefolgt von einer manuellen Prüfung mit Ihrem Symantec Antivirus-Produkt. Das Programm kann dadurch die Registrierung ändern. Prüfen Sie im Anschluß den Computer mit den aktuellen Virusdefintionen.
    • Das folgende Beispiel einer Befehlszeile dient dem Ausschluss eines einzelnen Laufwerks:

      C:\Dokumente und Einstellungen\Benutzer1\Desktop\FixSwen.exe" /EXCLUDE=M:\ /LOG=c:\FixSwen.txt
    • Die folgende Befehlszeile überspringt dagegen die Prüfung des Dateisystems, repariert jedoch die Änderungen an der Registrierung. Sie sollten daraufhin eine normale Systemprüfung mit den entsprechenden Ausnahmen durchführen:

      C:\Dokumente und Einstellungen\Benutzer1\Desktop\FixSwen.exe" /NOSCANFILE /LOG=c:\FixSwen.txt
      (Der Name der Protokolldatei ist beliebig wählbar.)


Bezug und Ausführung des Programms


Bitte zuerst lesen:

Aufgrund der zahlreichen Änderungen, die der Wurm an der Windows-Registrierung vornimmt, ist der Wurm unter Umständen schwer zu entfernen, wenn er bereits ausgeführt wurde und von Ihrem Virenschutzprodukt von Symantec daraufhin isoliert und gelöscht wurde. Wenn dies beides geschehen ist, können Sie das Programm nicht herunterladen und ausführen.

Abhängig von Ihrem Betriebssystem sind verschiedene Vorgehensweisen erforderlich, wenn der Wurm bereits ausgeführt wurde und die Wurmdateien isoliert und gelöscht wurden:
  • Windows NT/2000/XP: Laden Sie das Programm wie in den folgenden Schritten beschrieben herunter. Geben Sie dem Programm jedoch wie im Hinweis unter Schritt 5 angegeben die Erweiterung .cmd.
  • Windows 95/98/Me: Da es unter diesen Betriebssystemen nichts nützt, das Programm mit der Erweiterung .cmd zu versehen, befolgen Sie zunächst die Anweisungen unter "W32.Swen.A@mm wurde bereits isoliert oder gelöscht" im Abschnitt "Entfernungsanweisungen" der W32.Swen.A@mm-Virusbeschreibung.




Hinweis: Sie müssen für die Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP über Administratorrechte verfügen.


WARNUNG: Für Netzwerkadministratoren: Wenn Sie mit MS Exchange 2000 Server arbeiten, empfiehlt es sich, das Laufwerk M: von der Prüfung auszuschließen. Starten Sie hierzu das Programm mit dem Parameter /Exclude von der Befehlszeile aus. Die Notwendigkeit dieser Schritte wird in dem englischsprachigen Microsoft-Artikel XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Artikel 298924) erläutert.

  1. Laden Sie die Datei FixSwen.exe hier herunter: http://www.symantec.com/avcenter/FixSwen.exe.
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift" in diesem Dokument.
  4. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt "Systemwiederherstellungsoption in Windows Me/XP" weiter unten in diesem Dokument.

    Hinweis: Dies ist eine Vorsichtsmaßnahme, um zu vermeiden, dass der Wurm zu einem späteren Zeitpunkt versehentlich wiederhergestellt oder bei einer Prüfung erkannt wird. Aufgrund der Änderungen, die der Wurm an der Registrierung vornimmt, kann dieser Schritt möglicherweise momentan nicht vorgenommen werden. Ist dies der Fall, überspringen Sie diesen Schritt vorerst. Wir empfehlen jedoch, ihn durchzuführen, wenn Sie den Zugriff auf Ihr System wiederhergestellt haben; dadurch werden der Ordner der Systemwiederherstellung geleert und etwaige zukünftige Probleme vermieden.


