||||
Symantec.com > Security Response > W32.Welchia.Worm
DIESE SEITE DRUCKEN

W32.Welchia.Worm - Hilfe entfernen

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 18 August 2003
Aktualisiert: 13 Februar 2007 12:10:10 PM
Auch bekannt als: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Typ: Wurm
Infektionslänge: 10.240 Byte
Betroffene Systeme: Microsoft IIS, Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0109 CAN-2003-0352


Entfernung mit dem W32.Welchia.Worm-Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Welchia.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden. Um das Entfernungsprogramm für
W32.Welchia.Worm zu erhalten, lesen Sie das Dokument W32.Welchia.Worm-Entfernungsprogramm.

Manuelle Entfernung
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
  1. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
  2. Aktualisieren Sie Ihre Virusdefinitionen.
  3. Starten Sie den Computer neu oder beenden Sie den Wurmprozess.
  4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Welchia.Worm infiziert erkannt werden.
  5. Entfernen Sie die Werte aus der Registrierung.
  6. Löschen Sie die Datei Svchost.exe.
    Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

    1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP)
    Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me/XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

    Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

    Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

    Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in folgenden Dokumenten:
    Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im englischsprachigen Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

    2. Aktualisieren Sie die Virusdefinitionen
    Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:

    • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
    • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

      Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie Sie die Virensignaturen mit dem Intelligent Updater aktualisieren.

    3. Starten Sie den Computer im abgesicherten Modus neu oder beenden Sie die mit dem Wurm verbundenen Dienste
      Windows 95/98/Me
      Starten Sie den Computer im abgesicherten Modus neu. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.

      Windows NT/2000/XP
      So beenden Sie die mit dem Wurm verbundenen Dienste:
      1. Öffnen Sie in der Systemsteuerung das Applet "Verwaltung" und klicken Sie auf "Dienste".
      2. Suchen Sie in der Liste im rechten Teilfenster nach den folgenden Namen:
        • Network Connections Sharing (Gemeinsame Nutzung der Netzwerkverbindungen)
        • WINS Client
      3. Wenn Sie die Dienste gefunden haben, klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf "Beenden".
      4. Schließen Sie das Fenster "Dienste".
      4. Prüfen Sie den Computer und löschen Sie infizierte Dateien
      1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
      2. Führen Sie eine vollständige Systemprüfung durch.
      3. Wenn Dateien als mit W32.Welchia.Worm infiziert gemeldet werden, klicken Sie auf "Löschen".

      5. Entfernen Sie den Wert aus der Registrierung

      ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

      1. Klicken Sie auf "Start" und anschließend auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
      2. Geben Sie regedit ein.

        Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.

      3. Suchen Sie den Schlüssel

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      4. Löschen Sie die Unterschlüssel

        RpcPatch

        und

        RpcTftpd
      5. Schließen Sie den Registrierungseditor.
        6. Löschen Sie die Datei Svchost.exe
        Navigieren Sie zum Ordner %System%\Wins und löschen Sie die Datei Svchost.exe.

        Dokument verfasst von: Frederic Perriot
        Bis zu 20 € sparen mit einem zweijährigen Abonnement.
        ©1995 - 2009 Symantec Corporation
        Wegweiser|
        Rechtliche Hinweise|
        Impressum|
        Datenschutz|
        Kontakt|
        Weltweit|
        Lizenzvereinbarungen