W32.Blaster.B.Worm - Hilfe entfernen

Entfernung mit dem W32.Blaster.Worm-Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm zur Entfernung von W32.Blaster.B.Worm-Infektionen entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um diese Bedrohung zu beseitigen, und sollte daher als Erstes ausprobiert werden.

Manuelle Entfernung
Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen.

Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

---

Wichtige Hinweise:

• W32.Blaster.B.Worm nutzt die DCOM RPC-Schwachstelle aus. Diese wird im Microsoft Security Bulletin MS03-026 beschrieben, wo auch ein Patch erhältlich ist. Sie müssen den Patch herunterladen und installieren. In vielen Fällen müssen Sie dies tun, bevor Sie mit den Entfernungsanweisungen fortfahren können. Wenn Sie mit den folgenden Anweisungen die Infektion nicht entfernen können oder eine erneute Infektion verhindern können, laden Sie den Patch zunächst herunter und installieren Sie ihn dann.
• Aufgrund der Funktionsweise des Wurms kann es schwierig sein, eine Verbindung zum Internet herzustellen und den Patch, die Definitionen oder das Entfernungsprogramm herunterzuladen, bevor der Wurm den Computer herunterfährt. Mindestens zwei Umgehungsmethoden sind hierfür bekannt, doch keine der Lösungen funktioniert vollständig in allen Fällen.
  
  • Wenn Sie Windows XP verwenden, ermöglicht Ihnen die Aktivierung der Windows XP Firewall eventuell, den Patch herunterzuladen und zu installieren, die Virendefinitionen zu beziehen und das Entfernungsprogramm auszuführen. Dies funktioniert möglicherweise auch mit anderen Firewalls, bisher liegen jedoch noch keine Bestätigungen vor.
    
  • In vielen Fällen kann sowohl unter Windows 2000 als auch unter XP eine Änderung der Einstellungen für den Remote Call Procedure (RPC)-Dienst eventuell bewirken, dass Sie eine Verbindung zum Internet herstellen können, ohne dass der Computer herunterfährt.
    
    Gehen Sie folgendermaßen vor:
    1. Führen Sie einen der folgenden Schritte durch:
       • Windows 2000: Klicken Sie mit der rechten Maustaste auf dem Windows Desktop auf Arbeitsplatz und anschließend auf Verwalten. Das Fenster "Computerverwaltung" wird geöffnet.
       • Windows XP: Klicken Sie auf die Schaltfläche "Start", klicken Sie mit der rechten Maustaste auf das Symbol "Arbeitplatz" und anschließend auf "Verwalten". Das Fenster "Computerverwaltung" wird geöffnet.
         
         
    2. Doppelklicken Sie ggf. im linken Teilfenster auf "Dienste und Anwendungen" und wählen Sie dann "Dienste". Eine Liste der Dienste wird angezeigt.
    3. Suchen Sie im rechten Teilfenster den Dienst "Remote Procedure Call (RPC)".
       
       ACHTUNG:Es gibt auch einen Dienst namens "Remote Procedure Call (RPC) Locator". Vergewissern Sie sich, dass Sie den richtigen Dienst auswählen.
       
       
    4. Klicken Sie mit der rechten Maustaste auf den Dienst "Remoteprozeduraufruf (RPC)" und anschließend auf "Eigenschaften".
    5. Klicken Sie auf die Registerkarte "Wiederherstellung".
    6. Ändern Sie über die Dropdown-Listen die Einstellungen für "Erster Fehlschlag", "Zweiter Fehlschlag" und "Nachfolgende Fehlschläge" auf "Dienst neu starten".
    7. Klicken Sie auf Übernehmen > OK.
       
       ACHTUNG: Machen Sie diese Änderungen nach Entfernung des Wurms unbedingt wieder rückgängig.

---

1. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
2. Aktualisieren Sie Ihre Virendefinitionen.
3. Beenden Sie den Wurmprozess.
4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Blaster.B.Worm infiziert erkannt werden.
5. Machen Sie die Änderungen rückgängig, die der Wurm an der Registrierung vorgenommen hat.
   

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Deaktivieren Sie die Systemwiederherstellung (Windows XP)
Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Bitte beachten Sie den folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:

• "Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?

Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

2. Aktualisieren der Virendefinitionen
Alle Virendefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virendefinitionen auf zwei Arten erhalten:

• Das Ausführen von LiveUpdate ist die einfachste Methode, um Virendefinitionen zu beziehen: Diese Virendefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (LiveUpdate).
• Laden Sie die Virendefinitionen mit dem Intelligent Updater herunter. Virendefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den intelligent Updater Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (Intelligent Updater).
  
  Die Intelligent Updater-Virendefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Aktualisieren der Virendefinitionsdateien mit dem Intelligent Updater.

3. Beenden des Wurmprozesses

So beenden Sie den Wurmprozess:
1. Drücken Sie zugleich Strg+Alt+Entf.
2. Klicken Sie auf Task-Manager.
3. Klicken Sie auf die Registerkarte Prozesse.
4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
5. Durchsuchen Sie die Liste nach penis32.exe.
6. Wenn Sie die Datei gefunden haben, klicken Sie zuerst auf die Datei und anschließend auf Prozess beenden.
7. Schließen Sie den Task-Manager.
   

4. Prüfen des Computers und Löschen von infizierten Dateien

1. Starten Sie Ihr Virenschutzprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
   • Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
   • Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist.
2. Führen Sie eine vollständige Systemprüfung durch.
3. Wenn Dateien als mit W32.Blaster.B.Worm infiziert gemeldet werden, klicken Sie auf Löschen.

5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig

ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Anweisungen finden Sie im Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen .

1. Klicken Sie auf Start und anschließend auf Ausführen. (Das Dialogfeld Ausführen wird geöffnet.)
2. Geben Sie regedit ein.
   
   Klicken Sie auf OK. Der Registrierungseditor wird geöffnet.
   
   
3. Suchen Sie den Schlüssel
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. Löschen Sie diesen Wert im rechten Teilfenster:
   
   "windows auto update"="penis32.exe"
   
   
5. Schließen Sie den Registrierungseditor.

Technische Details