In diesem Abschnitt

• Home
• Support

Online-Support

• Startseite Support
• Knowledgebase
• Virendesinfektion

Produktpflege

• Downloads und Updates
• Upgrade-Center
• Dokumentation
• Software-Lebenszyklus

Kontakt

• Gespräch mit Experten
• Sample einsenden
• E-Mail senden

Support-Services

• Übersicht
• Technischer Support
• Professional Services
• Technische Schulungen

Ressourcen

• Endpoint
• Verschlüsselung
• E-Mail
• Web
• Small Business Solutions

• 
• 

Desinfektion von PE-Dateien

Achtung: Diese Hinweise sind nicht auf alle Programmdateiviren anwendbar. Lesen Sie bitte die Analyse jedes einzelnen Virus für genaue Informationen zu seiner Desinfektion. Sollte eine Virenkennungsdatei (IDE) erforderlich sein, laden Sie diese herunter und speichern Sie sie auf Diskette.

1. Desinfektion von PE-Dateien auf Windows NT/2000/XP
2. Desinfektion von PE-Dateien auf Windows 95/98/Me
3. Desinfektion oder Entfernung von PE-Dateien auf anderen Plattformen

1. Desinfektion von PE-Dateien auf Windows NT/2000/XP

Auf einem leicht infizierten Computer unter Windows NT/2000/XP, auf dem keine wichtigen Dienste infiziert wurden, kann SAV32CLI von einer Befehlseingabeaufforderung mit dem Parameter -DI gestartet werden.

Lesen Sie zuerst die Hinweise zur Wiederherstellung in der Virenanalyse, um herauszufinden, ob zusätzliche Maßnahmen vor (oder nach) der Desinfektion erforderlich sind. Lesen Sie außerdem nach, ob Sie eine IDE-Datei benötigen. Wenn dies der Fall ist, laden Sie die entsprechende IDE herunter und speichern Sie sie auf Diskette.

Im Ordner WIN32\I386\SAV32CLI auf der Sophos-CD finden Sie eine Kopie von SAV32CLI. Wenn Sie keine zusätzlichen IDE-Dateien benötigen, können Sie SAV32CLI direkt von diesem Verzeichnis aus starten. Wenn Sie zusätzliche IDE-Dateien benötigen, gehen Sie folgendermaßen vor: Kopieren Sie auf einem nicht infizierten Computer diesen Ordner auf ein Speichermedium, auf dem ein Schreibschutz möglich ist. Fügen Sie sämtliche relevante IDEs zu diesem Ordner hinzu und aktivieren Sie den Schreibschutz des Datenträgers (bzw. schließen Sie auf einem CD/R oder CD/RW die Sitzung).

Sie können auch eine Notfallkopie von SAV32CLI herunterladen. Starten Sie auf einem nicht infizierten Windows-Computer diese Datei, um den Inhalt in den SAV32CLI-Ordner auf einem Speichermedium zu entpacken, das über einen Schreibschutz verfügt. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und aktivieren Sie den Schreibschutz des Datenträgers (bzw. schließen Sie auf einem CD/R oder CD/RW die Sitzung).

Schließen Sie nun alle eventuell aktiven Programme und Dienste und öffnen Sie eine Befehlseingabeaufforderung.

Auf Windows NT

• Schließen Sie alle Programme.
• Wählen Sie Start|Einstellungen|Systemsteuerung und doppelklicken Sie auf Dienste.
• Beenden Sie soviele Dienste wie möglich über die Schaltfläche "Beenden".
• Klicken Sie auf "Schließen" und schließen Sie ebenfalls die Systemsteuerung.
• Drücken Sie gleichzeitig Strg, Alt und Entf.
• Klicken Sie auf "Task-Manager" und wählen Sie die Registerkarte "Prozesse".
• Wählen Sie einen Prozess und klicken Sie auf "Prozess beenden". Der Prozess wird beendet, unter Umständen aber auch nicht.
• Wiederholen Sie dies für weitere Prozesse (einschließlich dem Windows Desktop).
• Wenn Sie alle eventuell aktiven Programme geschlossen haben, gehen Sie auf Datei|Neuer Task und geben Sie "Cmd" ein.
• Schließen Sie den Task-Manager.
• Legen Sie die schreibgeschützte Diskette ein, von der Sie SAV32CLI verwenden.

