Norton.com > Viren & Risiken > Backdoor.Haxdoor.S/Trojan.Schoeberl.E Removal Tool

Backdoor.Haxdoor.S/Trojan.Schoeberl.E Removal Tool

Entdeckt am:
11 Januar 2007
Aktualisiert:
13 Februar 2007 11:36:28 AM
Typ:
Removal Information

Dieses Programm eignet sich zur Beseitigung von Infektionen mit Backdoor.Haxdoor.S und Trojan.Schoeberl.E .


Wichtig:
  • Wenn Sie sich in einem Netzwerk befinden oder eine ständige Internetverbindung wie ein DSL- oder Kabel-Modem haben, trennen Sie den Computer vom Netzwerk und vom Internet. Heben Sie die Dateifreigabe auf oder schützen Sie die Dateien mit einem Kennwort (bzw. aktivieren Sie deren Schreibschutz), bevor die Computer wieder mit dem Netzwerk oder dem Internet verbunden werden. Da sich dieser Wurm durch die Verwendung gemeinsam genutzter Ordner auf Netzwerkcomputern verbreitet, empfehlen wir die gemeinsame Nutzung mit Schreib- und Kennwortschutz zu verwenden, damit der Wurm den Computer nicht erneut infizieren kann.

    Anweisungen hierzu finden Sie in Ihrer Windows-Dokumentation oder im Dokument Konfigurieren von gemeinsam genutzten Ordnern für maximalen Netzwerkschutz.
  • Wenn Sie eine Infektion von einem Netzwerk entfernen, stellen Sie zuerst sicher, dass alle Freigaben deaktiviert oder schreibgeschützt sind.
  • Dieses Programm ist nicht zur Ausführung auf Novell NetWare-Servern geeignet. Um diese Bedrohung von einem NetWare-Server zu entfernen, stellen Sie zuerst sicher, dass Sie die aktuellen Virendefinitionen haben, und führen Sie dann eine volle Systemprüfung mit dem Virenschutzprodukt von Symantec aus.


Bezug und Ausführung des Programms


Wichtig: Zur Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP benötigen Sie Administratorrechte.



Hinweis für Netzwerkadministratoren: Wenn Sie mit MS Exchange 2000 Server arbeiten, empfiehlt es sich, das Laufwerk M: von der Prüfung auszuschließen. Starten Sie hierzu das Programm mit dem Schalter /Exclude von der Befehlszeile aus. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel Durch eine Sicherung bzw. Überprüfung des Laufwerks "M" von Exchange 2000 verursachte Probleme (Artikel 298924).


Führen Sie diese Schritte aus, um das Programm herunterzuladen und auszuführen:
  1. Laden Sie die Datei FixSchoeb-Haxdoor.exe von der Website http://securityresponse.symantec.com/avcenter/FixSchoeb-Haxdoor.exe herunter.
  2. Speichern Sie die Datei in einem geeigneten Bereich, z.B. auf Ihrem Windows-Desktop.
  3. Optional: Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift" weiter unten in diesem Dokument.


    Hinweis: Wenn Sie sicher sind, dass Sie dieses Programm von der Security Response-Website herunterladen, können Sie diesen Schritt überspringen. Wenn Sie nicht sicher sind oder ein Netzwerkadministrator sind und die Dateien vor der Verteilung auf Netzwerkcomputer authentifizieren müssen, folgen Sie den Schritten im Abschnitt "Die digitale Unterschrift", bevor Sie mit Schritt 4 fortfahren.

  4. Schließen Sie alle laufenden Programme.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option "Systemwiederherstellung". Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
  7. Suchen Sie die Datei, die Sie gerade heruntergeladen haben.
  8. Doppelklicken Sie auf die Datei FixSchoeb-Haxdoor.exe, um das Entfernungsprogramm zu starten.
  9. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.


    HINWEIS: Wenn bei der Ausführung des Programms Probleme auftreten oder sich die Bedrohung damit nicht entfernen lässt, starten Sie den Computer im abgesicherten Modus neu und führen Sie das Programm erneut aus.

  10. Starten Sie den Computer neu.
  11. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  12. Wenn Sie mit Windows Me/XP arbeiten, aktivieren Sie die Option "Systemwiederherstellung".
  13. Wenn Sie auf einem Netzwerk sind, oder wenn Sie eine ständige Internetverbindung haben, verbinden Sie den Computer wieder mit dem Netzwerk oder dem Internet.
  14. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virendefinitionen verfügen.

Nach Abschluss des Programms wird Ihnen in einer Meldung mitgeteilt, ob der Computer mit der Bedrohung infiziert war oder nicht. Das Programm zeigt in etwa die folgenden Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der reparierten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge

Was bewirkt das Programm?

Das Entfernungsprogramm funktioniert wie folgt:
  1. Beendet die mit der Bedrohung verbundenen Prozesse
  2. Löscht die mit der Bedrohung verbundenen Dateien
  3. Es löscht die durch die Bedrohung hinzugefügten Registrierungseinträge


Parameter

Die folgenden Parameter wurden für Netzwerkadministratoren entwickelt:

Parameter

Beschreibung

/HELP, /H, /?

Zeigt die Hilfsnachricht an.

/NOFIXREG

Deaktiviert das Reparieren der Registrierung (die Anwendung dieses Parameters wird nicht empfohlen).

/SILENT, /S

Deaktiviert Rückmeldungen.

/LOG=[PFADNAME]

Erstellt eine Protokolldatei, wobei der [PFADNAME] den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixSchoeb-Haxdoor.exe.log im gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.

