In diesem Abschnitt

• Home
• Support
• Virendesinfektion

Online-Support

• Knowledgebase
• Virendesinfektion

Produktpflege

• Downloads und Updates
• Dokumentation
• Software-Lebenszyklus

Kontakt

• Gespräch mit Experten
• Sample einsenden
• E-Mail senden

Support-Services

• Übersicht
• Technischer Support
• Professional Services
• Technische Schulungen

• 

Desinfizieren von Portable Executables

Hinweis: Diese Hinweise gelten nicht für alle Programmviren. In den Virenanalysen der einzelnen Viren finden Sie vollständige Details dazu, wie der Virus zu behandeln ist. Wenn eine Virenkennungsdatei (IDE) erforderlich ist, laden Sie diese auf eine Diskette herunter.

1. Enterprise Console oder Sophos Control Center
2. Desinfizieren von Portable Executables mit Sophos Anti-Virus für Windows, Version 7
3. Desinfizieren von Portable Executables unter Windows NT/2000/XP/2003
4. Desinfizieren von Portable Executables unter Windows 95/98
5. Desinfizieren oder Entfernen von Portable Executables auf anderen Plattformen

1. Enterprise Console oder Sophos Control Center

Über Enterprise Console oder Sophos Control Center können Sie Portable Executables in einem Netzwerk von Viren bereinigen.

2. Desinfizieren von Portable Executables mit Sophos Anti-Virus für Windows, Version 7

Um einen PE-Programmvirus zu entfernen:

• Schließen Sie alle Programme.
• Klicken Sie zum Starten von Sophos Anti-Virus auf "Start" > "Programme" > "Sophos" > "Sophos Anti-Virus".
• Wählen Sie in der Liste "Verfügbare Überprüfungen" die Überprüfung, für die Sie die Entfernung aktivieren möchten oder klicken Sie auf "Neue Überprüfung einrichten", um Ihre lokalen Festplatten zu überprüfen. (Wählen Sie keine zeitgesteuerte Überprüfung, da sie nicht manuell ausgeführt werden kann.)
• Klicken Sie auf "Bearbeiten" > "Konfiguration dieser Überprüfung".
• Wählen Sie die Registerkarte "Bereinigung" und die Option "Objekte, die Viren/Spyware enthalten, automatisch bereinigen". Klicken Sie auf "Übernehmen" > "OK".
• Klicken Sie auf "Speichern/Start", um die Überprüfung zu speichern und sofort auszuführen.
• Wenn die Überprüfung beendet ist, klicken Sie auf den Link in der Zeile "In Quarantäne verschobene Objekte", um den Quarantäne-Manager aufzurufen.
• Wählen Sie die Objekte, die desinfiziert werden sollen.
  • Klicken Sie auf die Schaltfläche "Maßnahme durchführen" und wählen Sie die Option "Bereinigen".
  • Wählen Sie "Ja" oder "Ja zu allen", um Dateien zu desinfizieren.
• Alle noch übrigen Objekte sollten gelöscht werden.
  • Klicken Sie auf die Schaltfläche "Maßnahme durchführen" und wählen Sie die Option "Löschen".
  • Wählen Sie "Ja" oder "Ja zu allen", um Dateien zu löschen.
• Starten Sie eine weitere Überprüfung, um sicherzustellen, dass der Virus beseitigt wurde.
• Klicken Sie auf "Bearbeiten" > "Konfiguration dieser Überprüfung".
• Wählen Sie die Registerkarte "Bereinigung" und deaktivieren Sie die Option "Objekte, die Viren/Spyware enthalten, automatisch bereinigen". Klicken Sie auf "Übernehmen" > "OK".

