W95.MTX - Hilfe entfernen

Es gibt zwei Möglichkeiten, diesen Virus zu entfernen:

• Benutzen Sie das Symantec Security Response W95.MTX-Entfernungsprogramm
• Entfernen Sie den Virus manuell

In den meisten Fällen sollten Sie das W95.MTX-Entfernungsprogramm zuerst ausprobieren.

Benutzen Sie das W95.MTX-Entfernungsprogramm
Symantec Security Response hat ein Programm entwickelt, dass Ihnen dabei helfen soll, den Schaden zu reparieren.

Wenn Sie nicht auf diese Site zugreifen können, so ist das Programm auch auf folgender Website verfügbar:

http://www.digitalriver.com/symantec/virus

Manuelle Entfernung

Die Entfernung dieses Virus ist komplex und schwierig. Der Virus ändert Systemdateien, und auf einigen Computern können diese Dateien nicht repariert werden. Nachdem Sie versucht haben, den Virus zu reparieren, kann es in einigen Fällen vorkommen, dass Sie Windows erst dann wieder starten können, nachdem Sie die wichtigsten Systemdateien von der ursprünglichen Windows-Installations-CD wiederhergestellt haben.

---

Hinweis: Weil dieser Virus nicht nur Windows-Dateien und Programmdateien deaktivieren kann, sondern auch den Zugriff auf bestimmte Websites (einschließlich der Symantec-Website) blockieren kann, müssen Sie in einigen Fällen sämtliche erforderlichen Downloads auf einem nicht infizierten Computer durchführen.

---

In diesem Dokument wird davon ausgegangen, dass Sie mit grundlegenden Windows- und DOS-Verfahren vertraut sind. Wenn dem nicht so ist, empfehlen wir, dass Sie die Dienste eines Computerfachmanns in Anspruch nehmen.

---

ACHTUNG:

• Windows 98 erlaubt Ihnen, eine Startdiskette zu erstellen, die sowohl Systemdateien als auch Treiber enthält, die mit den meisten CD-ROM-Laufwerken funktionieren. Windows 95 lässt dies nicht zu. Bevor Sie mit diesem Vorgang beginnen, empfehlen wir nachdrücklich, dass Sie sich eine Windows 98-Startdiskette besorgen oder diese erstellen. Damit kann ein Windows 95- oder Windows 98-Computer gestartet werden. Wenn Sie diese Diskette nicht erstellen und der erste Teil des Vorgangs zur Entfernung auf dem System fehlschlägt, sind Sie unter Umständen nicht dazu in der Lage, einige Windows-Dateien bei Bedarf wiederherzustellen.
• Dieser Virus sollte mithilfe der folgenden Anleitung erkannt und entfernt werden. Das einfache Vorhandensein von Dateien, die mit den Buchstaben "mtx" beginnen oder die Erweiterung ".mtx" ist noch kein Anzeichen auf eine Infektion. Die Dateien mtxdm.dll, mtxoci,dll, twain*.mtx und twunk*.mtx sind zum Beispiel legitime Programmdateien von Windows.

---

---

Hinweise:

• Aufgrund der Eigenarten dieses Virus können einige Dateien nicht repariert werden. Die nicht zu reparierenden Dateien müssen von nicht infizierten Sicherungskopien oder von den Originaldisketten wiederhergestellt werden.
• Um diese Bedrohung zu entfernen, müssen Sie Norton AntiVirus (NAV) während des Prüfvorgangs genau beobachten. Die Dateien, die durch die Virus-Komponente von W95.MTX infiziert werden, sollten als W95.MTX und W95.MTX (.dll) erkannt werden. Alle gefundenen Dateien, die entweder mit W95.MTX oder W95.MTX (.dll) infiziert sind, sollten repariert werden können.
• Dateien, die von der Trojaner- und Wurm-Komponente der Infektion betroffen sind, sollten als W95.MTX.dr erkannt werden. Alle gefundenen Dateien, die mit W95.MTX.dr infiziert sind, müssen entfernt werden.
• Es ist wichtig, zwischen Virus- und Wurm-Komponenten zu unterscheiden, weil der Virusanteil von W95.MTX Windows-Systemdateien infizieren kann. Wenn Sie Systemdateien löschen, können Sie Windows beschädigen.

