1. Symantec/
  2. Security Response/
  3. W32.Sober Removal Tool
  4. W32.Sober Removal Tool
  • Hinzufügen

W32.Sober Removal Tool

Entdeckt am:
29 Oktober 2003
Aktualisiert:
13 Februar 2007 11:35:10 AM
Typ:
Removal Information

Symantec Security Response hat ein Programm zur Entfernung der folgenden Varianten von W32.Sober entwickelt:

W32.Sober@mm (in Englisch)
W32.Sober.B@mm (in Englisch)
W32.Sober.C@mm (in Englisch)
W32.Sober.D@mm
W32.Sober@mm.enc
W32.Sober.gen (in Englisch)
W32.Sober.E@mm (in Englisch)
W32.Sober.F@mm
W32.Sober.G@mm (in Englisch)
W32.Sober.I@mm
W32.Sober.L@mm
W32.Sober.N@mm
W32.Sober.O@mm
W32.Sober.Q@mm (in Englisch)
W32.Sober.V@mm
W32.Sober.W@mm
W32.Sober.X@mm



Hinweis: W32.Sober.gen weist auf eine allgemeine Erkennung von Varianten von W32.Sober hin. Wenn auf Ihrem Computer eine Infizierung mit W32.Sober.gen@mm festgestellt wird, laden Sie das Programm herunter und führen es aus. In den meisten Fällen kann die Infektion durch das Programm beseitigt werden.


Was bewirkt das Programm?

Das W32.Sober-Entfernungsprogramm funktioniert wie folgt:
  1. Es beendet die Virusprozesse von W32.Sober.
  2. Es löscht die mit W32.Sober infizierten Dateien.
  3. Es löscht die abgelegten Dateien.
  4. Es löscht die durch den Wurm hinzugefügten Registrierungseinträge.

Befehlzeilenparameter für dieses Programm

Parameter
Beschreibung
/HELP, /H, /?Zeigt die Hilfsnachricht an.
/NOFIXREGDeaktiviert die Reparatur der Registrierung. (die Anwendung dieses Parameters wird nicht empfohlen.)
/SILENT, /SDeaktiviert Rückmeldungen.
/LOG=[PFADNAME]Erstellt eine Protokolldatei, wobei der [PFADNAME] den Bereich darstellt, in dem das Ergebnis des Programms gespeichert wird. Standardmäßig erstellt dieser Parameter die Protokolldatei FixSober.log in dem gleichen Ordner, von dem aus das Entfernungsprogramm ausgeführt wurde.
/MAPPEDPrüft zugeordnete Netzlaufwerke. (Die Anwendung dieses Parameters wird nicht empfohlen. Beachten Sie die Hinweise unten.)
/STARTErzwingt das unmittelbare Starten des Prüfvorgangs.
/EXCLUDE=[PFAD]Schließt den angegebenen [PFAD] von der Prüfung aus. (die Anwendung dieses Parameters wird nicht empfohlen.)
/NOFILESCANUnterbindet die Prüfung des Dateisystems.



Hinweise:
  • Symantec Security Response rät Ihnen dringend davon ab, den Parameter /NOFIXREG beí der ersten Ausführung des Entfernungsprogramms zu verwenden. Wenn das Entfernungsprogramm mit diesem Parameter ausgeführt wird, werden Sie auch durch eine nochmalige Ausführung des Programms die mit diesem Wurm in Verbindung stehenden Registrierungseinträge nicht entfernen können.
  • Bei der Verwendung des Parameters /MAPPED ist die vollständige Entfernung des Virus vom Remote-Computer aus folgenden Gründen nicht gewährleistet:
    • Die Prüfung zugeordneter Laufwerke betrifft ausschließlich zugeordnete Ordner. Dazu gehören möglicherweise nicht alle Ordner auf dem Remote-Computer, so dass Viren in diesen Ordnern eventuell nicht erkannt werden.
    • Wenn eine Virusdatei auf einem zugeordneten Laufwerk entdeckt wird, kann die Datei nur entfernt werden, wenn kein Programm auf dem Remote-Computer diese Datei verwendet.

      Aus diesen Gründen führen Sie das Programm möglichst auf jedem einzelnen Computer aus.



Bezug und Ausführung des Programms

Hinweis: Sie müssen für die Ausführung dieses Programms unter Windows NT 4.0, Windows 2000 oder Windows XP über Administratorrechte verfügen.

