W32.Sasser.B.Worm - Hilfe entfernen

---

Bitte zuerst lesen:
Wenn Sie mit Windows 2000 oder XP arbeiten, müssen Sie den im Microsoft Security Bulletin MS04-011 beschriebenen Patch installieren, wenn Sie dies nicht schon getan haben. Andernfalls wird Ihr Computer sehr wahrscheinlich erneut infiziert werden.

Wie gehen Sie vor, wenn der Computer heruntergefahren wird, bevor Sie den Patch installieren bzw. das Entfernungsprogramm herunterladen können?
Diese Bedrohung kann dazu führen, dass Windows wiederholt heruntergefahren und neu gestartet wird. Dies kann Sie daran hindern, den Microsoft-Patch zu installieren oder das unten beschriebene Entfernungsprogramm herunterzuladen. Um das Problem zu lösen, gehen Sie bitte wie folgt vor. (Unter Umständen benötigen Sie hierzu mehrere Versuche, da Sie nur etwa 20 Sekunden Zeit haben, um die Schritte 3 bis 6 durchzuführen.) Diese Schritte funktionieren nicht unter Windows 2000.

1. Trennen Sie die Internet-/Netzwerkverbindung des Computers. (Entfernen Sie ggf. das Kabel.)
2. Starten Sie den Computer neu.
3. Sobald Windows geöffnet ist und Sie den Windows-Desktop sehen, klicken Sie auf Start > Ausführen.
4. Geben Sie Folgendes ein:
   
   cmd
   
   und drücken Sie die Eingabetaste.
   
   
5. Geben Sie Folgendes ein:
   
   shutdown -i
   
   und drücken Sie die Eingabetaste.
   
   
6. Wenn das Dialogfeld Remotecomputer herunterfahren angezeigt wird, gehen Sie folgendermaßen vor:
   
   1. Klicken Sie auf Hinzufügen, geben Sie den Namen Ihres Computers im Dialogfeld Computer hinzufügen ein und klicken Sie auf OK.
   2. Geben Sie im Feld Warnung anzeigen für den Wert "9999" ein.
   3. Geben Sie folgenden Text unter Kommentar ein:
      
      Ausschalten durch Lsass.exe verzögern
      
   4. Klicken Sie auf OK.
      
      Dadurch erhalten Sie in etwa 3 Stunden Zeit, in denen Sie u. a. den Patch installieren und die Definitionen aktualisieren können.
      
7. Stellen Sie die Internetverbindung oder die Netzwerkverbindung wieder her.
8. Öffnen Sie Ihren Browser und laden Sie den Patch herunter. Fahren Sie mit den folgenden Schritten fort.
   

Wenn Sie den Patch installiert und die Bedrohung entfernt haben, können Sie die Warnungseinstellungen wieder auf 20 Sekunden zurücksetzen.

---

Entfernung mit dem W32.Sasser-Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Sasser.B.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden.

Manuelle Entfernung
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

1. Beenden Sie den bösartigen Prozess.
2. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
3. Aktualisieren Sie Ihre Virusdefinitionen.
4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Sasser.B.Worm infiziert erkannt werden.
5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Beenden Sie den bösartigen Prozess

So beenden Sie den bösartigen Prozess:
1. Drücken Sie zugleich Strg+Alt+Entf.
2. Klicken Sie auf Task-Manager.
3. Klicken Sie auf die Registerkarte Prozesse.
4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
5. Durchsuchen Sie die Liste nach den folgenden Prozessen:
   • avserve.exe
   • Jeder Prozess, dessen Name aus 4 oder 5 Ziffern und der angehängten Zeichenfolge _up.exe besteht (z. B. 74354_up.exe)
6. Wenn Sie einen solchen Prozess finden, klicken Sie darauf und klicken Sie anschließend auf Prozess beenden.
7. Schließen Sie den Task-Manager.

2. Deaktivieren der Systemwiederherstellung (Windows XP)
Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option Systemwiederherstellung vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Virenschutzprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Virenschutzprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?

---

Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

---

3. Aktualisieren der Virusdefinitionen
Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:

• Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
• Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).
  
  Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.

4. Prüfen des Computers und Löschen infizierter Dateien

1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
   • Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
   • Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist.
2. Führen Sie eine vollständige Systemprüfung durch.
3. Wenn Dateien als mit W32.Sasser.B.Worm infiziert gemeldet werden, klicken Sie auf Löschen.

5. Entfernen eines Werts aus der Registrierung

---

WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

---

1. Klicken Sie auf Start > Ausführen. Das Dialogfeld Ausführen wird geöffnet.
2. Geben Sie regedit ein und klicken Sie auf OK. Der Registrierungseditor wird geöffnet.
3. Suchen Sie den Schlüssel
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. Löschen Sie diesen Wert im rechten Teilfenster:
   
   "avserve2.exe"="%Windir%\avserve2.exe"
   
   
5. Schließen Sie den Registrierungseditor.

Technische Details