---

Um die durch dieses Virus verursachten Schäden zu beheben, folgen Sie nacheinander den Anweisungen in jedem Abschnitt.

• Erstellen oder beziehen Sie eine Startdiskette
• Stellen Sie sicher, dass Sie über die neuesten Virendefinitionen verfügen
• Starten Sie den Computer im MS-DOS-Modus neu
• Löschen Sie die infizierten Dateien
• Extrahieren Sie neue Kopien der Dateien Wsock32.dll, Explorer.exe und Rundll32.exe
• Bearbeiten Sie die Registrierung

Erstellen oder Beziehen einer Startdiskette

---

Hinweis: Sie können diesen Abschnitt überspringen, wenn Sie sicher sind, dass die Windows-Installationsdateien sich auf der lokalen Festplatte befinden und dass Sie den Computer im MS-DOS-Modus neu starten können. Sie können in den folgenden Abschnitten Einzelheiten dazu finden.

---

Bevor Sie den Entfernungsprozess beginnen, sollten Sie eine Windows 98-Startdiskette erstellen oder beziehen. Wenn Sie Windows 95 ausführen, dann können Sie eine solche Diskette in einem lokalen Computergeschäft erwerben. Um eine Startdiskette auf einem Windows 98-Computer zu erstellen, folgen Sie diesen Schritten:

---

ACHTUNG: Diese Schritte müssen auf einem nicht infizierten Computer durchgeführt werden. Tun Sie nicht dies auf dem Computer, der mit dem Virus infiziert ist.

---

1. Klicken Sie auf Start > Einstellungen > Systemsteuerung.
2. Doppelklicken Sie auf das Symbol Software.
3. Klicken Sie auf die Registerkarte Startdiskette.
4. Legen Sie eine neue, formatierte Diskette in das Diskettenlaufwerk ein.
5. Klicken Sie auf Diskette erstellen und folgen Sie den Anweisungen.

Stellen Sie sicher, dass Sie über die neuesten Virusdefinitionen verfügen

Sie müssen Norton AntiVirus installiert haben und Ihre Virusdefinitionen müssen vom 5. September 2000 oder später stammen. Wenn Ihre Virusdefinitionen auf dem neuesten Stand sind, fahren Sie mit dem nächsten Abschnitt fort.
Wenn dies nicht der Fall ist, können Sie nicht LiveUpdate ausführen oder die Definitionen von der Symantec Security Response-Website herunterladen. Es gibt verschiedene Möglichkeiten, dieses Problem zu umgehen:

• Wenn Sie Zugang zu einem nicht infizierten Computer haben, laden Sie die neuesten Definitionen von der Symantec Security Response-Website herunter und und installieren Sie dann die Definitionsdateien auf dem infizierten Computer. Anweisungen hierzu finden Sie in folgenden Dokumenten:
  • Aktualisieren der Virusdefinitionsdateien mit dem Intelligent Updater
  • How to update virus definitions on computers without Internet or network connections (in Englisch)
• Wenn Sie keinen Zugang zu einem nicht infizierten Computer haben, gibt es zwei Möglichkeiten, das Problem zu umgehen:
  • Verwenden Sie die nummerische Internetadresse, um zur Symantec-Website zu gelangen. Die nummerische Adresse lautet
    
    208.226.167.17
    
  • Laden Sie den Virus Update Definition Installer von der Tucows-Website herunter.
    1. Gehen Sie zu: http://www.tucows.com
    2. Geben Sie im Eingabefeld Search For Software norton dat ein und klicken Sie auf GO!.
       
       

       ---

       Hinweis: Geben Sie also das Wort norton, dann ein Leerzeichen und dann dat ein.

       ---

    3. Wählen Sie den Norton DAT files-Eintrag für Ihre Plattform und klicken Sie auf Download Now.
    4. Wählen Sie Ihre Region und den Staat oder die Provinz und klicken Sie dann auf GO!.
    5. Klicken Sie auf die für Sie am nächsten gelegene Download-Site.
    6. Laden Sie die Datei auf Ihre Festplatte herunter, z. B. auf den Windows-Desktop.
    7. Wenn der Download beendet ist, doppelklicken Sie auf die Datei, die Sie zum Installieren heruntergeladen haben.

