Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Hinweise zur Desinfektion von W32/Apology-B

Sophos Anti-Virus hat den Virus W32/Apology-B auf meinem Computer gefunden. Was soll ich tun?

Wenn die betroffene Datei ein E-Mail-Attachment ist, das Sie nicht starten müssen, löschen Sie die E-Mail. In der Virenanalyse ist eine Liste der Dateinamen enthalten, die der Virus verwendet.

Starten Sie eine Überprüfung mit Sophos Anti-Virus November 2000 (3.39) oder aktueller, um sicherzugehen, dass sich der Virus nicht verbreitet hat.

Wenn sich der Virus verbreitet hat, müssen Sie das Desinfektionstool SWAPOL anwenden.

SWAPOL

SWAPOL ist ein Dienstprogramm zur Desinfektion von Viren aus der Familie von W32/Apology.

Wenn Sie die CD mit Sophos Anti-Virus November 2000 (3.39) oder höher nicht zur Verfügung haben, laden Sie sich SWAPOL folgendermaßen herunter:

Die Methode zur Entfernung unter Windows 95/98/Me und Windows NT/Windows 2000 ist verschieden.

Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Entfernung von W32/Apology-B unter Windows 95/98/Me

Unter Anwendung der Self-Extractor-Dateien

Sie können unter Windows die Self-Extractor-Dateien verwenden, jedoch sollten Sie für eine maximale Sicherheit die Dateien in das Verzeichnis C:\SOPHTEMP im 16-Bit- (DOS-)Modus entpacken.
Doppelklicken Sie im Windows-Desktop auf "Arbeitsplatz". Doppelklicken Sie dann auf "C:". Sie sollten die Programme APOL.EXE und ESDZ.EXE im Ordner C:\ sehen.

Doppelklicken Sie auf APOL.EXE und doppelklicken Sie dann auf ESDZ.EXE, um sie in das Verzeichnis C:\SOPHTEMP zu entpacken.

Sie müssen den Computer nun im 16-Bit- (DOS)-Modus neustarten.

Am besten booten Sie Ihren Computer mit einer Bootdiskette, die Ihr CD-Laufwerk erkennt. Wenn Sie Windows Me verwenden, müssen Sie von einer Startdiskette oder von der System-CD booten.

Unter Windows 95/98, gehen Sie, wenn Sie keine Bootdiskette zur Verfügung haben, in das Windows 95/98 "Beenden"-Menü (über "Start" in der Taskleiste) und wählen "Im MS-DOS-Modus neu starten".

Hinweis: Sie müssen den Computer im MS-DOS-Modus neustarten. Es reicht nicht aus, lediglich ein Fenster mit einer MS-DOS-Eingabeaufforderung zu öffnen.
Der Computer startet mit einem Befehlseingabefenster neu.

Gehen Sie in das Verzeichnis C:\SOPHTEMP

CD\SOPHTEMP

Sie können nun SWAPOL von der Befehlseingabe aus anwenden.

Kopieren der Dateien von der CD

Starten Sie Ihren Computer im 16-Bit- (DOS)-Modus neu.

Am besten booten Sie Ihren Computer mit einer Bootdiskette, die Ihr CD-Laufwerk sehen kann.

Wenn Sie keine Bootdiskette zur Verfügung haben, gehen in das "Beenden"-Menü von Windows 95/98 (über "Start" in der Taskleiste" und wählen Sie die Option "Im MS-DOS-Modus neu starten".

Hinweis: Sie müssen den Computer im MS-DOS-Modus neustarten. Es reicht nicht aus, lediglich ein Fenster mit einer MS-DOS-Eingabeaufforderung zu öffnen.
Der Computer startet mit einem Befehlseingabefenster neu.

Überprüfen Sie, dass Ihr Computer auf sein CD-Laufwerk im 16-Bit-Modus zugreifen kann (bei einigen Versionen von Windows 95/98 ist dies nicht möglich). Wenn der Computer sein CD-Laufwerk nicht sehen kann, kehren Sie zu Windows zurück, erstellen Sie den Ordner und kopieren Sie die Dateien dorthin. Dies ist zwar etwas unsicherer, aber funktioniert ebenso.

Erstellen Sie in der Befehlseingabe ein Arbeitsverzeichnis:

C:
MD C:\SOPHTEMP
CD C:\SOPHTEMP
und kopieren Sie SWEEP.EXE, VDL.DAT und DOS4GW.EXE aus dem Verzeichnis \DOS und SWAPOL.EXE aus dem Verzeichnis \TOOLS\SWAPOL in das Verzeichnis C:\SOPHTEMP:
COPY D:\DOS\SWEEP.EXE
COPY D:\DOS\DOS4GW.EXE
COPY D:\DOS\VDL.DAT
COPY D:\TOOLS\SWAPOL\SWAPOL.EXE
wobei D: Ihr CD-Laufwerk ist. Sie können nun SWAPOL von der Befehlseingabe aus anwenden.

