In diesem Abschnitt

• Home
• Support
• Virendesinfektion

Online-Support

• Knowledgebase
• Virendesinfektion

Produktpflege

• Downloads und Updates
• Dokumentation
• Software-Lebenszyklus

Kontakt

• Gespräch mit Experten
• Sample einsenden
• E-Mail senden

Support-Services

• Übersicht
• Technischer Support
• Professional Services
• Technische Schulungen

• 

Hinweise zum Entfernen von W32/ElKern-C und W32/Klez-H

W32/Klez-H ist ein Win32-Wurm, der eine komprimierte Kopie des Virus W32/ElKern-C in sich trägt, den er ablegt und ausführt, wenn der Wurm aktiviert wird. Die Erkennung von W32/Klez-G schließt die Erkennung von W32/Klez-H und anderen Varianten ein. Diese Desinfektionshinweise gelten für die Varianten W32/Klez-E, -F, -G und -H sowie für Elkern-A, -B und -C.

W32/ElKern-C ist eine ausführbare Datei, die nur unter Windows 98, Windows Me, Windows 2000 und Windows XP funktioniert.

W32/Klez-H beschädigt alle Installationen von Sophos Anti-Virus, die er findet, so dass er mit DOS SWEEP oder SAV32CLI entfernt werden muss, bevor eine neue Version installiert werden kann.

Isolation vom Netzwerk

Sophos empfiehlt, dass Sie infizierte Computer vom übrigen Netzwerk isolieren, bevor Sie fortfahren. Damit verhindern Sie, dass sich der Virus weiter verbreitet, während Sie die Desinfektion Ihres Computers vorbereiten.

Wenn Sie einen Windows XP-Computer desinfizieren, gehen Sie bitte zum Abschnitt Windows NT/2000/XP über.

Windows 95/98/Me

Desinfektion mit DOS SWEEP

• Benutzen Sie direkt die Kopie im Ordner Tools\ESD auf der Sophos CD
• Laden Sie die Datei herunter und entpacken Sie sie in den Ordner C:\Sophtemp
• Wenn der Virus Ihre Installation von Sophos Anti-Virus nicht beschädigt hat, können Sie die Kopie von DOS SWEEP in C:\Programme\Sophos SWEEP verwenden.

Sie müssen die Desinfektion im 16-Bit (MS-DOS)-Modus durchführen, nicht an einer Befehlseingabe ("DOS-Fenster").

• Windows 95/98: Starten Sie den Computer im MS-DOS-Modus neu. Wählen Sie Start|Beenden und wählen Sie dann "Computer im MS-DOS-Modus neu starten".
• Windows Me: Erstellen Sie eine Startdiskette, von der Sie dann Booten. Wählen Sie Start|Einstellungen|Systemsteuerung. Klicken Sie auf "Software" und wählen Sie die Registerkarte "Startdiskette" und klicken Sie auf "Diskette erstellen". Wenn Sie die Startdiskette erstellt haben, aktivieren Sie den Schreibschutz und booten Sie von ihr.

Gehen Sie direkt in das Verzeichnis, in dem sich DOS SWEEP befindet.

• Wenn Sie es von einer CD in Laufwerk E: starten, geben Sie folgendes ein:
  E:
  CD \TOOLS\ESD
• Wenn Sie die Dateien nach C:\Sophtemp entpackt haben, geben Sie ein:
  CD \
  CD SOPHTEMP
• Wenn die Kopie von DOS SWEEP in Programme\Sophos SWEEP noch zu verwenden ist, geben Sie ein:
  CD \
  CD PROGRA~1
  CD SOPHOS~1

Starten Sie dann DOS SWEEP

SWEEP C: -PB -DIPE -P=ELKLOGC.TXT

Ihr Computer wird überprüft. Infizierte Dateien werden gesäubert und ein Bericht erstellt. Beschädigte Dateien und Wurmdateien können nicht gesäubert werden. Sie müssen gelöscht werden.

SWEEP C: -PB -REMOVEF -P=KLEZLOGC.TXT

Mit der Protokolldatei KLEZLOGC.TXT können Sie nützliche Dateien identifizieren.

Hinweis: Entfernen Sie nur W32/Klez- oder W32/ElKern-Dateien. Behandeln Sie Dateien, die mit anderen Viren infiziert sind, separat.

Wiederholen Sie diesen Prozess für alle Festplatten, z. B. für Laufwerk D:

SWEEP D: -PB -DIPE -P=ELKLOGD.TXT

und

SWEEP D: -PB -REMOVEF -P=KLEZLOGD.TXT

Die gelöschten Dateien sollten Sie durch eine virenfreie Sicherungskopie oder von der Original-CD ersetzen.

