Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Ressourcen

Desinfektion von PE-Viren (Portable Executable)

Hinweis: Die Anweisungen sind nicht für alle PE-Viren relevant.

Allgemeine Informationen finden Sie hier:

In der Virenanalyse des jeweiligen Virus finden Sie Details zur weiteren Vorgehensweise. Wenn eine neue IDE-Datei erforderlich ist, laden Sie sie auf Diskette/CD herunter.

  1. Mit Enterprise Console, Enterprise Manager oder Sophos Control Center
  2. Desinfektion von PE-Viren mit Sophos Anti-Virus für Windows, Version 7 und 9
  3. Desinfektion von PE-Viren in Windows NT/2000/XP/2003
  4. Desinfektion von PE-Viren in Windows 95/98
  5. Desinfektion oder Entfernung von PE-Viren auf anderen Plattformen

1. Mit Enterprise Console, Enterprise Manager oder Sophos Control Center

Mit Enterprise Console/Enterprise Manager oder Sophos Control Center können Sie PE-Viren aus dem Netzwerk entfernen.

2. Desinfektion von PE-Viren mit Sophos Anti-Virus für Windows, Version 7 und 9

Verfahren Sie auf dem betroffenen Computer wie folgt:

  • Schließen Sie alle Programme.
  • Klicken Sie auf "Start" > "Programme" > "Sophos" > "Sophos Anti-Virus" und wählen Sie das Programm "Sophos Anti-Virus".
  • Wählen Sie aus der Liste "Verfügbare Scans", den Scan aus, für den die Entfernung aktiviert werden soll oder wählen Sie die Option "Neuen Scan einrichten". (Geplante Scans können nicht manuell ausgeführt werden und sollten daher nicht ausgewählt werden.)
  • Klicken Sie auf "Bearbeiten" > "Scan konfigurieren".
  • Wählen Sie auf der Registerkarte "Bereinigung" die Option "Infizierte Objekte automatisch bereinigen". Klicken Sie auf "Übernehmen" > "OK".
  • Klicken Sie auf "Speichern/Start", um den Scan zu speichern und sofort auszuführen.
  • Klicken Sie nach Abschluss des Scans auf den Link "Objekte in Quarantäne verschoben:" und öffnen Sie den Quarantäne-Manager.
  • Wählen Sie sämtliche Objekte aus, die desinfiziert werden müssen.
    • Wählen Sie aus dem Dropdown-Menü "Maßnahme durchführen" die Option "Bereinigen" aus.
    • Wählen Sie "Ja" oder "Ja, alle" aus.
  • Gegebenenfalls verbleibende Objekte sollten gelöscht werden.
    • Wählen Sie aus dem Dropdown-Menü "Maßnahme durchführen" die Option "Löschen" aus.
    • Wählen Sie "Ja" oder "Ja, alle" aus.
  • Führen Sie einen weiteren Scan aus, um sicherzustellen, dass der Virus desinfiziert wurde.
  • Klicken Sie auf "Bearbeiten" > "Scan konfigurieren".
  • Deaktivieren Sie auf der Registerkarte "Bereinigung" die Option "Infizierte Objekte automatisch bereinigen". Klicken Sie auf "Übernehmen" > "OK".

Notieren Sie sich die Namen von Dateien, die ggf. vom Betriebssystem genutzt und daher von Sophos Anti-Virus nicht desinfiziert werden können, und verfahren Sie wie folgt:

  1. Laden Sie eine Notfallkopie von SAV32CLI herunter. Führen Sie Datei auf einem virenfreien Windows-Computer aus, extrahieren Sie den Inhalt in einen Ordner "SAV32CLI" auf einem Medium, das schreibgeschützt werden kann. Kopieren Sie den Ordner "SAV32CLI" auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs in den Ordner und weisen Sie dem Medium Schreibschutz zu (schließen Sie bei CD/Rs oder CD/RWs die Sitzung).
  2. Starten Sie den Computer im abgesicherten Modus mit Befehlszeile neu.
  3. Legen Sie die erstellte CD in das CD-Laufwerk des betroffenen Computers ein (hier D:). Geben Sie an der Eingabeaufforderung Folgendes ein:

    D:

    , um auf das CD-Laufwerk zuzugreifen. Geben Sie Folgendes ein:

    CD SAV32CLI

    Geben Sie anschließend Folgendes ein:

    SAV32CLI -DI -P=C:\LOGFILE.TXT

    , um den Virus zu desinfizieren.

    Alle weiteren Dateien müssen gelöscht werden. Manche Dateien wurden vom Virus entfernt und müssen wiederhergestellt werden. Andere sollte über Sicherungskopieen wiederhergestellt werden.

    SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

    Über den Befehl wird ein Bericht in das Stammverzeichnis von Laufwerk C: geschrieben. Mit dem Bericht können Sie prüfen, welche Dateien gelöscht wurden und wiederhergestellt werden sollten.

    Führen Sie unter Windows 2000/XP/2003/Vista nach dem Bereinigen bzw. Löschen einen Neustart des Computers durch.