/MAPPED

Prüft zugeordnete Netzlaufwerke. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie den folgenden Hinweis.)

/START

Erzwingt das unmittelbare Starten des Prüfvorgangs.

/EXCLUDE=[PFAD]

Schließt den angegebenen [PFAD] von der Prüfung aus. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie den folgenden Hinweis.)

/NOCANCEL

Deaktiviert die Abbruchfunktion des Entfernungsprogramms.

/NOFILESCAN

Unterbindet die Prüfung des Dateisystems.

/NOVULNCHECK

Deaktiviert die Überprüfung auf ungepatchte Dateien.



Wichtig: Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
    • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
    • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.

Aus diesen Gründen sollten Sie das Programm auf jedem einzelnen Computer ausführen.

Der Parameter /EXCLUDE kann nur mit einem einzelnen und nicht mit mehreren Pfaden verwendet werden. Eine Alternative hierzu wäre der Parameter /NOFILESCAN, gefolgt von einer manuellen Prüfung mit Ihrem Symantec Antivirus-Produkt. Das Programm kann dadurch die Registrierung ändern. Prüfen Sie im Anschluss den Computer mit AntiVirus mit den aktuellen Virendefinitionen. Über diese Schritte sollte es möglich sein, das Dateisystem zu säubern.

Das folgende Beispiel zeigt eine Befehlszeile, mit der ein einzelnes Laufwerk ausgeschlossen werden kann:

"C:\Dokumente und Einstellungen\Benutzer1\Desktop\ FixSchoeb-Haxdoor.exe " /EXCLUDE=M:\ /LOG=c:\ FixSchoeb-Haxdoor .txt

Die folgende Befehlszeile überspringt dagegen die Prüfung des Dateisystems, repariert jedoch die Änderungen an der Registrierung. Führen Sie dann eine normale Prüfung des Systems mit den richtigen Ausschlüssen aus:

"C:\Dokumente und Einstellungen\Benutzer1\Desktop\ FixSchoeb-Haxdoor.exe "  /NOFILESCAN /LOG=c:\ FixSchoeb-Haxdoor .txt


Hinweis: Sie können der Protokolldatei jeden möglichen Namen geben und sie in einem beliebigen Bereich speichern.




Die digitale Unterschrift

Aus Sicherheitsgründen ist das Entfernungsprogramm mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien des Entfernungsprogramms zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden.

Wenn Sie nicht sicher sind oder ein Netzwerkadministrator sind und Dateien vor dem Verteilen authentifizieren müssen, sollten Sie die Echtheit der digitalen Unterschrift überprüfen.

Gehen Sie folgendermaßen vor:
  1. Rufen Sie die Seite http://www.wmsoftware.com/free.htm auf.
  2. Laden Sie die Datei Chktrust.exe in den gleichen Ordner herunter, in dem Sie das Entfernungsprogramm gespeichert haben, und speichern Sie sie.


    Hinweis: Die meisten der folgenden Schritte erfolgen über eine Eingabeaufforderung. Wenn Sie das Entfernungsprogramm auf den Windows-Desktop heruntergeladen haben, ist es einfacher, wenn Sie zuerst das Programm in das Stammverzeichnis des Laufwerks C verschieben. Speichern Sie dann die Datei Chktrust.exe ebenfalls im Stammverzeichnis von C.


    (Bei Schritt 3 wird davon ausgegangen, dass das Entfernungsprogramm und Chktrust.exe im Stammverzeichnis des Laufwerks C gespeichert sind.)

  3. Klicken Sie auf Start > Ausführen.
  4. Geben Sie eine der folgenden Zeilen ein:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Klicken Sie auf OK.
  6. Geben Sie im Befehlsfenster Folgendes ein und drücken Sie nach jeder Zeile die Eingabetaste:

    cd\
    cd downloads
    chktrust -i
    FixSchoeb-Haxdoor.exe

  7. Sie sollten je nach Betriebssystem eine der folgenden Meldungen erhalten:
    • Windows XP SP2:
      Das Fenster "Trust Validation Utility" erscheint.

      Klicken Sie neben Herausgeber auf den Symantec Corporation-Link. Das Fenster "Details der digitalen Signatur" wird angezeigt.
      Überprüfen Sie den Inhalt der folgenden Felder, um sicherzustellen, dass das Programm authentisch ist:

      Name: Symantec Corporation
      Signaturzeit: Donnerstag, 12 Januar 2007 18:31:24 PST
    • Alle anderen Betriebssysteme:
      Sie sollten die folgende Meldung sehen:

      Möchten Sie "Backdoor.Haxdoor/Trojan.Schoeberl.E Removal Tool", signiert am 12.01.2007 18:31:24 Uhr (PST) und herausgegeben von Symantec Corporation, installieren und ausführen?


      Hinweise:
    • Das Datum und Uhrzeit in der digitalen Unterschrift oben basieren auf pazifischer Zeit. Sie werden an die Zeitzone Ihres Computers und die regionalen Optionseinstellungen angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht erscheint, kann dies zwei Gründe haben:
      • Das Programm stammt nicht von Symantec: Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec-Website heruntergeladen haben, sollten Sie es nicht ausführen.
      • Das Programm stammt von Symantec und ist echt: Sie haben Ihr Betriebssystem jedoch zuvor angewiesen, Inhalten von Symantec immer zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.


  8. Klicken Sie auf Ja oder Ausführen, um das Dialogfeld zu schließen.
  9. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.