  5. Doppelklicken Sie auf die Datei FixSwen.exe, um das Entfernungsprogramm zu starten.

    Hinweis: Wenn der Wurm bereits ausgeführt wurde und Sie die Wurmdateien mit Ihrem Symantec Antivirusprodukt gelöscht oder isoliert haben, läuft das Programm aufgrund der an der Registrierung vorgenommenen Änderungen möglicherweise nicht. (Auf Windows 95/98/Me-Systemen sehen Sie unter Umständen eine Nachricht, dass Windows eine Datei mit willkürlich gewähltem Namen nicht finden kann.)
    • Wenn dies unter Windows 95/98/Me geschieht, fahren Sie hier nicht fort und befolgen Sie zunächst die Anweisungen unter "W32.Swen.A@mm wurde bereits isoliert oder gelöscht" im Abschnitt "Entfernungsanweisungen" der W32.Swen.A@mm-Virusbeschreibung.
    • Geschieht dies auf einem Windows NT/2000/XP-System, folgen Sie diesen zusätzlichen Schritten und fahren Sie anschließend bei Schritt 6 fort:
    1. Starten Sie Windows Explorer.
    2. Klicken Sie auf "Ansicht" > "Optionen" (Windows NT) bzw. "Extras" > "Ordneroptionen" (Windows 2000/XP).
    3. Klicken Sie auf die Registerkarte "Ansicht".
    4. Deaktivieren Sie die Option "Dateinamenerweiterung bei bekannten Dateitypen ausblenden". Klicken Sie auf "Ja", wenn Sie eine Warnmeldung sehen.
    5. Klicken Sie auf "Übernehmen" und anschließend auf "OK".
    6. Klicken Sie mit der rechten Maustaste auf die Datei "FixSwen.exe" und klicken Sie anschließend auf "Umbenennen". Ändern Sie den Namen zu "FixSwen.cmd". Bestätigen Sie gegebenenfalls die Namensänderung.
    7. Doppelklicken Sie auf die Datei FixSwen.cmd und fahren Sie mit den Schritten fort.


  6. Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.
  7. Starten Sie den Computer neu.
  8. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  9. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".
  10. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.


Hinweis: Die Infektion kann möglicherweise nicht entfernt werden, wenn die Systemwiederherstellung in Windows Me/XP nicht wie zuvor empfohlen deaktiviert wurde, da Windows verhindert, dass die Systemwiederherstellung von fremden Programmen geändert wird.


Nach Abschluss des Programms wird Ihnen in einer Nachricht gemeldet, ob der Computer mit W32.Swen.A@mm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge


Die digitale Unterschrift
FixSwen.exe ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FixSwen.exe zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei chktrust.exe herunter und speichern Sie sie im selben Ordner, in dem Sie die Datei FixSwen.exe gespeichert haben (z. B. im Ordner C:\Downloads).
  3. Führen Sie je nach Betriebssystem einen der folgenden Schritte aus:
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", und klicken Sie auf "MS-DOS-Eingabeaufforderung".
    • Klicken Sie auf "Start", zeigen Sie auf "Programme", klicken Sie auf "Zubehör" und anschließend auf "Eingabeaufforderung".
  4. Wechseln Sie zum Ordner, in dem FixSwen.exe und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein: chktrust -i FixSwen.exe.

    Wenn die Datei z. B. im Ordner C:\Downloads gespeichert ist, geben Sie die folgenden Befehle ein:

    cd\
    cd downloads
    chktrust -i FixSwen.exe


    Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    "Installieren und Ausführen von "W32.Swen.A@mm Removal Tool", signiert am 24.09.03 08:18 signiert und herausgegeben von: Symantec Corporation?"


    Hinweis
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
      • Das Programm stammt nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
      • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.


  5. Klicken Sie auf "Ja", um das Dialogfeld zu schließen.
  6. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.

Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Computer mit einem Virus, Wurm oder Trojaner infiziert ist, kann es möglich sein, dass diese in der Systemwiederherstellung mitgesichert werden.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

In manchen Fällen kann es vorkommen, dass bei einer Online-Virenprüfung im Systemwiederherstellungsordner eine Bedrohung erkannt wird, obwohl Sie Ihren Computer mit einem Antivirusprogramm geprüft und keine infizierten Dateien gefunden haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).


Englische Version dieses Dokuments

Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.


Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.