Neustart des Computers im MS-DOS-Modus

Sie müssen den Computer im MS-DOS-Modus neu starten. Folgen Sie den Schritten für das jeweilige Betriebssystem:

• Windows 95 im MS-DOS-Modus neu starten:
  1. Klicken Sie auf Start > Beenden. Das Fenster Windows beenden erscheint.
  2. Klicken Sie auf Neu starten > Ja. Windows fährt herunter und der Computer startet neu.
  3. Wenn die Meldung Starten von Windows 95... angezeigt wird, drücken Sie die Taste F8. Das Windows 95-Startmenü erscheint.
  4. Wählen Sie MS-DOS-Eingabeaufforderung und drücken Sie die Eingabetaste.
• Windows 98 im MS-DOS-Modus neu starten:
  1. Klicken Sie auf Start > Beenden. Das Fenster Windows beenden erscheint.
  2. Klicken Sie auf Neu starten > OK. Windows fährt herunter und der Computer startet neu.
  3. Drücken Sie beim Neustart des Computers die Taste Strg und halten Sie sie gedrückt, bis das Windows 98-Startmenü erscheint.
     

     ---

     Hinweis: Bei manchen Computern kann ein Tastaturfehler oder ein anderer Fehler beim Neustart auftreten, wenn Sie die Strg-Taste gedrückt halten. Folgen Sie in diesem Falle den Anweisungen zum Fortfahren durch Drücken einer Taste (Sie können z. B. aufgefordert werden, die Taste Esc zu drücken) und drücken Sie die Taste Strg sofort wieder.

     ---

  4. Wählen Sie MS-DOS-Eingabeaufforderung und drücken Sie die Eingabetaste.

Löschen der infizierten Dateien

Folgen Sie diesen Schritten, um die infizierten Dateien zu löschen:

---

Hinweis: Diese Anweisungen gehen davon aus, dass Sie Windows auf dem Laufwerk C:\ installiert haben. Wenn Sie Windows woanders installiert haben, nehmen Sie bitte die entsprechenden Änderungen vor.

---

1. Geben Sie die folgenden Befehle ein und drücken Sie jeweils die Eingabetaste:
   
   cd \windows
   set path=c:\windows\command
   attrib -r -s -h *.*
   del ie_pack.exe
   del win32.dll
   del mtx_.exe
   del wininit.ini
   
   

   ---

   Hinweis: Wenn Sie nach einem dieser Befehle die Meldung "Datei nicht gefunden" erhalten, geben Sie den Befehl noch einmal ein, um sicherzustellen, dass er richtig geschrieben wurde.

   ---

   
   
2. Geben Sie den Befehl dir /s \navdx.exe ein und drücken Sie die Eingabetaste:
   Dadurch wird der Pfad zum Norton AntiVirus-DOS-Scanner angezeigt. Wenn Sie Norton AntiVirus auf einem anderen Laufwerk installiert haben, wechseln Sie zuerst zum Stammverzeichnis dieses Laufwerks.
3. Wechseln Sie yu dem Ordner, in dem Navdx.exe installiert ist.
4. Geben Sie einen der folgenden Befehle ein, und drücken Sie die Eingabetaste:
   
   

   ---

   ACHTUNG: Auf einigen Computern kann dies mehrere Stunden in Anspruch nehmen. Versuchen Sie nicht, die Prüfung zu stoppen, nachdem sie einmal gestarten wurde.

   ---

   ---

   Hinweis: Der DOS-basierte Scanner kann eine der folgenden Aktionen durchführen, wenn ein Virus entdeckt wurde:

   ---

   • Um für jede Datei, die als infiziert erkannt wurde, eine Meldung zu erhalten, geben Sie Folgendes ein und drücken Sie die Eingabetaste:
     
     navdx /a /doallfiles /prompt
     
     Sie müssen für jede infizierte Datei R)epair, D)elete oder C)ontinue eingeben. Wenn Sie diese Option ausgewählt haben und Norton AntiVirus eine infizierte Datei nicht reparieren kann, wird die Mitteilung "Datei kann nicht repariert werden" angezeigt, gefolgt von denselben drei Möglichkeiten. Sie sollten in der Regel dann D)elete wählen, es sei denn, Sie sind sicher, dass die Datei nicht infiziert ist.
     
