Norton.com > Viren & Risiken > W32.Gaobot.UJ Removal Tool

W32.Gaobot.UJ Removal Tool

Entdeckt am:
1 April 2004
Aktualisiert:
13 Februar 2007 11:35:26 AM
Typ:
Removal Information

Symantec Security Response hat ein Programm zur Entfernung von folgenden Infektionen entwickelt:

W32.Gaobot.UJ


Was bewirkt das Programm?

Das W32.Gaobot.UJ-Entfernungsprogramm funktioniert wie folgt:
  1. Es beendet die Virusprozesse und Dienste von W32.Gaobot.UJ.
  2. Es löscht die mit W32.Gaobot.UJ infizierten Dateien.
  3. Es löscht die abgelegten Dateien.
  4. Es löscht die durch den Wurm hinzugefügten Registrierungseinträge.


Was bewirkt das Programm nicht?

Dieses Programm stellt nicht die Hosts-Datei wiederher, wenn diese geändert worden ist. Beachten Sie bitte Schritt 6 der Entfernungsanweisungen für W32.Gaobot.UJ, um diese Änderung zu korrigieren.

Befehlzeilenparameter für dieses Programm


Parameter

Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/NOFIXREG

Deaktiviert die Reparatur der Registrierung. (die Anwendung dieses Parameters wird nicht empfohlen.)

/SILENT, /S

Deaktiviert Rückmeldungen.

/LOG=[PFADNAME]

Erstellt eine Protokolldatei, wobei der [PFADNAME] den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FxGaoUJ.log in dem gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.

/MAPPED

Prüft zugeordnete Netzlaufwerke. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie die Hinweise unten.)

/START

Erzwingt das unmittelbare Starten des Prüfvorgangs.

/EXCLUDE=[PFAD]

Schließt den angegebenen [PFAD] von der Prüfung aus. (die Anwendung dieses Parameters wird nicht empfohlen.)

/NOFILESCAN

Unterbindet die Prüfung des Dateisystems.


Hinweis: Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
  • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
  • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.

    Aus diesen Gründen führen Sie das Programm möglichst auf jedem einzelnen Computer aus.


Bezug und Ausführung des Programms

Hinweis: Sie müssen für die Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP über Administratorrechte verfügen.

  1. Laden Sie die Datei FxGaoUJ.exe hier herunter:

    http://securityresponse.symantec.com/avcenter/FxGaobotUJ.exe

  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift".
  4. Schließen Sie alle laufenden Programme.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Zusätzliche Informationen finden Sie im Abschnitt "Systemwiederherstellungsoption in Windows Me/XP".


    ACHTUNG: Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen. Die Infektion kann möglicherweise nicht erfolgreich entfernt werden, wenn die Systemwiederherstellung in Windows Me/XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt.

  7. Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie den Computer dann im abgesicherten Modus oder VGA-Modus neu.
    • Wenn Sie mit Windows 95, 98, Me, 2000 oder XP arbeiten, starten Sie den Computer im abgesicherten Modus neu. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus.
    • Wenn Sie mit Windows NT 4 arbeiten, starten Sie den Computer im VGA-Modus neu.

  8. Doppelklicken Sie auf die Datei FxGaoUJ.exe, um das Entfernungsprogramm zu starten.
  9. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  10. Starten Sie den Computer neu.
  11. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option Systemwiederherstellung.
  12. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virendefinitionen verfügen.

Nach Abschluss des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer mit W32.Gaobot.UJ infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge
  • Beendete und gelöschte Virusprozesse und Dienste

Die digitale Unterschrift

FxGaoUJ.exe ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FxGaoUJ.exe zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie die Datei FxGaoUJ.exe gespeichert haben (z. B. im Ordner C:\Downloads).
  3. Führen Sie je nach Betriebssystem einen der folgenden Schritte aus:
    • Klicken Sie auf Start > Programme > MS-DOS-Eingabeaufforderung.
    • Klicken Sie auf Start > Programme > Zubehör > Eingabeaufforderung.

  4. Wechseln Sie in den Ordner, in dem FxGaoUJ.exe und Chktrust.exe gespeichert sind, und geben Sie Folgendes ein:

    chktrust -i FxGaoUJ.exe

    Wenn die Datei z. B. im Ordner C:\Downloads gespeichert ist, geben Sie die folgenden Befehle ein:

    cd\
    cd downloads
    chktrust -i FxGaoUJ.exe


    Drücken Sie nach jedem Befehl die Eingabetaste. Wenn die digitale Unterschrift gültig ist, sehen Sie folgende Anzeige:

    Installieren und Ausführen von "W32.GaoUJ Removal Tool", signiert am 01.04.2004 19:04:00 signiert und herausgegeben von: Symantec Corporation

    Hinweise
    :
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
      • Dieses Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, führen Sie es nicht aus.
      • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.

  5. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
  6. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.

Systemwiederherstellungsoption in Windows Me/XP

Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

In manchen Fällen kann es vorkommen, dass bei einer Online-Virenprüfung im Systemwiederherstellungsordner eine Bedrohung erkannt wird, obwohl Sie Ihren Computer mit einem Antivirusprogramm geprüft und keine infizierten Dateien gefunden haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikel-ID Q263455).

Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei FxGaoUJ.exe in das Diskettenlaufwerk ein.
  2. Klicken Sie auf Start und anschließend auf Ausführen.
  3. Geben Sie den folgenden Text ein:

    a:\FxGaoUJ.exe

    Klicken Sie anschließend auf OK.


    Hinweise:
    • Im Befehl a:\FxGaoUJ.exe sind keine Leerzeichen enthalten.
    • Wenn Sie mit Windows Me/XP arbeiten und die Systemwiederherstellung aktiviert ist, erhalten Sie eine Warnmeldung. Sie können wählen, ob Sie das Entfernungsprogramm bei eingeschalteter Systemwiederherstellung ausführen oder es stattdessen beenden möchten.

  4. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie mit Windows Me arbeiten, reaktivieren Sie die Option Systemwiederherstellung.