Rev. "A"   10.03.2001

Anweisungen zur Entfernung von "MTX"

Von den Teilnehmern der Newsgroup alt.comp.virus.
(Diese Sicherheitsseiten sind das Ergebnis einer andauernden Kooperation.)

Übersetzte Versionen verfügbar: en Français, in het Nederlands und in English

[Achtung: Diese Seiten geben nur einen Teil des Angebots wieder, das auf claymania.com liegt und sind nur für Personen gedacht, die den MTX-Virus von ihrem System entfernen wollen und deshalb aufgrund eines unglücklichen Zufalls claymania.com nicht besuchen können, da diese Adresse von MTX blockiert wird. Sollte also Ihr System mit MTX infiziert sein, stellen Sie sicher, daß Sie keinen rot angezeigten Hyperlinks folgen. Diese führen entweder zu claymania.com oder zur Seite eines AV-Herstellers und werden höchtswahrscheinlich ihren Browser zum Absturz bringen, wenn MTX noch aktiv im Speicher ist.]

ACV Navigation
Navigation
Hilfsprogramm ! - Freundlicherweise entwickelt von Robert Green
Lesen Sie bitte gründlich alle Informationen auf dieser Seite bevor Sie fortfahren .
  *REMMTX.EXE
(**Die bequemste Methode | selbstentpackende ausführbare Datei)

  *REMMTX.zip
  (komprimiertes Archiv)		   *Enthält fünf Dateien:
  1. Findcd.bat
  2. findcd.com
  3. Mtx.reg
  4. Readme.txt
  5. Remmtx.bat

**REMMTX.EXE erstellt den Ordner FSI und F-PROT sollte in diesen Ordner entpackt werden.

Hinweis: REMMTX.EXE kann nur unter Windows ausgeführt werden.
Wenn Sie auf Probleme stoßen, starten Sie den Computer im abgesicherten Modus um REMMTX.EXE auszuführen und Dateien auf der Festplatte zu installieren.
[Hinweis des Übersetzers: Da mir nicht alle im folgenden Text erwähnten Anwendungen in deutscher Sprache zur Verfügung stehen, konnten einige Details wie z.B. Namen von Menüpunkten oder von Dialogboxen nicht genau übersetzt werden. Dies sollte jedoch kein Problem darstellen. Ich bitte um Nachsicht.]

Lesen Sie bitte aufmerksam alle untenstehenden Anweisungen...

Zitat aus Robert Greens Dokumentation zu REMMTX.BAT (in Readme.txt enthalten)

SARC (Symantec Antivirus Research Center) erwähnt in seiner Beschreibung dieses Virus, daß er "kompliziert und schwer zu entfernen" ist, und dies ist tatsächlich der Fall gewesen. REMMTX.BAT ist der Versuch die Schwierigkeiten zu lindern und die Entfernung dieses Virus für unerfahrene Benutzer von Windows 95, 98 und ME zu vereinfachen, vor allem für diejenigen die sich mit der DOS-Eingabeaufforderung nicht auskennen.

REMMTX löscht Dateien, die von MTX im Windows-Ordner angelegt werden, benennt WSOCK32.DLL (welche der Virus verändert) in WSOCK32.MTX um, entfernt Daten die MTX in den "autorun" Schlüssel der Registrierung geschrieben hat, extrahiert eine frische Kopie von WSOCK32.DLL (wenn die entsprechende CAB-Datei vorhanden ist), und führt den F-Prot Kommandozeilenscanner aus.

Die Säuberung planen

Der Benutzer muß die Entscheidung treffen, wie er vorgehen möchte. Werden Sie infizierte Dateien löschen und ersetzen, oder werden Sie den Scanner darum bitten zu versuchen sie zu desinfizieren?

Löschen-und-Ersetzen Methode:

PRO: das infizierte System kann in einen jungfräulichen Zustand zurückverwandelt werden. Dies ist bei der Desinfektion nicht unbedingt der Fall.

KONTRA: der Benutzer muß Windows neuinstallieren, sowie vielleicht einige oder alle Anwendungen.

Desinfektionsmethode:

PRO: das System kann schneller wieder genutzt werden. Vielleicht (nicht unbedingt) vermeiden Sie den Ärger, der mit einer Neuinstallierung verbunden ist.

KONTRA: der Scanner kann womöglich nicht alle infizierten Dateien säubern oder könnte einige Dateien zerstören (dies ist in Anbetracht der Art und Weise wie der Virus Dateien infiziert unvermeidbar). Dies kann dazu führen, daß Sie einige Dateien ersetzen müssen oder bei der täglichen Arbeit Probleme auftreten. Dies wiederum kann dazu führen, daß Sie doch alles neuinstallieren müssen.

Von beiden Methoden gibt es Berichte über Erfolg und Mißerfolg.

In den meisten Fällen ist die Löschen-und-Ersetzen Methode vorzuziehen.