   • Um jede Datei, die als infiziert erkannt wurde, zu löschen, geben Sie Folgendes ein und drücken Sie die Eingabetaste:
     
     navdx /a /doallfiles /delete
     
     Der Nachteil ist, dass hierbei auch Dateien gelöscht werden, die repariert werden könnten.
     
   • Um jede Datei, die als infiziert erkannt wurde, zu reparieren, geben Sie Folgendes ein und drücken Sie die Eingabetaste:
     
     navdx /a /doallfiles /repair
     
     

     ---

     ACHTUNG: Wenn Norton AntiVirus eine Datei nicht reparieren kann und Sie diese Option wählen, wird diese Datei übersprungen. Das bedeutet, dass sich weiterhin infizierte Dateien auf Ihrem Computer befinden. Wenn Sie sich für diese Option entscheiden, müssen Sie Navdx nochmals ausführen, wobei Sie dieses mal den Schalter /delete verwenden, wie im vorhergehenden Beispiel beschrieben ist.

     ---

     
     
5. Fahren Sie nach Abschluss der Prüfung mit dem nächsten Abschnitt fort.

Extrahieren von neuen Kopien der Dateien Wsock32.dll, Explorer.exe und Rundll32.exe

Dies ist notwendig, weil diese Dateien sehr wahrscheinlich durch den Virus infiziert worden sind. Sie sind für den Gebrauch des Computers und für den Zugang zum Internet wichtig. Sie müssen den Befehl "Extract" an einer MS-DOS-Eingabeaufforderung verwenden, um nicht infizierte Kopien dieser Dateien aus den Windows-Installationsdateien wiederherzustellen.

Es gibt zwei Möglichkeiten, diese Dateien zu extrahieren:

• Die Windows-Installationsdateien auf Ihrer Festplatte. Auf vielen neueren Computern sind die .cab-Dateien, welche die Windows-Installationsdateien enthalten, auf der Festplatte des Computers gespeichert. Wenn Sie sicher sind, dass dies der Fall ist, fahren Sie mit dem Abschnitt "Extrahieren von Dateien auf der Festplatte" fort.
• Die Microsoft Windows 95/98-Installations-CD. Wenn Sie die .cab-Dateien nicht auf der Festplatte haben, fahren Sie mit dem Abschnitt "Extrahieren von Dateien, die sich auf der Installations-CD befinden" fort.

---

ACHTUNG: Wenn Sie mit Windows 95 arbeiten oder ein Upgrade des Computers von Windows 95 auf Windows 98 durchgeführt haben, beachten Sie folgenden Hinweis:

• Wenn Sie mit Windows 95 arbeiten und Sie später Internet Explorer 4.0 oder höher installiert haben, ist es unwahrscheinlich, dass die Extrahierung der Datei Explorer.exe auf Ihrem System möglich ist. Das liegt daran, dass bei der Installation von Internet Explorer die Datei Explorer.exe ebenso wie alle anderen Dateien durch neuere Versionen ersetzt werden. In der Regel gelingt es nicht, nur die Datei Explorer.exe aus den .cab-Dateien zu ersetzten, da die ältere Datei nicht mit den vielen anderen Dateien funktioniert, die durch die Installation ebenfalls aktualisiert wurden.
  Ist dies Ihre Situation, so müssen Sie eventuell Windows 95 vollständig neu installieren, oder ein Upgrade auf Windows 98 oder höher durchführen.
• Wenn Sie ein Upgrade des Computers von Windows 95 auf Windows 98 durchgeführt haben, sollten Sie die Dateien von der Installations-CD und nicht von der Festplatte extrahieren, es sei denn, Sie sind sicher, dass die cabinet-Dateien auf der Festplatte von Windows 98 stammen.

---

---

Hinweise:

• Diese Anleitungen sollen Ihre Arbeit erleichtern. Bei der Extrahierung von Windows-Dateien werden Microsoft-Programme und -Befehle verwendet. Symantec bietet keine Unterstützung für oder Hilfe zu Microsoft-Produkten.