Auf Windows 2000

• Wählen Sie Start|Beenden.
• Wählen Sie aus der Drop-Down-Liste "Neu starten" und klicken Sie auf "OK". Windows startet neu.
• Drücken Sie F8, wenn Sie am unteren Bildschirmrand den folgenden Text sehen: "Problembehebung und erweiterte Windows-Startoptionen: F8-Taste drücken"
• Wählen Sie aus dem Windows 2000-Menü der Erweiterten Windows-Startoptionen die erste Option "Abgesicherter Modus".
• Melden Sie sich, wenn nötig, als lokaler Administrator an.
• Wenn Windows 2000 im Abgesicherten Modus gestartet ist, gehen Sie auf Start|Einstellungen|Systemsteuerung|Verwaltung und doppelklicken Sie auf "Dienste".
• Beenden Sie mit Hilfe der Stop-Schaltfläche soviele Dienste wie möglich.
• Schließen Sie alle Fenster.
• Legen Sie die schreibgeschützte Diskette ein, von der aus Sie SAV32CLI verwenden.
• Gehen Sie auf Start|Ausführen und geben Sie "Cmd" ein.

Auf Windows XP

• Gehen Sie auf Start|Herunterfahren.
• Wählen Sie aus der Drop-Down-Liste "Neu starten" und klicken Sie auf "OK". Windows startet neu.
• Drücken Sie beim Booten des Computers wiederholt die F8-Taste, um in das Menü "Erweiterte Windows-Startoptionen" zu gelangen.
• Wählen Sie in diesem Menü "Abgesicherter Modus" und wählen Sie dann "Windows XP".
• Melden Sie sich, wenn nötig, als lokaler Administrator an.
• Wenn Windows XP im Abgesicherten Modus gestartet ist, gehen Sie auf Start|Systemsteuerung|Verwaltung und doppelklicken Sie auf "Dienste".
• Beenden Sie soviele Dienste wie möglich mit Hilfe der Stop-Schaltfläche.
• Schließen Sie alle Fenster.
• Legen Sie die schreibgeschützte Diskette ein, von der aus Sie SAV32CLI verwenden.
• Gehen Sie auf Start|Ausführen und geben Sie folgendes ein: "Cmd".

Geben Sie an einer Befehlseingabeaufforderung folgendes ein:

E:

wobei E: das Laufwerk ist, in das Sie die Diskette mit SAV32CLI eingelegt haben.

Wenn Sie die Sophos-CD verwenden, geben Sie folgendes ein:

CD WIN32\I386\SAV32CLI

Geben Sie sonst folgendes ein:

CD SAV32CLI

Geben Sie nun ein:

SAV32CLI -DI -P=C:\VIRUSLOG.TXT

Hierdurch werden alle festen Laufwerke desinfiziert.

Durch diesen Befehl wird SAV32CLI gestartet, wobei alle Verzeichnisse und Unterverzeichnisse auf Ihrem PC überprüft werden. Mit dem Virus infizierte Dateien werden gesäubert und ein Bericht über sie im Rootverzeichnis von Laufwerk C: erstellt. SAV32CLI desinfiziert alle desinfizierbaren Dateien.

Alle anderen Dateien müssen gelöscht werden. Einige dieser Dateien wurden von dem Virus abgelegt und müssen nicht wiederhergestellt werden, andere sollten mit Sicherungskopien wiederhergestellt werden.

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Durch diesen Befehl wird ein Bericht in das Rootverzeichnis von Laufwerk C: geschrieben. Mit diesem Befehl kann auch überprüft werden, welche gelöschten Dateien mit Sicherungskopien wiederhergestellt werden müssen.

Unter Windows NT, wenn die Desinfektion und das Löschen beendet sind, geben Sie "Explorer" ein, um den Windows-Desktop neu zu starten.

Unter Windows 2000/XP, wenn die Desinfektion und das Löschen beendet sind, geben Sie "Exit" ein, um die Befehlseingabeaufforderung zu verlassen. Starten Sie den Computer in Windows neu.

Installieren Sie Sophos Anti-Virus oder installieren Sie es erneut, starten Sie dann eine Überprüfung mit der Option "Alle Dateien", um sicherzustellen, dass der Virus entfernt wurde.

Systemwiederherstellung und Windows XP

Hinweis: Hierdurch werden alle zuvor erstellten Wiederherstellungsoptionen gelöscht.

• Infizierte Dateien können unter Windows XP im Bereich "Systemwiederherstellung" gefunden werden.
• Gehen Sie auf Start|Systemsteuerung|Leistung und Wartung.
• Doppelklicken Sie auf "System" und wählen Sie die Registerkarte "Systemwiederherstellung".
• Setzen Sie ein Häkchen für die Option "Systemwiederherstellung auf allen Laufwerken deaktivieren".
• Klicken Sie auf "Übernehmen"
• Klicken Sie auf "Ja".
• Klicken Sie nun erneut auf "Systemwiederherstellung auf allen Laufwerken deaktivieren", um das Häkchen zu entfernen.
• Klicken Sie auf "OK".
• Starten Sie den Computer neu.

