W32.Blaster.Worm - Hilfe entfernen

Entfernung mit dem W32.Blaster.Worm-Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden. Sie können das W32.Blaster.Worm-Entfernungsprogramm über das folgende Dokument in unserer Datenbank erhalten: W32.Blaster.Worm-Entfernungsprogramm.

Manuelle Entfernung
Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen. Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

1. Stellen Sie wieder eine funktionierende Internetverbindung her.
2. Beenden Sie den Trojanerprozess.
3. Laden Sie die aktuellsten Virusdefinitionen herunter.
4. Prüfen Sie den Computer und löschen Sie infizierte Dateien.
5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.
6. Installieren Sie das HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren.

Beachten Sie für weitere Informationen die folgenden Anweisungen:

1. Wiederherstellen einer funktionierenden Internetverbindung
In vielen Fällen kann sowohl unter Windows 2000 als auch unter XP eine Änderung der Einstellungen für den Remote Call Procedure (RPC)-Dienst eventuell bewirken, dass Sie eine Verbindung zum Internet herstellen können, ohne dass der Computer herunterfährt. Führen Sie folgende Schritte aus, um wieder eine Verbindung von Ihrem PC mit dem Internet herzustellen:

1. Klicken Sie auf "Start" und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
2. Geben Sie im Feld "Öffnen" Folgendes ein:
   
   SERVICES.MSC /S
   
   Klicken Sie anschließend auf "OK". Das Fenster "Dienste" wird geöffnet.
   
3. Suchen Sie im rechten Teilfenster den Dienst "Remoteprozeduraufruf (RPC)".
   
   

   ---

   ACHTUNG: Es gibt auch einen Dienst namens "Remoteprozeduraufruf (RPC) Locator". Vergewissern Sie sich, dass Sie den richtigen Dienst auswählen.

   ---

   
   
4. Klicken Sie mit der rechten Maustaste auf den Dienst "Remoteprozeduraufruf (RPC)" und anschließend auf "Eigenschaften".
5. Klicken Sie auf die Registerkarte "Wiederherstellen".
6. Ändern Sie über die Dropdown-Listen die Einstellungen für "Erster Fehlschlag", "Zweiter Fehlschlag" und "Weitere Fehlschläge" auf "Dienst neu starten".
7. Klicken Sie auf "Übernehmen" und anschließend auf "OK".
   
   

   ---

   ACHTUNG: Machen Sie diese Änderungen nach Entfernung des Wurms unbedingt wieder rückgängig.

   ---

2. Beenden des Wurmprozesses

1. Drücken Sie zugleich Strg+Alt+Entf.
2. Klicken Sie auf "Task-Manager".
3. Klicken Sie auf die Registerkarte "Prozesse".
4. Doppelklicken Sie auf die Spaltenüberschrift "Name", um die Prozesse alphabetisch zu ordnen.
5. Durchsuchen Sie die Liste nach Msblast.exe.
6. Wenn Sie die Datei gefunden haben, klicken Sie zuerst auf die Datei und anschließend auf "Prozess beenden".
7. Schließen Sie den Task-Manager.

3. Herunterladen der aktuellsten Virusdefinitionen
Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:

Für Computeranwender mit wenig Erfahrung
Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Seit dem 11. August 2003 sind Virusdefinitionen für W32.Blaster.Worm über unseren LiveUpdate-Server verfügbar. Um die aktuellsten Virusdefinitionen zu erhalten, klicken Sie in der Hauptbenutzeroberfläche Ihres Symantec Produkts auf die Schaltfläche "LiveUpdate". Stellen Sie sicher, dass beim Ausführen von LiveUpdate die Option "Norton AntiVirus-Virendefinitionen" aktiviert ist. Produktaktualisierungen können zu einem späteren Zeitpunkt bezogen werden.

Für Systemadministratoren und erfahrene Anwender
Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie Sie die Virensignaturen mit dem Intelligent Updater aktualisieren.

4. Prüfen Sie den Computer und löschen Sie infizierte Dateien

1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien eingerichtet ist.
   • Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
   • Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist.
2. Führen Sie eine vollständige Systemprüfung durch.
3. Wenn Dateien als mit W32.Blaster.Worm infiziert gemeldet werden, klicken Sie auf "Löschen".

5. Rückgängigmachen der an der Registrierung vorgenommenen Änderungen

---

ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

---

1. Klicken Sie auf "Start" und anschließend auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
2. Geben Sie regedit ein.
   
   Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.
   
   
3. Suchen Sie den Schlüssel
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. Löschen Sie diesen Wert im rechten Teilfenster:
   
   windows auto update
   
   
5. Schließen Sie den Registrierungseditor.

6. Installieren des HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren
W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle über den TCP-Port 135 ausnutzt, um Ihren PC zu infizieren. Der Wurm versucht außerdem, einen Denial-of-Service (DoS) -Angriff auf den Windows Update-Webserver von Microsoft (windowsupdate.com) über Ihren PC zu starten. Um dieses Problem zu beheben, ist es wichtig, das Microsoft Hotfix über den Microsoft Security Bulletin MS03-039 herunterzuladen und zu installieren.

Technische Details