    Installieren Sie Sophos Anti-Virus bzw. installieren Sie es neu und führen Sie anschließend einen Scan aller Dateien durch, um sicherzustellen, dass der Virus entfernt wurde.

  4. Verlassen Sie den abgesicherten Modus erst nach dem Überprüfen aller Registrierungseinträge, die in den Anweisungen zur Wiederherstellung in der Virenanalyse genannt werden. Wenn das Problem weiterhin auftritt, wenden Sie sich an den Support.

3. Desinfektion von PE-Viren in Windows NT/2000/XP/2003

Auf einem Computer mit NT/2000/XP/2003 mit geringem Befall (keine wichtigen Dienste sind infiziert) kann unter Umständen "SAV32CLI" von der Befehlszeile mit -DI-Switch-Befehl ausgeführt werden.

Überprüfen Sie zunächst die Wiederherstellungsanweisungen der Virenanalyse auf weitere, vor und nach der Desinfektion erforderliche Schritte. Prüfen Sie weiterhin, ob eine IDE-Datei erforderlich ist. Wenn ja, laden Sie sie herunter und speichern Sie sie auf Diskette.

Laden Sie eine Notfallkopie von SAV32CLI herunter. Führen Sie Datei auf einem virenfreien Windows-Computer aus, extrahieren Sie den Inhalt in einen Ordner "SAV32CLI" auf einem Medium, das schreibgeschützt werden kann. Kopieren Sie den Ordner "SAV32CLI" auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs in den Ordner und weisen Sie dem Medium Schreibschutz zu (schließen Sie bei CD/Rs oder CD/RWs die Sitzung).

Schließen Sie sämtliche Anwendungen und Dienste und öffnen Sie eine Befehlszeile.

Windows NT

  • Schließen Sie alle Programme.
  • Klicken Sie auf "Start" > "Einstellungen" > "Systemsteuerung" und doppelklicken Sie auf "Dienste".
  • Beenden Sie über die "Stopp"-Schaltfläche so viele Dienste wie möglich.
  • Verlassen Sie die Systemsteuerung.
  • Drücken Sie gleichzeitig die Tasten Strg, Alt und Entf.
  • Klicken Sie auf "Task-Manager" und wählen Sie die Registerkarte "Prozesse".
  • Wählen Sie einen Prozess und klicken Sie auf "Prozess beenden". Er wird eventuell nicht beendet.
  • Wiederholen Sie diesen Vorgang für die anderen Prozesse (einschl. Windows-Desktop).
  • Wechseln Sie nach dem Schließen aller Programme zu "Datei" > "Neuer Task (ausführen)" und geben Sie "Cmd" ein.
  • Schließen den Task-Manager.
  • Legen Sie das schreibgeschützte Medium ein, über das Sie "SAV32CLI" ausführen möchten.

Windows 2000 und höher

  • Klicken Sie auf "Start" > "Herunterfahren".
  • Wählen Sie "Neu starten" aus der Liste aus und klicken Sie auf "OK". Windows wird neu gestartet.
  • Drücken Sie auf "F8", wenn im unteren Bildschirmbereich "Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drücken" angezeigt wird.
  • Wählen Sie im Menü mit den erweiterten Optionen von Windows 2000 die dritte Option "Abgesicherter Modus mit Eingabeaufforderung" aus.
  • Melden Sie sich bei entsprechender Aufforderung als lokaler Administrator an.
  • Wenn Windows 2000 (oder höher) im abgesicherten Modus gestartet wurde, legen Sie das schreibgeschützte Medium ein, über das Sie "SAV32CLI" ausführen möchten.

Geben Sie an der Eingabeaufforderung Folgendes ein:

E:

Dabei ist E: das Laufwerk mit dem SAV32CLI-Medium.

Geben Sie Folgendes ein:

CD SAV32CLI

Geben Sie jetzt Folgendes ein:

SAV32CLI -DI -P=C:\VIRUSLOG.TXT

, damit alle festen Laufwerke desinfiziert werden.

Über obigen Befehl wird "SAV32CLI" ausgeführt. Alle Verzeichnisse und Dateien auf dem Computer (einschließlich Unterverzeichnisse) werden gescannt. Infizierte Dateien werden bereinigt und in einem Bericht im Stammverzeichnis von Laufwerk C: protokolliert. SAV32CLI desinfiziert alle Dateien, die desinfiziert werden können.

Alle weiteren Dateien müssen gelöscht werden. Manche Dateien wurden vom Virus entfernt und müssen wiederhergestellt werden. Andere sollte über Sicherungskopieen wiederhergestellt werden.

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Über den Befehl wird ein Bericht in das Stammverzeichnis von Laufwerk C: geschrieben. Mit dem Bericht können Sie prüfen, welche Dateien gelöscht wurden und wiederhergestellt werden sollten.

Wenn die Desinfektion und der Löschvorgang unter Windows NT abgeschlossen sind, geben Sie "Explorer" ein, um zum Desktop zurückzukehren.

Führen Sie unter Windows 2000 und höher nach dem Bereinigen bzw. Löschen einen Neustart des Computers durch.

Installieren Sie Sophos Anti-Virus bzw. installieren Sie es neu und führen Sie anschließend einen Scan aller Dateien durch, um sicherzustellen, dass der Virus entfernt wurde.