Sie müssen auch die Ersetzung von WSOCK32.DLL planen. In den meisten Fällen ist das eine recht einfache Angelegenheit, weil die DLL in einer CAB-Datei auf der Festplatte zu finden sein wird. Sollte das jedoch nicht der Fall sein, dann muß sie vom ursprünglichen Windows-Installationsmedium extrahiert werden, falls verfügbar. Werfen Sie auch einen Blick auf die Seite zur Wiederherstellung von WSOCK32.DLL

Für die Extrahierung von CD müssen Sie den DOS-Treiber Ihres CD-ROM-Laufwerks sowie MSCDEX.EXE laden, damit das CD-ROM-Laufwerk genutzt werden kann. Die einfachste Methode dies zu erreichen ist, den Computer von einer Windows-Stardiskette zu starten. Diese Startdiskette *muß* mit der Version von Windows erstellt werden, die sich auch auf der infizierten Festplatte befindet. Ansonsten wird die Extrahierung fehlschlagen.

Die Windows 95-Stardiskette enthält nicht die benötigten Treiber für CD-ROM Unterstützung. Sie können bei www.bootdisk.com eine Diskette erhalten, die CD-ROM-Unterstützung bietet.

Falls es sich bei dem ursprünglichen Windows-Installationsmedium um eine Diskette handelt, halten Sie die Disketten einfach griffbereit wenn Sie REMMTX.BAT ausführen.

Wenn Sie Windows ME nutzen, *müssen Sie von Diskette starten* damit Sie DOS starten können, damit REMMTX.BAT überhaupt laufen kann.
  1. Legen Sie eine formatierte Diskette ein
  2. Systemsteuerung
  3. Software
  4. Startdiskette
  5. Startdiskette erstellen
Die Säuberung vorbereiten
  1. Laden Sie das selbstentpackende Archiv REMMTX.EXE herunter (falls noch nicht geschehen) und führen Sie es aus. Die Dateien werden in den Ordner C:\FSI\ entpackt (dies ist die Voreinstellung, aber Sie können den Namens des Ordners ändern wenn Sie möchten).
  2. Laden Sie F-PROT für DOS herunter (falls noch nicht geschehen).
  3. Entpacken Sie fp-311b.zip in den FSI Ordner.
  4. Starten Sie den Computer im DOS Modus neu. [Hinweis: einige Benutzer müssen eine Startdiskette nutzen um CD-ROM-Unterstützung zu erhalten. Siehe Abschnitt "Die Säuberung planen" weiter oben].
Sie müssen REMMTX unter *purem* DOS ausführen, nicht in einer Windows DOS Box.
Ausführen von REMMTX.BAT nach dem Starten von Diskette:
  1. An der Eingabeaufforderung A:\> geben Sie C: ein und drücken Sie die Eingabetaste.
    Geben Sie CD FSI     ein und drücken Sie die Eingabetaste.
    Geben Sie REMMTX     ein und drücken Sie die Eingabetaste.
  2. Folgen Sie den Aufforderungen, wählen Sie normalerweise (y)es.
  3. Das erste Mal, daß Sie REMMTX ausführen, wählen Sie 3 für die Option
    "Only report infected files[Infizierte Dateien nur auflisten]
    (F-Prot wird Ihr System durchsuchen und Infektionen auflisten ohne die Dateien zu säubern oder zu löschen. Sie können sich anschließend den Bericht ansehen um sich ein Bild vom Ausmaß des Schadens zu machen. Dies hilft Ihnen vielleicht bei der Entscheidung, ob Sie infizierte Dateien lieber löschen und ersetzen oder desinfizieren. Sie können dann REMMTX nochmals starten. Es wird direkt ins Scan-Menü wechseln und Sie können dann die von Ihnen vorgezogene Säuberungsmethode angeben.)
  4. Wählen Sie y(es) um den Bericht zu lesen. Nutzen Sie im DOS-Editor die Pfeiltasten um zu navigieren. Um den Editor zu verlassen, drücken Sie Alt und dann den Pfeil nach unten bis zum Menüpunkt "Beenden". Drücken Sie die Eingabetaste.
  5. Installieren Sie Windows sowie Anwendungen neu, falls nötig.
Von REMMTX benötigte Dateien
REMMTX überprüft ob die folgenden Dateien existieren und wird nicht laufen wenn eine davon fehlt.

%winbootdir%\COMMAND\CHOICE.COM
%winbootdir%\COMMAND\ATTRIB.EXE
%winbootdir%\COMMAND\EXTRACT.EXE
%winbootdir%\REGEDIT.EXE
MTX.REG
FINDCD.COM
FINDCD.BAT
Benutzer von Windows Millennium, bitte lesen Sie folgenden Hinweis:
Wenn Sie infizierte Dateien, die sich in den Ordnern _Restore\Temp oder _Restore\Archive befinden, nicht löschen oder säubern können, so lesen Sie dies.

Falls REMMTX.BAT aus welchem Grund auch immer WSOCK32.DLL nicht aus der CAB-Datei extrahieren kann, werfen Sie einen Blick auf die Seite zur Wiederherstellung von WSOCK32.DLL.

F-PROT Antivirus. (Detaillierte Anweisungen zu F-PROT für DOS befinden sich hier.)
REMMTX.EXE.
Details zur Wiederherstellung von Wsock32.dll.


- Ende der Anweisungen -


Einige von Ihnen fragen sich jetzt vielleicht...

"Wie kann ich meinen Computer in Zukunft schützen?"

Antwort: Klicken Sie hier für einige Tips!

© Claymania Creations 2002. Alle Rechte vorbehalten.