• Es sind mehrere Versionen der Windows-Installations-CD verfügbar. Auf jeder dieser Versionen können sich die benötigten Dateien innerhalb der .cab-Dateien in einem unterschiedlichen Bereich befinden. Wenn der angezeigte Befehl dem Extrahierungsprogramm in der folgenden Anleitung mitteilt, in einem bestimmen Bereich zu starten, enthält der Befehl auch einen Schalter "\a". Dieser Befehlsschalter veranlasst das Extrahierungsprogramm, wiederholt in allen folgenden Cabinet-Dateien zu suchen, bis es die angegebene Datei gefunden hat. Es wird jedoch nicht nach einer Datei suchen, die sich in vorhergehenden .cabs befand. Beim Befehl für Windows 98, zum Beispiel extract /a win98_40.cab explorer.exe /L c:\windows, beginnt die Suche mit .cab 40 , dann wird .cab 41 durchsucht, usw. Es durchsucht jedoch nicht.cab 39 oder vorhergehenden Dateien.

Die Windows 98-.cab-Dateien beginnen in der Regel bei 21 und enden typischerweise mit einer Zahl über 70 (in der Regel 74). Wir lassen die Suche mit .cab 40 beginnen, weil sich diese Dateien in den meisten Fällen in .cab 44 oder .cab 45 befinden. Damit wird die Suchgeschwindigkeit für diese Dateien erhöht. Wenn Sie eine Version der Windows-Installationsdateien haben, die sich vom Standardformat unterscheidet, müssen Sie den Befehl entsprechend einsetzen. Wenn Sie zum Beispiel Windows 98 haben, der Befehl extract /a win98_40.cab explorer.exe /L c:\windows die Datei explorere.exe nicht findet und Sie sich sicher sind, dass Sie ihn so wie gezeigt eingegeben haben, ändern Sie die Nummer der .cab-Datei, mit der die Suche beginnen soll, und probieren Sie es erneut. Ändern Sie den Befehl z. B. folgendermaßen um: extract /a win98_20.cab explorer.exe /L c:\windows.

---

Extrahieren von Dateien auf der Festplatte

1. Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:
   dir /s /b \precopy1.cab
   Dies zeigt den Pfad zur precopy1.cab-Datei an. Wenn die Datei nicht gefunden wird, ist es wahrscheinlich, dass die Cab-Dateien sich nicht auf der Festplatte befinden. Fahren Sie in diesem Fall mit dem Abschnitt "Extrahieren von Dateien, die sich auf der Installations-CD befinden" fort
2. Wechseln zu dem Ordner, in dem sich die precopy1.cab-Datei befindet.
3. Was Sie als nächstes tun, hängt von ihrem Betriebssystem ab:

---

Hinweise:
• Wenn Sie nach einer der Befehlseingaben eine Meldung wie "Datei nicht gefunden" erhalten, geben Sie den Befehl noch einmal ein, um sicherzustellen, dass er richtig geschrieben wurde.
• Wenn Sie eine Meldung erhalten, die Sie fragt, ob sie eine Datei überschreiben möchten, geben Sie J ein (für "Ja") und drücken Sie dann die Eingabetaste.
• Wenn Sie Windows in einem anderen Bereich installiert haben, nehmen Sie bitte die entsprechenden Änderungen vor.

  ---

  
  

  ---

  ACHTUNG: Gehen Sie bitte bei der Zieleingabe für die zu extrahierende Datei, zum Beispiel C:\Windows, äußerst vorsichtig vor. Wenn Sie einen Zielordner angeben, der nicht existiert, wird der neue Ordner durch den Extrahierungsbefehl angelegt und die Datei dorthin extrahiert, ohne dass Sie zur Bestätigung des Vorgangs aufgefordert werden. Das kann zur Folge haben, dass die infizierte Windows-Systemdatei nicht überschrieben wird.

  ---

  
  
• Wenn Sie Windows 98 benutzen, geben Sie die folgenden Befehle ein und drücken Sie jeweils die Eingabetaste:
  
  extract /a precopy1.cab wsock32.dll /L c:\windows\system
  extract /a win98_40.cab explorer.exe /L c:\windows
  extract /a win98_40.cab rundll32.exe /L c:\windows
• Wenn Sie Windows 95 benutzen, geben Sie die folgenden Befehle ein und drücken Sie jeweils die Eingabetaste:
  
  extract /a win95_10.cab wsock32.dll /L c:\windows\system
  extract /a win95_10.cab explorer.exe /L c:\windows
  extract /a win95_10.cab rundll32.exe /L c:\windows

Wenn Sie keine Fehlermeldungen sehen, ist der Vorgang beendet. Fahren Sie mit dem Abschnitt "Bearbeiten der Registrierung" fort.

