Norton.com > Viren & Risiken > Backdoor.Agent.B Removal Tool

Backdoor.Agent.B Removal Tool

Entdeckt am:
10 August 2004
Aktualisiert:
13 Februar 2007 11:35:37 AM
Typ:
Removal Information

Symantec Security Response hat ein Entfernungsprogramm entwickelt, um die folgenden Infektionen zu entfernen:

Der Backdoor.Agent.B

Laden Sie das Programm hier herunter: http://securityresponse.symantec.com/avcenter/FxAgentB.exe


WICHTIG:
  • Wenn Sie sich in einem Netzwerk befinden oder eine ständige Internetverbindung wie ein DSL- oder Kable-Modem haben, trennen Sie den Computer vom Netzwerk und vom Internet. Deaktivieren Sie Dateifreigaben oder versehen Sie sie mit einem Kennwort oder mit Schreibschutz, bevor Sie die Computer wieder mit dem Netzwerk oder dem Internet verbinden. Weil sich dieser Wurm über freigegebene Ordner auf vernetzten Computern verbreitet, empfehlen wir Ihnen, Ihre Freigaben mit Schreibschutz oder einem Kennwort zu versehen, um sicherzustellen, dass der Wurm den Computer nicht erneut infiziert.

    Anweisungen dazu, wie dies zu tun ist, finden Sie in Ihrer Windows-Dokumentation oder im Dokument Konfigurieren von gemeinsam genutzten Ordnern für maximalen Netzwerkschutz.
  • Wenn Sie eine Infektion von einem Netzwerk entfernen, stellen Sie zuerst sicher, dass alle Freigaben deaktiviert oder schreibgeschützt sind.
  • Dieses Programm ist nicht zur Ausführung auf Novell NetWare-Servern geeignet. Um diese Bedrohung von einem NetWare-Server zu entfernen, stellen Sie zuerst sicher, dass Sie die aktuellen Virusdefinitionen haben, und führen Sie dann eine volle Systemprüfung mit dem Virenschutzprodukt von Symantec aus.


Bezug und Ausführung des Programms


WICHTIG: Sie müssen für die Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP über Administratorrechte verfügen.

Hinweis für Netzwerkadministratoren: Wenn Sie MS Exchange Server 2000 ausführen, empfehlen wir, dass Sie Laufwerk M von der Prüfung ausschließen, indem Sie das Programm mit dem Schalter EXCLUDE von einer Befehlszeile ausführen. Für weitere Informationen lesen Sie den Microsoft Knowledge Base-ArtikelXADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Artikel 298924).

Folgen Sie diesen Schritten, um das Programm herunterzuladen und auszuführen:
  1. Laden Sie die Datei FxAgentB.exe hier herunter: http://securityresponse.symantec.com/avcenter/FxAgentB.exe
  2. Speichern Sie die Datei in einem geeigneten Bereich, z. B. auf Ihrem Windows-Desktop.
  3. Optional: Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift" weiter unten in diesem Dokument.


    Hinweis: Wenn Sie sicher sind, dass Sie dieses Programm von der Security Response-Website herunterladen, können Sie diesen Schritt überspringen. Wenn Sie nicht sicher sind oder ein Netzwerkadministrator sind und die Dateien vor der Verteilung auf Netzwerkcomputer authentifizieren müssen, folgen Sie den Schritten im Abschnitt "Die digitale Unterschrift", bevor Sie mit Schritt 4 fortfahren.
  4. Schließen Sie alle laufenden Programme.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Systemwiederherstellung. Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
  7. Suchen Sie die Datei, die Sie gerade heruntergeladen haben.
  8. Doppelklicken Sie auf die Datei FxAgentB.exe, um das Entfernungsprogramm zu starten.
  9. Wenn die folgende Meldung angezeigt wird, klicken Sie auf OK:

    Please do NOT start any other applications until the removal tool exits and the computer is restarted.

    Doing so may cause reinfection.