Wenn Sophos Anti-Virus Dateien nicht desinfizieren kann, weil sie vom Betriebssystem offengehalten werden, notieren Sie sich die Namen der Dateien und gehen Sie folgendermaßen vor:

1. Laden Sie eine Notfallkopie von SAV32CLI herunter. Starten Sie diese Datei auf einem virenfreien Windows-System, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf einen Datenträger, der schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und aktivieren Sie den Schreibschutz für die Diskette (auf einer CD/R oder CD/RW schließen Sie die Sitzung).
2. Starten Sie den Computer erneut im abgesicherten Modus mit Befehlseingabe.
3. Legen Sie beim infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel) ein. Geben Sie Folgendes in die Eingabeaufforderung ein:
   

   D:

   , um auf das CD-Laufwerk zuzugreifen. Geben Sie anschließend Folgendes ein:

   CD SAV32CLI

   Geben Sie dann

   SAV32CLI -DI -P=C:\LOGFILE.TXT

   um den Virus zu desinfizieren.

   Alle anderen Dateien müssen gelöscht werden. Einige davon wurden vom Virus abgelegt und müssen nicht wiederhergestellt werden. Andere sollten von Sicherungskopien abgerufen werden.

   SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

   Dieser Befehl schreibt einen Report in das Stammverzeichnis des C:-Laufwerks. Mithilfe dieses Reports kann überprüft werden, welche gelöschten Dateien aus Sicherungskopien wiederhergestellt werden sollten.

   Wenn in Windows 2000/XP/2003/Vista der Desinfektions- und Löschvorgang beendet sind, starten Sie den Computer erneut in Windows.

   Installieren Sie Sophos Anti-Virus oder installieren Sie Sophos Anti-Virus erneut und starten Sie eine Überprüfung aller Dateien, um sicherzustellen, dass der Virus nicht mehr vorhanden ist.

4. Überprüfen Sie im abgesicherten Modus alle in den Wiederherstellungshinweisen der Virenanalyse erwähnten Registrierungseinträge und bearbeiten Sie diese bei Bedarf. Wenn die Probleme weiterhin auftreten, wenden Sie sich an den technischen Support.

3. Desinfizieren von Portable Executables unter Windows NT/2000/XP/2003

Auf einem leicht infizierten Computer mit Windows NT/2000/XP/2003, auf dem keine wichtigen Dienste infiziert wurden, ist es möglich, dass SAV32CLI von einer Befehlseingabe mit dem -DI-Switch ausgeführt werden kann.

Sehen Sie zuerst in den Wiederherstellungshinweisen der Virenanalyse nach, ob Sie vor (und nach) der Desinfektion noch zusätzliche Maßnahmen ergreifen sollten. Sehen Sie außerdem nach, ob Sie eine IDE-Datei benötigen. Falls ja, laden Sie diese auf eine Diskette herunter.

Laden Sie eine Notfallkopie von SAV32CLI herunter. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und stellen Sie für die Diskette den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).

Schließen Sie nun alle Programme und Dienste und öffnen Sie eine Befehlszeile.

Unter Windows NT:

• Schließen Sie alle Programme.
• Wählen Sie "Start" > "Einstellungen" > "Systemsteuerung" und doppelklicken Sie auf "Dienste".
• Stoppen Sie mit der Stopp-Schaltfläche so viele Dienste wie möglich.
• Schließen Sie die Systemsteuerung.
• Drücken Sie gleichzeitig Strg., Alt und Entf.
• Klicken Sie auf den "Task-Manager" und wählen Sie dann die Registerkarte "Prozesse".
• Wählen Sie einen Prozess und klicken Sie auf "Prozess beenden". Der Prozess wird eventuell beendet.
• Wiederholen Sie diesen Vorgang für andere Prozesse (einschließlich Windows Desktop).
• Nachdem Sie alle möglichen Programme geschlossen haben, gehen Sie zu "Datei" > "Neuer Task (Ausführen)" und geben Sie "Cmd" ein.
• Schließen Sie das Fenster "Task-Manager".
• Legen Sie den schreibgeschützten Datenträger ein, über den Sie auf "SAV32CLI" zugreifen.