Sollte der Virus nicht entfernt worden sein, wenden Sie sich bitte an den technischen Support von Sophos.

Infizierte Dateien können nicht immer in ihren Originalzustand zurückverwandelt werden. Bei einer desinfizierten Datei kann eine korrekte Funktionsweise nicht garantiert werden. Zur Wiederherstellung von Dateien sollten sie einzeln von Sicherungskopien, neuen Datenträgern oder einem virenfreien Computer wiederhergestellt werden.

2. Desinfektion von PE-Dateien auf Windows 95/98/Me

Für die Desinfektion von PE-Dateien unter Windows 95/98/Me und DOS verwenden Sie DOS SWEEP mit dem Parameter -DIPE.

Im Ordner Tools\ESD auf der Sophos-CD finden Sie eine Basisversion von DOS SWEEP. Sie können DOS SWEEP auch von der Download-Webseite als Notfalldiskette für SAV (DOS) im Bereich Downloads herunterladen. Kopieren Sie die Dateien in das Verzeichnis C:\Sophtemp auf Ihrem Computer. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu.

Lesen Sie zunächst die Hinweise zur Wiederherstellung in der Virenanalyse nach, ob vor (und nach) der Desinfektion zusätzliche Maßnahmen erforderlich sind.

Bevor Sie DOS SWEEP unter Windows 95/98/Me starten, sollten Sie sicherstellen, dass der Virus nicht im Speicher resident ist. Dazu müssen Sie in einer 16-Bit-Umgebung desinfizieren, um zu gewährleisten, dass der 32-Bit-Virus vollständig entfernt wurde.

Unter Windows 95/98

• Starten Sie Ihren Computer im MS-DOS-Modus.
  Hinweis: Es ist nicht ausreichend, lediglich eine Befehlseingabe (ein DOS-Fenster) zu öffnen.
• Gehen Sie in das Startmenü und wählen Sie "Beenden". Wählen Sie die Option "Den Computer im MS-DOS-Modus neu starten". Damit wird der Virus deaktiviert und eine sichere Umgebung für die Desinfektion erzeugt.

Unter Windows Me

• Bei dieser Version von Windows können Sie nicht direkt in den MS-DOS-Modus wechseln. Sie müssen eine Startdiskette erstellen und von dieser Diskette booten.
• Gehen Sie auf Start|Einstellungen|Systemsteuerung. Klicken Sie auf "Software", wählen Sie die Registerkarte "Startdiskette" und klicken Sie auf die Schaltfläche "Diskette erstellen".
• Wenn Sie die Startdiskette erstellt haben, stellen Sie sie auf "schreibgeschützt" und booten Sie von dieser Diskette. Damit wird der Virus deaktiviert und ein sichere Umgebung für die Desinfektion erzeugt.

Gehen Sie in das Verzeichnis Sophtemp und starten Sie DOS SWEEP.

C:
CD \
CD SOPHTEMP
SWEEP C: -PB -DIPE -P=VIRLOGC.TXT

Mit diesem Befehl wird SWEEP gestartet und SWEEP überprüft nun alle Verzeichnisse auf Ihrem Computer, einschließlich aller Unterverzeichnisse. Mit dem Virus infizierte Dateien werden desinfiziert.

Wiederholen Sie diesen Vorgang für die anderen Laufwerke (z. B. SWEEP D: -PB -DIPE -P=VIRLOGD.TXT.)

Alle anderen Dateien müssen gelöscht werden. Einige dieser Dateien wurden von dem Virus abgelegt und müssen nicht wiederhergestellt werden. Andere müssen mit Sicherungskopien wiederhergestellt werden.

SWEEP C: -PB -REMOVEF -P=REMVLOGC.TXT

Wiederholen Sie diesen Vorgang für die anderen Laufwerke (z. B. SWEEP D: -PB -REMOVEF -P=REMVLOGD.TXT).

Identifizieren Sie mit Hilfe der Protokolldateien, welche der gelöschten Dateien von einer virenfreien Sicherungskopie oder von dem originalen Datenträger wiederhergestellt werden müssen.

Nach der Desinfektion müssen Sie den Computer in Windows neu starten. Installieren Sie, wenn nötig, Sophos Anti-Virus erneut, um den Computer in Windows überprüfen. Dies ist erforderlich, um sicherzustellen, dass alle Verzeichnisse, die unter DOS nicht erkannt wurden, (deren Namen ungültige Zeichen, wie z. B. "!" und "?", enthalten) überprüft werden.