Extrahieren von Dateien, die sich auf der Installations-CD befinden

---

Hinweise:

• Die folgende Anleitung gilt für die verbreitetsten CD-Versionen von Windows 95/98. Es gibt jedoch zahlreiche Versionen, von denen einige sogar auf Disketten ausgeliefert wurden. Bei jeder Version können die .cab-Dateien woanders gespeichert sein, oder die zu extrahierenden Dateien befinden sich in einer jeweils anderen .cab-Datei. Es ist nicht möglich, in diesem Dokument genaue Anweisungen für jede Version zu geben.
• Wenn Sie die Windows Installations-CD nicht haben, für die die folgenden Anweisungen gedacht sind, dann müssen Sie gegebenenfalls die Pfadangabe Ihrer Version entsprechend ändern. Auch müssen Sie die Cab-Datei finden, die die zu extrahierende Datei enthält. Für weitere Informationen ist auf das Dokument Which Cabinet files contain the original Windows files (englischsprachig) zu verweisen.

---

1. Legen Sie die Windows 98-Startdiskette in das Diskettenlaufwerk ein.
2. Legen Sie die Windows 98-Installations-CD in das CD-ROM-Laufwerk ein.
3. Schalten Sie den Computer aus und warten Sie 30 Sekunden.
4. Schalten Sie den Computer ein. Der Computer zeigt ein Startmenü.
5. Der voreingestellte Menüeintrag ist Computer mit CD-ROM-Unterstützung starten. Ändern Sie dies nicht, sondern drücken Sie die Eingabetaste.
6. Warten Sie, bis der Computer zu einer Eingabeaufforderung des Laufwerks A: bootet. Dies kann einige Minuten dauern.
7. Der nächste Schritt ist, auf das CD-ROM-Laufwerk zu wechseln. Weil Sie die Startdiskette verwenden, liegt der Laufwerksbuchstabe im Alphabet um eins hinter dem üblichen Laufwerksbuchstaben für das CD-ROM-Laufwerk. Wenn unter Windows z. B. das CD-ROM-Laufwerk normalerweise mit dem Buchstaben D: gekennzeichnet ist, so ist es nun das Laufwerk E:
   
   Geben Sie Folgendes ein, indem Sie den Laufwerksbuchstaben ggf. entsprechend ändern, und drücken Sie dann die Eingabetaste.
   
   e:\win98 (Wenn die Installations-CD für Windows 98 bestimmt ist)
   
   oder
   
   e:\win95 (Wenn die Installations-CD für Windows 95 bestimmt ist)
   
   Wenn Sie eine Fehlermeldung erhalten, versuchen Sie, den Befehl noch einmal mit einem anderen Laufwerksbuchstaben einzugeben, z. B. f:\win98
   
   
8. Was Sie als nächstes tun, hängt von ihrem Betriebssystem ab:
   
   

   ---

   Hinweise:
   • Wenn Sie nach einer der Befehlseingaben eine Meldung wie "Datei nicht gefunden" erhalten, geben Sie den Befehl noch einmal ein, um sicherzustellen, dass er richtig geschrieben wurde.
   • Wenn Sie eine Meldung erhalten, die Sie fragt, ob sie eine Datei überschreiben möchten, geben Sie J ein (für "Ja") und drücken Sie dann die Eingabetaste.
   • Wenn Sie Windows in einem anderen Bereich installiert haben, nehmen Sie bitte die entsprechenden Änderungen vor.

     ---

     
     

     ---

     ACHTUNG: Gehen Sie bitte bei der Zieleingabe für die zu extrahierende Datei, zum Beispiel C:\Windows, äußerst vorsichtig vor. Wenn Sie einen Zielordner angeben, der nicht existiert, wird der neue Ordner durch den Extrahierungsbefehl angelegt und die Datei dorthin extrahiert, ohne dass Sie zur Bestätigung des Vorgangs aufgefordert werden. Das kann zur Folge haben, dass die infizierte Windows-Systemdatei nicht überschrieben wird.