  10. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  11. Starten Sie den Computer neu.
  12. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  13. Wenn Sie mit Windows Me/XP arbeiten, reaktivieren Sie die Option "Systemwiederherstellung".
  14. Wenn Sie auf einem Netzwerk sind, oder wenn Sie eine ständige Internetverbindung haben, verbinden Sie den Computer wieder mit dem Netzwerk oder dem Internet.
  15. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.

Nachdem das Programm ausgeführt wurde, erhalten Sie eine Meldung darüber, ob Backdoor.Agent.B den Computer infiziert hat. Das Programm zeigt in etwa die folgenden Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der reparierten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der beendeten Viren-Threads
  • Anzahl der reparierten Registrierungseinträge

Was bewirkt das Programm?

Das Backdoor.Agent.B-Entfernungsprogramm bewirkt Folgendes:
  1. Beendet die Backdoor.Agent.B-Threads
  2. Löscht die Backdoor.Agent.B-Dateien
  3. Löscht die Registrierungswerte, die Backdoor.Agent.B hinzufügt hat
Parameter:

Die folgenden Parameter wurden für Netzwerkadministratoren entwickelt:


Parameter
Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/SILENT, /S

Deaktiviert Rückmeldungen.
/LOG=[Pfadname]Erstellt eine Protokolldatei, wobei der [Pfadname] den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FxAgentB.log im gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.

/START
Erzwingt das unmittelbare Starten des Prüfvorgangs.
/EXCLUDE=[Pfad]Schließt den angegebenen [Pfad] von der Prüfung aus. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie den folgenden Hinweis.)


Der Parameter/EXCLUDE kann nur mit einem einzelnen und nicht mit mehreren Pfaden verwendet werden. Das folgende Beispiel einer Befehlszeile dient dem Ausschluss eines einzelnen Laufwerks:

"C:\Dokumente und Einstellungen\user1\Desktop\FxAgentB.exe" /EXCLUDE=M:\ /LOG=c:\FxAgentB.txt


Hinweis: Sie können der Protokolldatei jeden möglichen Namen geben und Sie in irgendeinem Bereich speichern.



Die digitale Unterschrift
Aus Sicherheitsgründen ist FxAgentB.exe mit einer digitalen Unterschrift versehen. Symantec empfiehlt, dass Sie nur Kopien von FxAgentB.exe verwenden, die direkt von der Symantec Security Response-Website heruntergeladen wurden.

Wenn Sie nicht sicher sind oder ein Netzwerkadministrator sind und Dateien vor der Verteilung authentifizieren müssen, sollten Sie die Echtheit der digitalen Unterschrift überprüfen.

Gehen Sie folgendermaßen vor:
    1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
    2. Laden Sie die Datei Chktrust.exe herunter und speichern Sie sie im gleichen Ordner, in dem Sie FxAgentB.exe gespeichert haben.

      Hinweis: Die meisten folgenden Schritte erfolgen über eine Eingabeaufforderung. Wenn Sie das Entfernungsprogramm auf den Windows-Desktop heruntergeladen haben, ist es einfacher, wenn Sie zuerst das Programm in das Stammverzeichnis des Laufwerks C verschieben. Speichern Sie dann die Datei Chktrust.exe ebenfalls im Stammverzeichnis von C.

      (Bei Schritt 3 wird davon ausgegangen, dass das Entfernungsprogramm und Chktrust.exe im Stammverzeichnis des Laufwerks C gespeichert sind)
    3. Klicken Sie auf Start > Ausführen.
    4. Geben Sie eine der folgenden Zeilen ein:
        • Windows 95/98/Me:

          command
        • Windows NT/2000/XP:

          cmd
    5. Klicken Sie auf OK.
    6. Geben Sie im Befehlsfenster Folgendes ein und drücken Sie nach jeder Zeile die Eingabetaste:

      cd\
      cd downloads
      chktrust - i FxAgentB.exe


      Sie sollten die Meldung sehen:

      "Installieren und Ausführen von "FxAgentB.exe", signiert am 19.08.2004 14:26 und herausgegeben von: Symantec Corporation"


      Hinweise:
      • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
      • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
      • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
          • Das Programm stammt nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, sollten Sie es nicht ausführen.
          • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.
            .

    7. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
    8. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.