Anwendung von SWAPOL von der Befehlseingabe aus

Starten Sie von der Befehlseingabe aus SWEEP.EXE, um eine Berichtdatei für SWAPOL zu erstellen.

Verwenden Sie den Befehl

SWEEP *: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTED.REP

SWEEP.EXE schreibt seinen Bericht in die Datei INFECTED.REP im Verzeichnis C:\SOPHTEMP.

Anwendung der Berichtdatei

Übergeben Sie die Berichtdatei an SWAPOL mit dem Befehl:

SWAPOL -RF=C:\SOPHTEMP\INFECTED.REP

SWAPOL benötigt eine Bestätigung, um jede infizierte Datei zu desinfizieren.

Wenn Sie "Y" für "Yes" drücken, versucht SWAPOL zu desinfizieren. Sie sollten folgendes sehen:

File was disinfected

Das Programm ist nun gesäubert und der Virus positiv überschrieben.

Wenn Sie SWAPOL beendet haben, starten Sie erneut SWEEP.EXE von der Befehlseingabe aus, um alle Dateien zu finden, die nicht desinfiziert werden konnten.

SWEEP *: -ALL

Wenn weiterhin infizierte Dateien übrig sind, löschen Sie diese und ersetzen Sie sie mit virenfreien Versionen von den originalen Datenträgern oder einem virenfreien PC.

Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Entfernung von W32/Apology-B unter Windows NT/Windows 2000

W32/Apology-B ist unter Windows NT/Windows 2000 kein schneller Infektor, obwohl infizierte Client-Dateien und die Backdoor-Komponente MTX_.EXE vorhanden sein können.

Um MTX_.EXE zu entfernen, beenden Sie es zunächst: Drücken Sie gleichzeitig Strg, Alt und Entf, klicken Sie auf "Task-Manager", wählen Sie die Registerkarte "Prozesse", markieren Sie MTX_ und klicken Sie auf "Prozess beenden". Damit wird MTX_.EXE entsperrt. Schließen Sie den Task-Manager.
Löschen Sie MTX_.EXE.

Infizierte Windows 95/98/Me-Clients sollten im 16-Bit-Modus mit Hilfe der oben genannten Hinweise desinfiziert werden. Während Ihre Windows 95/98/Me-Computer nicht am Server angemeldet sind und die infizierten Dateien auf Ihrem Windows NT/Windows 2000-Server nicht gesperrt sind, starten Sie SWAPOL auf Ihrem Server.

Start von SWAPOL unter Windows NT/Windows 2000

SWAPOL kann unter Windows NT/Windows 2000 in einer Befehlseingabe gestartet werden.

Da SWEEP nicht auf mehreren Festplatten gleichzeitig laufen kann, muss jedes Laufwerk einzeln überprüft werden.

Starten Sie von einer Befehlseingabe aus SWEEP.EXE, um eine Berichtdatei für SWAPOL zu erstellen.

Sofern C: Ihre Festplatte ist, verwenden Sie folgenden Befehl:

SWEEP C: -ALL -F -LANG=ENG -P=C:\SOPHTEMP\INFECTC.REP

SWEEP.EXE schreibt seinen Bericht in die Datei INFECTC.REP im Verzeichnis INFECTC.REP.

Verwenden Sie für Laufwerk D: dieselbe Befehlszeile und ersetzen Sie C: mit D: und INFECTC mit INFECTD. Der Bericht wird in die Datei INFECTD.REP geschrieben.

Anwendung der Berichtdatei

Übergeben Sie die Berichtdatei an SWAPOL mit dem Befehl:

SWAPOL -RF=C:\SOPHTEMP\INFECTC.REP

SWAPOL fragt nach einer Bestätigung, um alle infizierten Dateien desinfizieren zu können.

Wenn Sie "Y" für "Yes" drücken, versucht SWAPOL die Desinfektion. Sie sollten folgendes sehen:

File was disinfected

Dieses Programm ist nun virenfrei, der Virus wurde positiv überschrieben.

Wiederholen Sie diesen Vorgang für die Datei INFECTD.REP und die entsprechende Datei für andere Festplatten.

Wenn Sie SWAPOL beendet haben, starten Sie SWEEP.EXE für jedes Laufwerk von einer Befehlseingabe aus erneut, um alle Dateien zu finden, die nicht desinfiziert werden konnten.

SWEEP C: -ALL

Wenn infizierte Dateien weiterhin vorhanden sind, löschen Sie diese und ersetzen Sie sie mit virenfreien Versionen von den Originaldatenträgern oder von einem virenfreien PC.

Weitere Informationen

Weitere Informationen über den Desinfektionsvorgang finden Sie in der Datei READSWAP.TXT.