     ---

     
     
   • Wenn Sie Windows 98 benutzen, geben Sie die folgenden Befehle ein und drücken Sie jeweils die Eingabetaste:
     
     extract /a precopy1.cab wsock32.dll /L c:\windows\system
     extract /a win98_40.cab explorer.exe /L c:\windows
     extract /a win98_40.cab rundll32.exe /L c:\windows
     
   • Wenn Sie Windows 95 benutzen, geben Sie die folgenden Befehle ein und drücken Sie jeweils die Eingabetaste:
     
     extract /a win95_10.cab wsock32.dll /L c:\windows\system
     extract /a win95_10.cab explorer.exe /L c:\windows
     extract /a win95_10.cab rundll32.exe /L c:\windows

Wenn Sie keine Fehlermeldungen sehen, ist der Vorgang beendet. Fahren Sie mit dem nächsten Abschnitt fort.

Bearbeiten der Registrierung

Folgen Sie diesen Schritten, um den Eintrag zu entfernen, den der Virus der Registrierung hinzugefügt hat:

---

ACHTUNG: Wir empfehlen dringend, dass Sie die Systemregistrierung sichern, bevor Sie daran Änderungen vornehmen. Fehlerhafte Änderungen der Registrierung können zu dauerhaftem Datenverlust oder beschädigten Dateien führen. Stellen Sie sicher, dass Sie nur die angegebenen Schlüssel ändern. Beachten Sie bitte das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

---

1. Entfernen Sie die Diskette aus dem Diskettenlaufwerk.
2. Wenn Sie Dateien von der Installations-CD extrahiert haben, entfernen Sie die CD aus dem CD-ROM-Laufwerk.
3. Schalten Sie den Computer aus und warten Sie 30 Sekunden.
4. Schalten Sie den Computer ein und warten Sie, bis Windows startet.
   
   

   ---

   Hinweis: Es ist normal, dass hier Fehlermeldungen auftreten. Diese beziehen sich auf die Virusdateien mit Meldungen wie "Windows kann ..... nicht finden". Ignorieren Sie diese Meldungen. Sie sind das Ergebnis von verbliebenen Einträgen in der Windows-Registrierung, die Sie als nächstes entfernen werden. Sie bedeuten nicht, dass der Computer noch infiziert ist.

   ---

5. Klicken Sie auf Start > Ausführen. Das Fenster Ausführen erscheint.
6. Geben Sie regedit ein und klicken Sie dann auf OK. Der Registrierungseditor wird geöffnet.
7. Wechseln Sie zu folgendem Unterschlüssel und wählen Sie ihn aus:
   
   HKey_Local_Machine\Software\[Matrix]
   
8. Drücken Sie die Taste Entf und klicken Sie zur Bestätigung auf Ja.
9. Wechseln Sie zu folgendem Unterschlüssel und wählen Sie ihn aus:
   
   HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
   
10. Löschen Sie im rechten Fenster folgenden Wert:
    
    SystemBackup C:\WINDOWS\MTX_.EXE
    
11. Klicken Sie zur Bestätigung auf Ja.
12. Klicken Sie im linken Fenster auf den Schlüssel Arbeitsplatz.
13. Klicken Sie auf Bearbeiten > Suchen.
14. Geben Sie im Eingabefeld mtx ein und klicken Sie auf Weitersuchen.
15. Ihre weitere Vorgehensweise hängt davon ab, ob Einträge gefunden werden.
    • Wenn keine Einträge gefunden werden, die die Zeichenfolge "mtx" enthalten, fahren Sie mit dem nächsten Schritt fort.
    • Wenn Einträge gefunden werden, die sich auf MTX_.EXE beziehen, sollten Sie sie löschen. Es können auch Einträge von legitimen Programmen gefunden werden, die zufällig diese Zeichenfolge enthalten. Stellen Sie sicher, dass sich der Eintrag auf MTX_.EXE bezieht, bevor sie ihn löschen. Um die Suche fortzusetzen, wenn ein Eintrag gefunden wurde, drücken Sie die Taste F3. Tun Sie dies, bis keine Einträge mehr gefunden werden.
16. Wiederholen Sie die Suche, suchen Sie aber dieses Mal nach [MATRIX]. Löschen Sie alle gefundenen Einträge.
17. Klicken Sie auf das Menü Registrierung und klicken Sie dann auf Beenden, um die Änderungen zu speichern und den Registrierungseditor zu schließen.
18. Starten Sie den Computer neu.

Technische Details