Windows 2000 und neuere Versionen

• Klicken Sie auf "Start" > "Beenden".
• Wählen Sie in der Drop-Down-Liste "Neustart" und klicken Sie auf "OK". Windows führt einen Neustart durch.
• Drücken Sie auf F8, wenn folgender Text unten auf dem Bildschirm angezeigt wird: "Problembehebung und erweiterte Windows-2000 Startoptionen: F8-Taste drücken".
• Wählen Sie unter den erweiterten Windows 2000-Startoptionen die dritte Option: "Abgesicherter Modus mit Eingabeaufforderung".
• Wenn Sie dazu aufgefordert werden, melden Sie sich als lokaler Administrator an.
• Wenn Windows 2000 (oder höher) im abgesicherten Modus gestartet wurde, legen Sie die schreibgeschützte Diskette ein, von der Sie SAV32CLI verwenden.

Geben Sie in der Eingabeaufforderung

E:

(E: ist dabei das Laufwerk ist, indem sich "SAV32CLI" befindet) ein.

Geben Sie anschließend Folgendes ein:

CD SAV32CLI

Geben Sie jetzt Folgendes ein:

SAV32CLI -DI -P=C:\VIRUSLOG.TXT

um alle festen Laufwerke zu desinfizieren.

Der obige Befehl startet SAV32CLI, das alle Verzeichnisse und Dateien einschließlich Unterverzeichnisse auf Ihrem PC überprüft. Infizierte Dateien werden bereinigt und ein Report darüber wird im Stammverzeichnis des C:-Laufwerks erstellt. SAV32CLI desinfiziert alle Dateien, die desinfiziert werden können.

Alle anderen Dateien müssen gelöscht werden. Einige davon wurden vom Virus abgelegt und müssen nicht wiederhergestellt werden. Andere sollten von Sicherungskopien abgerufen werden.

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Dieser Befehl schreibt einen Report in das Stammverzeichnis des C:-Laufwerks. Mithilfe dieses Reports kann überprüft werden, welche gelöschten Dateien aus Sicherungskopien wiederhergestellt werden sollten.

Wenn in Windows NT der Desinfektions- und Löschvorgang beendet sind, geben Sie Explorer ein, um den Windows Desktop neu zu starten.

Wenn in Windows 2000 (oder höher) der Desinfektions- und Löschvorgang beendet sind, starten Sie den Computer erneut in Windows.

Installieren Sie Sophos Anti-Virus oder installieren Sie Sophos Anti-Virus erneut und starten Sie eine Überprüfung aller Dateien, um sicherzustellen, dass der Virus nicht mehr vorhanden ist.

Systemwiederherstellung und Windows XP

Hinweis: Hiermit werden alle bereits eingestellten Wiederherstellungspunkte gelöscht.

• Infizierte Dateien können über die Systemwiederherstellung von Windows XP gefunden werden.
• Wählen Sie "Start" > "Systemsteuerung" > "Leistung und Wartung".
• Doppelklicken Sie auf "System" und wählen Sie die Registerkarte "Systemwiederherstellung".
• Wählen Sie "Systemwiederherstellung auf allen Laufwerken deaktivieren".
• Klicken Sie auf "Übernehmen".
• Klicken Sie auf "Ja".
• Deaktivieren Sie "Systemwiederherstellung auf allen Laufwerken deaktivieren".
• Klicken Sie auf "OK".
• Starten Sie den Computer neu.

Wenn der Virus nicht entfernt wurde, kontaktieren Sie den technischen Support von Sophos.

Infizierte Dateien werden möglicherweise nicht immer wieder in ihren Ausgangszustand zurückgesetzt. Es gibt keine Garantie, dass eine desinfizierte Datei korrekt funktioniert. Um Dateien wieder in ihren Ausgangszustand zu versetzen, sollten sie nach der Desinfektion von Sicherungskopien, neuen Medien oder einem virenfreien Computer abgerufen werden.

4. Desinfizieren von Portable Executables unter Windows 95/98

Desinfizieren Sie PE-Programme unter Windows 95/98/Me und in DOS über DOS SWEEP mit dem -DIPE-Switch.