• Starten Sie eine Überprüfung mit der Option "Alle Dateien".
• Starten Sie Sophos Anti-Virus.
• Klicken Sie mit der rechten Maustaste auf das Symbol für Ihre Festplatte und wählen Sie "Alle Dateien" aus dem Menü.
• Vergewissern Sie sich, dass "Unterverzeichnisse" ebenfalls ausgewählt sind. Starten Sie die Überprüfung.
• Nachdem die Überprüfung abgeschlossen ist, klicken Sie mit der rechten Maustaste erneut auf das Laufwerk und wählen Sie "Programme".

Systemwiederherstellung unter Windows Me

Hinweis: Hierdurch werden alle zuvor erstellten Wiederherstellungsoptionen gelöscht.

• Gehen Sie auf Start|Einstellungen|Systemsteuerung.
• Doppelklicken Sie auf "System" und wählen Sie die Registerkarte "Leistungsmerkmale".
• Klicken Sie auf "Dateisystem" und wählen Sie die Registerkarte "Problembehandlung".
• Klicken Sie auf die Option "Systemwiederherstellung deaktivieren", klicken Sie auf "Übernehmen", deaktivieren Sie die Option "Systemwiederherstellung deaktivieren" und klicken Sie auf "OK".
• Starten Sie den Computer neu.

Sollte der Virus nicht entfernt worden sein, wenden Sie sich bitte an den technischen Support von Sophos.

Infizierte Dateien können nicht immer so wiederhergestellt werden, dass Sie den Originalzustand erhalten. Bei einer desinfizierten Datei kann nicht garantiert werden, dass sie problemlos funktioniert. Um Dateien wieder in ihren Originalzustand zu bringen, sollten diese von Backups, originalen Datenträgern oder einem virenfreien Computer wiederhergestellt werden.

3. Desinfektion oder Entfernung von PE-Dateien auf anderen Plattformen

PE-Dateien sind Windows 95/98/Me/NT/2000/XP-Programme. Auf anderen Plattformen sollten Sie in den meisten aller Fälle die infizierten Dateien löschen und mit Backups, von neuen Datenträgern oder von einem virenfreien Computer ersetzen.

3.1. Desinfektion von PE-Dateien unter DOS

• Geben Sie in eine DOS-Befehlseingabe folgendes ein:
  SWEEP *: -DIPE
• Löschen Sie alle Dateien, die nicht desinfiziert werden können.
  SWEEP *: -REMOVEF
• Starten Sie eine Überprüfung, um sicherzugehen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

3.2. Entfernung von infizierten PE-Dateien unter NetWare

Wenden Sie sich bitte an den technischen Support von Sophos.

3.3. Desinfektion von PE-Dateien unter Unix

Desinfektion infizierter Dateien:

• Verwenden Sie SWEEP mit der Option -di:
  sweep -di
• Löschen Sie alle übrigen infizierten Dateien mit der Option -remove:
  sweep -remove
• Starten Sie eine Überprüfung, um sicherzugehen, dass alle infizierten Dateien gelöscht wurden.

3.4. Desinfektion von PE-Dateien unter OS/2

Desinfektion der infizierten Dateien:

• Geben Sie in eine Befehlseingabe folgendes ein:
  OSWEEP C: -DI
• Löschen Sie alle Dateien, die nicht desinfiziert werden konnten.
  OSWEEP C: -REMOVEF
• Starten Sie eine Überprüfung, um sicherzugehen, dass alle infizierten Dateien desinfiziert oder gelöscht wurden.

3.5. Desinfektion der PE-Dateien unter OpenVMS

Desinfektion der infizierten Dateien:

• Desinfizieren Sie die infizierten Dateien, indem Sie VSWEEP aus der DCL mit dem Befehlszeilenparameter "/DI" starten.
• Löschen Sie alle Dateien, die nicht desinfiziert werden können, indem Sie VSWEEP aus der DCL mit dem Befehlszeilenparameter "/REMOVEF" starten.
• 
  Hinweis: "/REMOVEF" fragt vor dem Löschen nicht nach einer Bestätigung und sollte deshalb vorsichtig verwendet werden.

Genauere Informationen zur Verwendung dieser Befehlszeilenparameter und Beispielbatchdateien finden Sie im Benutzerhandbuch von Sophos Anti-Virus für OpenVMS.

Hinweis: Wenn weiterhin Probleme bestehen, wenden Sie sich bitte an den technischen Support von Sophos.