WARNUNG: Für Netzwerkadministratoren: Wenn Sie mit MS Exchange 2000 Server arbeiten, empfiehlt es sich, das Laufwerk M: von der Prüfung auszuschließen. Starten Sie hierzu das Programm mit dem Schalter /Exclude von der Befehlszeile aus. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel Durch eine Sicherung bzw. Überprüfung des Laufwerks "M" von Exchange 2000 verursachte Probleme (Artikel 298924).

  1. Laden Sie die Datei FixSbr.exe hier herunter:

    http://securityresponse.symantec.com/avcenter/FixSbr.exe
  2. Speichern Sie die Datei in einem geeigneten Bereich, z.B. in Ihrem Download-Ordner oder auf dem Windows-Desktop (oder, wenn möglich, auf Wechselmedien, die nicht infiziert sind).
  3. Um die Echtheit der digitalen Unterschrift zu überprüfen, beachten Sie bitte den Abschnitt "Die digitale Unterschrift".
  4. Beenden Sie vor der Ausführung des Programms alle laufenden Anwendungen.
  5. Wenn Sie in einem Netzwerk arbeiten oder eine ständige Internetverbindung haben, unterbrechen Sie die Verbindungen zum Netzwerk und zum Internet.
  6. Wenn Sie mit Windows Me oder XP arbeiten, deaktivieren Sie die Option Systemwiederherstellung. Zusätzliche Informationen finden Sie im Abschnitt "Systemwiederherstellungsoption in Windows Me/XP".


    ACHTUNG: Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen. Die Infektion kann möglicherweise nicht erfolgreich entfernt werden, wenn die Systemwiederherstellung in Windows Me/XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt.

  7. Doppelklicken Sie auf die Datei FixSbr.exe, um das Entfernungsprogramm zu starten.
  8. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.


    Hinweis: Wenn Sie bei Ausführung des Programms die Meldung erhalten, dass eine oder mehrere Dateien nicht entfernt werden konnten, führen Sie das Programm im abgesicherten Modus aus. Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie 30 Sekunden. Starten Sie den Computer im abgesicherten Modus neu und führen Sie das Programm erneut aus. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen zum Rechnerneustart im abgesicherten Modus finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus.

  9. Starten Sie den Computer neu.
  10. Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
  11. Wenn Sie mit Windows Me/XP arbeiten, aktivieren Sie die Option "Systemwiederherstellung".


    Hinweis: Bevor Sie mit dem nächsten Schritt fortfahren, kann es notwendig sein, LiveUpdate neu zu installieren, da einige Varianten, z. B. W32.Sober.O@mm oder W32.Sober.X@mm, Symantec LiveUpdate gezielt angreifen und versuchen, verschiedene, mit diesem Produkt verbundene Dateien zu löschen oder zu überschreiben. Um LiveUpdate neu zu installieren, befolgen Sie bitte diese Anweisungen:

    So installieren Sie die aktuelle Version von LiveUpdate neu
    1. Klicken Sie auf LiveUpdate herunterladen.


      Hinweis: Wenn Sie diese Webseite nicht auf dem Computer lesen, der die Fehlermeldung erhält, können Sie die Datei über folgende Adresse herunterladen:

      ftp://ftp.symantec.com/public/deutsch/liveupdate/lusetup.exe

      Bei Bedarf können Sie diese Adresse in die Adressleiste des Problem-Computers eingeben. Änderungen an der Hosts-Datei hindern Sie nicht daran, auf diese Site zuzugreifen.

    2. Speichern Sie die Datei auf dem Windows-Desktop.
    3. Doppelklicken auf Sie das Symbol lusetup.exe auf dem Desktop, um LiveUpdate zu installieren.

  12. Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.

Nach Abschluss des Programms wird Ihnen in einer Nachricht gemeldet, ob der Computer mit W32.Sober infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
  • Anzahl der insgesamt geprüften Dateien
  • Anzahl der gelöschten Dateien
  • Anzahl der beendeten Virusprozesse
  • Anzahl der reparierten Registrierungseinträge

Die digitale Unterschrift
FixSbr.exe ist mit einer digitalen Unterschrift versehen. Wir empfehlen Ihnen, ausschließlich Kopien von FixSbr.exe zu verwenden, die direkt von der Website von Symantec Security Response heruntergeladen wurden. Um die Echtheit der digitalen Unterschrift zu überprüfen, befolgen Sie diese Schritte:
  1. Öffnen Sie die Internetseite http://www.wmsoftware.com/free.htm.
  2. Laden Sie die Datei Chktrust.exe in den gleichen Ordner herunter, in dem Sie das Entfernungsprogramm gespeichert haben, und speichern Sie sie.