Starten Sie nach der Desinfektion den Computer in Windows neu und gehen Sie zu dem Abschnitt Wiederherstellung unten.

Windows NT/2000/XP

Auf Windows NT/2000/XP entfernen Sie W32/Klez mit SAV32CLI.

• Sie können SAV32CLI direkt aus dem Ordner WIN32\I386\SAV32CLI auf der Sophos CD starten.
• Sie können auch den SAV32CLI Emergency Download unter sav32sfx.exe verwenden. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt der Datei in einen SAV32CLI-Ordner auf einem Datenträger zu entpacken, der schreibgeschützt werden kann (z. B. eine CD). Aktivieren Sie dann den Schreibschutz (auf einem CD/R oder CD/RW schließen Sie die Sitzung).

Bevor Sie SAV32CLI starten, müssen Sie sicherstellen, dass W32/ElKern nicht im Speicher resident ist. Auf Windows 2000 und Windows XP sollten Sie den Abgesicherten Modus verwenden. Da W32/ElKern-C keine Windows NT-Dateien infiziert, können Sie eine Befehlseingabe verwenden.

• Windows NT: Beenden Sie alle Programme. Gehen Sie auf Start|Ausführen und geben Sie "Command" ein.
• Windows 2000: Wählen Sie Start|Beenden. Wählen Sie aus der Drop-Down-Liste "Neu starten" und klicken Sie auf "OK". Windows startet neu.
  Drücken Sie auf F8, wenn Sie folgenden Text sehen: "Problembehebung und erweiterte Windows 2000-Startoptionen: F8-Taste drücken." Wählen Sie im Menü "Erweiterte Windows 2000-Startoptionen" die Option "Abgesicherter Modus". Melden Sie sich als lokaler Administrator an, wenn Sie dazu aufgefordert werden.
  Wenn Windows 2000 im Abgesicherten Modus gestartet ist, gehen Sie auf Start|Einstellungen|Systemsteuerung|Verwaltung und doppelklicken Sie auf Dienste. Unter den Diensten finden Sie einen namens Wink*, wobei "*" für zufällig gewählte Zeichen steht. Beenden Sie diesen Wink*-Dienst mit der Schaltfläche "Beenden". Schließen Sie alle Fenster.
  Gehen Sie auf Start|Ausführen und geben Sie Command ein.
• Windows XP: Wählen Sie Start|Beenden. Wählen Sie aus der Drop-Down-Liste "Neu starten" und klicken Sie auf "OK". Windows startet neu.
  Drücken Sie auf F8, um in das Menü mit den erweiterten Optionen zu gelangen. Wählen Sie die Option "Abgesicherter Modus" und dann "Windows XP". Melden Sie sich als lokaler Administrator an, wenn Sie dazu aufgefordert werden.
  Wenn Windows 2000 im Abgesicherten Modus gestartet ist, gehen Sie auf Start|Einstellungen|Systemsteuerung|Verwaltung und doppelklicken Sie auf Dienste. Unter den Diensten finden Sie einen namens Wink*, wobei "*" für zufällig gewählte Zeichen steht. Beenden Sie diesen Wink*-Dienst mit der Schaltfläche "Beenden". Schließen Sie alle Fenster.
  

  Gehen Sie auf Start|Ausführen und geben Sie Cmd ein.

Legen Sie die schreibgeschützte Diskette mit SAV32CLI ein. Geben Sie in die Befehlseingabeaufforderung folgendes ein:
E:

wobei E: das Laufwerk ist, in das Sie die SAV32CLI-Diskette eingelegt haben. Geben Sie folgendes ein:

Wenn Sie die Sophos CD verwenden, geben Sie ein:
CD WIN32\I386\SAV32CLI

Wenn Sie eine SAV32CLI Diskette verwenden, geben Sie ein:
CD SAV32CLI

Geben Sie dann folgendes ein:

SAV32CLI -DI -P=C:\ELKLOGC.TXT

Dadurch werden alle festen Laufwerke desinfiziert.

SAV32CLI überprüft Ihren Computer. Infizierte Dateien werden gesäubert und ein Bericht erstellt. Beschädigte Dateien und Wurmdateien können nicht desinfiziert werden. Diese Dateien müssen gelöscht werden.

SAV32CLI -REMOVE -P=C:\KLEZLOGC.TXT

Mit der Protokolldatei KLEZLOGC.TXT können nützliche Dateien identifiziert werden.

Hinweis: Entfernen Sie nur W32/Klez- oder W32/ElKern-Dateien. Behandeln Sie Dateien, die von anderen Viren infiziert sind, separat.

Wenn die Desinfektion abgeschlossen ist, starten Sie eine zweite Überprüfung, um sicherzugehen, dass die Viren entfernt sind. Wenn sie nicht entfernt wurden, wenden Sie sich an den technischen Support von Sophos.

Starten Sie Windows neu und gehen Sie zum Abschnitt Wiederherstellung unten.

Wiederherstellung

1. Systemwiederherstellung
   Sie sollten die Systemwiederherstellung löschen in Windows Me und Windows XP.
2. Installieren Sie Sophos Anti-Virus neu und überprüfen Sie den Computer in Windows.
   Installieren Sie Sophos Anti-Virus neu, wie in der entsprechenden Installationsanleitung erläutert, starten Sie dann eine Überprüfung, um Verzeichnisse zu überprüfen, deren Namen unter DOS nicht erkannt werden (z. B. die nicht erlaubte Zeichen, wie "!" und "?", enthalten). Starten Sie Sophos Anti-Virus. Klicken Sie mit der rechten Maustaste auf Ihre Festplatte und wählen Sie "Alle Dateien" aus dem Menü. Vergewissern Sie sich, dass "Unterverzeichnisse" ausgewählt ist. Starten Sie eine Überprüfung. Wenn diese abgeschlossen ist, klicken Sie mit der rechten Maustaste erneut auf das Laufwerk und wählen Sie "Ausführbare Dateien".
3. Reparieren der Registrierung
   Sie müssen evenutell Registrierungseinträge löschen, die auf die infizierten Dateien und Dienste verweisen. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Die infiziert Datei ist in KLEZLOGC.TXT aufgelistet (im Ordner SOPHTEMP oder Sophos SWEEP und im Root-Verzeichnis von Laufwerk C:). Doppelklicken Sie auf KLEZLOGC.TXT, um sie in Notepad oder in Wordpad zu öffnen und suchen Sie nach dem Wort "Virus", um die Namen der infizierten Dateien zu erhalten. Sie können die Datei geöffnet lassen, während Sie die Registrierung verändern.
   Wählen Sie in der Windows-Taskleiste Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
   Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Backup-Menü auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
   Suchen Sie den Eintrag HKEY_LOCAL_MACHINE:
   
   HKLM\Software\Microsoft\Windows
   \CurrentVersion\Run\"infizierte Datei"
   
   wobei "infizierte Datei" eine der infizierten Dateien im Protokoll ist. Löschen Sie diesen Eintrag.
   Unter Umständen müssen Sie auch den Schlüssel für den Dienst Wink* entfernen. Suchen Sie
   
   HKLM\System\CurrentControlSet\Services\Wink*
   
   wobei "*" für zufällig gewählte Zeichen steht. Löschen Sie diesen Schlüssel.
   Schließen Sie den Registrierungseditor.
   
4. Ersetzen der desinfizierten Dateien
   Infizierte Dateien werden nicht immer in ihren Originalzustand zurückversetzt. Dieser Schaden kann ohne eine Kopie der Originaldatei nicht rückgängig gemacht werden. Sie sollten nacheinander alle infizierten Dateien durch Kopien von Backups, neuen Datenträgern oder einem virenfreien PC ersetzen. Mit Hilfe von KLEZLOGC.TXT können Sie diese Dateien identifizieren
5. Anwendung des Micosoft Patches
   W32/Klez-H nutzt eine MIME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers aus, wodurch eine Datei automatisch startet, ohne dass der Anwender auf das Attachment doppelklicken muss. Laden Sie sich das Patch herunter, das Microsoft zum Schutz vor dieser Schwachstelle zur Verfügung gestellt hat.
6. Suchen umbenannter Dateien
   W32/Klez-H versteckt oder benennt Kopien einiger der Dateien um, die er in demselben Verzeichnis infiziert hat. Der Originalname wird beibehalten, jedoch wird die Dateierweiterung zufällig gewählt und die Dateien haben die Attribute "System", "Versteckt" und "Schreibgeschützt". Diese Dateien können in ihren Originalnamen umbenannt werden.

Sonstige Plattformen

Wenn Sie infizierte Dateien auf anderen Plattformen als Windows 95/98/Me und Windows NT/2000/XP finden, desinfizieren Sie W32/ElKern-C mit Hilfe der Hinweise zur Desinfektion von PE-Dateien und entfernen Sie W32/Klez-Varianten mit Hilfe der Hinweise zum Entfernen von infizierten Exe-Dateien.