Systemwiederherstellung und Windows XP

Hinweis: Alle bisher erstellten Wiederherstellungspunkte werden gelöscht.

  • Unter Umständen sind Dateien im Systemwiederherstellungsbereich in Windows XP infiziert.
  • Klicken Sie auf "Start" > "Systemsteuerung" > "Leistung und Wartung".
  • Doppelklicken Sie auf "System" und wählen Sie die Registerkarte "Systemwiederherstellung" aus.
  • Aktivieren Sie das Kontrollkästchen "Systemwiederherstellung auf allen Laufwerken deaktivieren".
  • Klicken Sie auf "Übernehmen".
  • Klicken Sie auf "Ja".
  • Deaktivieren Sie jetzt die Option "Systemwiederherstellung auf allen Laufwerken deaktivieren".
  • Klicken Sie auf "OK".
  • Starten Sie den Computer neu.

Wenn der Virus nicht entfernt wurde, wenden Sie sich an den technischen Support von Sophos.

Unter Umständen kann der Originalzustand von infizierten Dateien nicht wiederhergestellt werden. Es kann nicht garantiert werden, dass infizierte Dateien ordnungsgemäß funktionieren. Dateien sollten über Sicherungskopien, neue Medien oder virenfreie Computer wiederhergestellt werden, um den Originalzustand zu gewähren.

[TOP]

4. Desinfektion von PE-Viren in Windows 95/98

In Windows 95/98 und DOS können PE-Dateien mit "DOS SWEEP" mit dem "-DIPE"-Switch-Befehl desinfiziert werden.

Laden Sie DOS SWEEP herunter, entpacken Sie die Dateien und kopieren Sie sie in das Verzeichnis "C:\Sophtemp". Fügen Sie alle relevanten IDEs in den Ordner.

Überprüfen Sie zunächst die Wiederherstellungsanweisungen der Virenanalyse auf weitere, vor und nach der Desinfektion erforderliche Schritte.

Stellen Sie vor dem Ausführen von "DOS SWEEP" unter Windows 95/98 sicher, dass sich der Virus nicht im Speicher befindet. Die Desinfektion muss in einer 16-Bit-Umgebung erfolgen, um sicherzustellen, dass der 32-Bit-Virus vollständig lahmgelegt wird.

  • Starten Sie den Computer im MS-DOS-Modus neu.
    Hinweis: Es reicht nicht aus, eine Befehlszeile (ein DOS-Fenster) zu öffnen.
  • Klicken Sie auf "Start" > "Herunterfahren". Wählen Sie die Option "Computer im DOS-Modus neu starten" aus. Der Virus wird dadurch in einer sicheren Desinfektionsumgebung deaktiviert.

5. Desinfektion oder Entfernung von PE-Viren auf anderen Plattformen

Bei PE-Dateien handelt es sich um Programme für Windows 95/98/NT/2000/XP. Auf anderen Plattformen sollten infizierte Dateien in der Regel gelöscht und über Sicherheitskopien, neue Medien oder einen virenfreien Computer wiederhergestellt werden.

DOS

  • Geben Sie in der DOS-Eingabeaufforderung Folgendes ein:
    SWEEP *: -DIPE
  • Löschen Sie die Dateien, die sich nicht desinfizieren lassen.
    SWEEP *: -REMOVEF
  • Führen Sie einen Scan aus, um sicherzustellen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

NetWare

Wenden Sie sich an den technischen Support von Sophos.

Linux

  • Verwenden Sie savscan mit der -di-Option
    savscan -di.
  • Löschen Sie ggf. verbleibende infizierte Dateien über die Option "-remove"
    savscan -remove.
  • Führen Sie einen Scan aus, um sicherzustellen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

UNIX

  • Verwenden Sie "SWEEP" mit der -di-Option
    sweep -di.
  • Löschen Sie ggf. verbleibende infizierte Dateien über die -remove-Option
    sweep -remove.
  • Führen Sie einen Scan aus, um sicherzustellen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

OS/2

  • Geben Sie an der Eingabeaufforderung Folgendes ein:
    OSWEEP C: -DI
  • Löschen Sie die Dateien, die sich nicht desinfizieren lassen.
    OSWEEP C: -REMOVEF
  • Führen Sie einen Scan aus, um sicherzustellen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

OpenVMS

  • Löschen Sie die Malware-Dateien durch Ausführen von "VSWEEP" von DCL mit dem Befehlszeilenparameter "/DI".
  • Löschen Sie Dateien, die ggf. nicht desinfiziert wurden, durch Ausführen von "VSWEEP" von DCL mit dem Befehlszeilenparameter "/REMOVEF".
  • Hinweis: Bei "/REMOVEF" wird nicht zur Bestätigung des Löschvorgangs aufgefordert.

Details zu den Befehlszeilenparametern und Beispiel-Batchdateien, die sie verwenden, finden Sie in der Benutzeranleitung zu Sophos Anti-Virus für OpenVMS (englisch).

Hinweis: Sollte das Problem weiterhin auftreten, wenden Sie sich an unseren technischen Support.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.