Laden Sie DOS SWEEP herunter, extrahieren Sie die Dateien und kopieren Sie diese in ein C:\Sophtemp-Verzeichnis auf Ihrem Computer. Fügen Sie alle relevanten IDEs dem Ordner hinzu.

Sehen Sie zuerst in den Wiederherstellungshinweisen der Virenanalyse nach, ob Sie vor (und nach) der Desinfektion noch zusätzliche Maßnahmen ergreifen sollten.

Bevor Sie DOS SWEEP unter Windows 95/98 ausführen, ist es unbedingt notwendig, dass Sie sicherstellen, dass sich der Virus nicht im Speicher befindet. Zu diesem Zweck müssen Sie die Desinfektion in einer 16-Bit-Umgebung ausführen, um sicherzugehen, dass der 32-Bit-Virus vollständig lahm gelegt ist.

Windows 95/98

• Starten Sie die Computer im MS-DOS-Modus neu.
  Hinweis: Eine Befehlszeile (ein DOS-Fenster) reicht dafür nicht aus.
• Gehen Sie zum Start-Menü und wählen Sie "Beenden". Wählen Sie die Option "Computer im DOS-Modus starten". Sie erhalten eine sichere Desinfektionsumgebung, da der Virus nicht freigesetzt werden kann.

5. Desinfizieren oder Entfernen von Portable Executables auf anderen Plattformen

PE-Programme sind Windows 95/98/Me/NT/2000/XP-Programme. Auf anderen Plattformen sollten Sie in den meisten Fällen die infizierten Dateien löschen und durch Versionen von Sicherungskopien, neuen Medien oder virenfreien Computern ersetzen.

DOS

• Geben Sie an der DOS-Eingabeaufforderung Folgendes ein:
  SWEEP *: -DIPE
• Löschen Sie alle Dateien, die nicht desinfiziert werden konnten.
  SWEEP *: -REMOVEF
• Starten Sie eine Überprüfung, um festzustellen, ob alle infizierten Dateien desinfiziert oder gelöscht wurden.

NetWare

Kontaktieren Sie den technischen Support von Sophos.

3.3 Linux

• Verwenden Sie "savscan" mit dem Parameter -di
  savscan -di
• Löschen Sie alle übrigen infizierten Dateien mit dem Parameter -remove
  savscan -remove
• Starten Sie eine Überprüfung, um festzustellen, ob alle infizierten Dateien desinfiziert oder gelöscht wurden.

UNIX

• Verwenden Sie "SWEEP" mit dem Parameter -di
  sweep -di
• Löschen Sie alle übrigen infizierten Dateien mit dem Parameter -remove
  sweep -remove
• Starten Sie eine Überprüfung, um festzustellen, ob alle infizierten Dateien desinfiziert oder gelöscht wurden.

OS/2

• Geben Sie an der Eingabeaufforderung Folgendes ein:
  OSWEEP C: -DI
• Löschen Sie alle Dateien, die nicht desinfiziert werden konnten.
  OSWEEP C: -REMOVEF
• Starten Sie eine Überprüfung, um festzustellen, ob alle infizierten Dateien desinfiziert oder gelöscht wurden.

OpenVMS

• Desinfizieren Sie die infizierten Dateien indem Sie VSWEEP von DCL mithilfe des Befehlszeilenparameters /DI verwenden.
• Löschen Sie alle Dateien, die nicht desinfiziert werden konnten, indem Sie VSWEEP von DCL mithilfe des Befehlszeilenparameters /REMOVEF verwenden.
• Hinweis: Bei "/REMOVEF" wird nicht zur Bestätigung des Löschvorgangs aufgefordert.

Details zur den Befehlszeilenparametern und den zugehörigen Sample-Batch-Dateien, finden Sie im Handbuch Sophos Anti-Virus für OpenVMS.

Hinweis: Sollten die Probleme weiterhin bestehen, kontaktieren Sie den technischen Support von Sophos.