    Hinweis: Die meisten der folgenden Schritte erfolgen über eine Eingabeaufforderung. Wenn Sie das Entfernungsprogramm auf den Windows-Desktop heruntergeladen haben, ist es einfacher, wenn Sie zuerst das Programm in das Stammverzeichnis des Laufwerks C verschieben. Speichern Sie dann die Datei Chktrust.exe ebenfalls im Stammverzeichnis von C.

    (Bei Schritt 3 wird davon ausgegangen, dass das Entfernungsprogramm und Chktrust.exe im Stammverzeichnis des Laufwerks C gespeichert sind.)

  3. Klicken Sie auf Start > Ausführen.
  4. Geben Sie eine der folgenden Zeilen ein:
    • Windows 95/98/Me:

      command

    • Windows NT/2000/XP:

      cmd

  5. Klicken Sie auf OK.
  6. Geben Sie im Befehlszeilenfenster Folgendes ein und drücken Sie nach jeder Zeile die Eingabetaste:

    cd\
    cd downloads
    chktrust -i
    FixSbr.exe
  7. Sie sollten je nach Betriebssystem eine der folgenden Meldungen erhalten:
    • Windows XP SP2:
      Das Fenster "Trust Validation Utility" erscheint.

      Klicken Sie unter "Herausgeber" auf den Symantec Corporation-Link. Das Fenster "Details der dignitalen Signatur" wird angezeigt.
      Überprüfen Sie den Inhalt der folgenden Felder, um sicherzustellen, dass das Programm authentisch ist:

      Name: Symantec Corporation
      Signaturzeit: Dienstag, 22. November 2005 15:27:19
    • Alle anderen Betriebssysteme:
      Sie sollten die folgende Anzeige sehen:

      Installieren und Ausführen von "W32.Sober Removal Tool", signiert am 22.11.2005 15:27:19 und herausgegeben von: Symantec Corporation


      Hinweise
    • Das Datum und die Uhrzeit im Dialogfeld werden Ihrer Zeitzone angepasst.
    • Wenn Sie die Sommerzeit eingestellt haben, wird die angezeigte Zeit genau eine Stunde früher sein.
    • Wenn dieses Dialogfeld nicht angezeigt wird, kann dies zwei Gründe haben:
      • Das Dienstprogramm ist nicht von Symantec. Sofern Sie nicht absolut sicher sind, dass das Programm echt ist und Sie es von der echten Symantec Website heruntergeladen haben, führen Sie es nicht aus.
      • Dieses Dienstprogramm ist von Symantec und ist echt. Sie haben Ihr Betriebssystem jedoch zuvor schon einmal angewiesen, Inhalten von Symantec zu vertrauen. Informationen hierzu und dazu, wie Sie das Bestätigungsdialogfeld erneut anzeigen können, finden Sie im englischsprachigen Dokument How to restore the Publisher Authenticity confirmation dialog box.

  8. Klicken Sie auf Ja, um das Dialogfeld zu schließen.
  9. Geben Sie exit ein und drücken Sie die Eingabetaste. Die MS-DOS-Sitzung wird damit geschlossen.

Systemwiederherstellungsoption in Windows Me/XP
Anwender von Windows Me und Windows XP sollten die Systemwiederherstellung zeitweilig ausschalten. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Virenschutzprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Virenschutzprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

In manchen Fällen kann es vorkommen, dass bei einer Online-Virenprüfung im Systemwiederherstellungsordner eine Bedrohung erkannt wird, obwohl Sie Ihren Computer mit einem Antivirusprogramm geprüft und keine infizierten Dateien gefunden haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikel-ID Q263455).

Ausführung des Programms von einer Diskette
  1. Legen Sie die Diskette mit der Datei FixSbr.exe in das Diskettenlaufwerk ein.
  2. Klicken Sie auf Start > Ausführen.
  3. Geben Sie den folgenden Text ein:

    a:\FixSbr.exe

    Klicken Sie anschließend auf OK.


    Hinweise:
    • Im Befehl , a:\FixSbr.exe sind keine Leerzeichen enthalten.
    • Wenn Sie mit Windows Me arbeiten und die Systemwiederherstellung aktiviert ist, erhalten Sie eine Warnmeldung. Sie können wählen, ob Sie das Entfernungsprogramm bei eingeschalteter Systemwiederherstellung ausführen oder es stattdessen beenden möchten.


  4. Klicken Sie auf Start, um den Vorgang zu starten, und führen Sie das Programm aus.
  5. Wenn Sie mit Windows Me arbeiten, reaktivieren Sie die Option Systemwiederherstellung.


Zusammenfassung
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube