TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

 

nach oben
nach oben
nach oben
 

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


Extra-Blatt

Virus/Wurm: W32/MTX
(Alias I-Worm.MTX, W95.MTX.dr, TR.IWorm.MTX, W32/Apology)

Manuelle Entfernung nach Infektion (mehrfach überarbeitete Fassung)

MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung sorgt; einem Virus, der Dateien infiziert und einem Trojanischen Pferd bzw. RAT (Remote Administration Tool, Backdoor).

Um es gleich vorweg zu nehmen: So ganz ohne Antivirus-Software kommt man nicht aus. Nur den Wurm und das Trojanische Pferd wird man so los, für die Virus-Komponente (den Hauptteil) braucht man die Hilfe eines Virenscanners. Da MTX eine Verbindung zu Websites einiger Hersteller von Antivirus-Programmen unterbindet, können Sie sich mit dem infizierten Rechner keine Hilfe von dort holen. Nehmen Sie also wenn möglich einen anderen Rechner oder kaufen Sie sich eine Computer-Zeitschrift, deren Heft-CD Testversionen von Antivirus-Programmen enthält. Oder laden Sie sich die Software von woanders herunter, z.B. hier.

Warnung: Eine Neuinstallation von Windows führt nur dann zum Erfolg, d.h. zur Entfernung des Virus, wenn Sie entweder vorher die System-Festplatte formatieren oder das Windows-Verzeichnis löschen oder Windows in einem neuen Verzeichnis installieren (und das alte danach löschen). Sie müssen dann allerdings in jeden Fall auch alle Anwendungen (Programme) neu installieren.
Windows einfach 'drüber' zu installieren bringt es nicht.

Anmerkung: Die meisten Virenscanner sind nicht in der Lage, W32/MTX vollständig und rückstandsfrei zu entfernen. Praktisch alle können ihn jedoch zumindest erkennen, wenn Sie die aktuellen Updates installiert haben. Speichern sie ein Protokoll der Scan-Ergebnisse, drucken Sie es aus.

Ganz wichtig: Versenden Sie keine Mails mehr von diesem Rechner!
MTX sendet jeder Mail, die Sie schicken, eine zweite hinterher, die ein Attachment mit dem Virus enthält! Dabei wechselt der Dateiname je nach Datum (siehe Beschreibung). Gehen Sie am Besten gar nicht mehr mit diesem Rechner ins Internet! Wenn irgend möglich, benutzen Sie zum Downoad eines Virenscanners und weiterer Informationen (wie dieser Anleitung) einen anderen, virenfreien Rechner (z.B. bei einem Bekannten, in einem Internet-Café oder in der Firma).

Zur Beruhigung:
Der Virus richtet keinen irreparablen Schaden an. Es gehen weder Daten verloren noch wird die Festplatte irgendwann formatiert oder dergleichen. Kritisch ist die Komponente 'Backdoor' (s.u.), da sie weiteres Ungeziefer aus dem Internet herunterladen kann. Allerdings wird der Rechner nach einiger Zeit immer unbenutzbarer, da immer mehr Programm-Dateien infiziert und einige dabei beschädigt werden

Achtung: Die Virus-Komponente infiziert EXE- und DLL-Dateien im Windows-Verzeichnis, im %TEMP%-Verzeichnis und im aktuellen Verzeichnis (das, in dem der Wurm ausgeführt wird). Es ist nicht auszuschliessen, das lebenswichtige Windows-Dateien dabei (oder bei der Reinigung durch eine Antivirus-Software) so beschädigt werden, dass Windows nicht mehr starten kann. In diesem Falle müssen Sie die DOS-Methode zur Entfernung anwenden. Namentlich unter Windows NT bleibt Ihnen i.d.R. nur die Möglichkeit, das System von Backups wieder herzustellen (glücklich, wer die Disaster Recovery Option seiner Backup-Software mitgekauft hat).

Entfernung
unter
Windows-Version
95/98 ME NT 4.0 2000 (W2K)
DOS + -- -- --
Windows ~ * * *

Entfernung unter DOS (f. Win95/98)

Die Entfernung unter DOS ist allemal sicherer als mit Windows-Mitteln, kommt aber für NT und Win2K nicht in Betracht, da unter DOS kein Schreibzugriff auf NTFS-Partitionen möglich ist (jedenfalls nicht so ohne Weiteres).
Für Rechner mit Windows 95/98 sei die DOS-Methode ausdrücklich empfohlen. Für Windows ME (Millenium Edition) wird die Verwendung der mitgelieferten "Systemwiederherstellung" empfohlen, um die Original-Dateien von der CD auf die Festplatte zu kopieren (Microsoft KB-Artikel Q265371).
Auch die weiter unten aufgeführte Methode mit Windows-Mitteln erspart Ihnen nicht das Tippen von Schrägstrichen...
Diese Anleitung ist absichtlich nicht für gänzlich unerfahrene Benutzer gemacht. Diese sollten sich kompetente Hilfe holen, ein Virus-Befall ist eine ernste Sache. Wenn Sie die folgende Anleitung nicht komplett verstehen, lassen Sie die Finger davon! Das ist ernst gemeint! Es wird keinerlei Gewähr übernommen, dass diese Anleitung in jedem Einzelfall funktioniert oder zumindest keinen Schaden anrichten kann. Deshalb ist es wichtig, dass Sie zu jedem Zeitpunkt der 'Operation' verstehen, was gerade abläuft, damit Sie die Prozedur auf Ihre individuelle Rechner-Konfiguration anpassen können.
Lesen Sie sich erstmal alles genau durch, bevor Sie anfangen.

Wurm und Backdoor entfernen
Der Wurm hat die Datei WSOCK32.DLL durch eine modizierte Version überschrieben. Im Gegensatz zum Happy99-Wurm hebt er leider keine Kopie der Originalversion auf.
Also brauchen Sie die Original-Datei von der Windows-CD.

Bei der Gelegenheit ersetzen Sie auch gleich die durch die Virus-Komponente infizierten Dateien EXPLORER.EXE und RUNDLL32.EXE, sowie alle weiteren Dateien aus dem Windows- und Windows\System-Verzeichnis, die Ihr Virenscanner als infiziert meldet. Für diese Dateien verfahren Sie sinngemäß ebenso wie für die namentlich genannten. Lassen Sie Ihr Antivirus-Programm (vorher Updaten!) einen Report (Protokoll, Log) erstellen und speichern Sie diesen bzw. drucken Sie ihn aus. Lesen Sie dazu die Hinweise am Ende dieser Anleitung.

Windows-Dateien ersetzten
Die Dateien sind komprimiert auf der Windows-CD gespeichert. Sie stecken in diversen CAB-Archiven (*.cab) im Verzeichnis 'Win95' bzw. 'Win98' auf der CD (je nach Windows-Version). Das Vorgehen ist bei Windows 95 und 98 praktisch identisch, allerdings steckt die gesuchte Datei in verschiedenen CAB-Archiven. Das ist aber ohne Belang, die folgende Methode funktioniert bei allen Versionen. Die deutsche Microsoft KnowledgeBase hält zum allgemeinen Vorgehen einen ausführlichen Artikel bereit: D35346.

Dazu brauchen Sie ein DOS-Fenster (Start/Programme/MS-DOS-Eingabeaufforderung) oder Sie starten den Rechner gleich im DOS-Modus. Das setzt aber voraus, dass Sie unter reinem DOS auch Zugriff auf das CD-Laufwerk haben oder die *.cab Dateien allesamt auf die Festplatte kopieren können. Das sind je nach Windows-Version ca. 50 - 150 MB. Ausserdem brauchen Sie noch die Datei extract.exe, die in dem gleichen Verzeichnis auf der CD liegt.

Wie auch immer, wechseln Sie nun in das Verzeichnis mit den CAB-Dateien. Nehmen wir mal an, die Dateien liegen in D:\Win95, dann lauten die Befehle unter DOS (Groß-/Kleinschreibung ist irrelevant):

C:\>D:
D:\>cd \win95

Nehmen wir stattdessen an, Sie haben sie alle nach C:\wincd\win98 kopiert, dann genügt:

C:\>cd \wincd\win98

Dort angekommen, rufen Sie nun das Programm extract.exe auf.

C:\?>extract /A win95_02.cab wsock32.dll /L c:\tmp (nur bei Windows 95)
C:\?>extract precopy1.cab wsock32.dll /L c:\tmp    (bei Windows 98)
C:\?>extract /A win95_02.cab rundll32.exe /L c:\tmp
C:\?>extract /A win95_02.cab explorer.exe /L c:\tmp

(bei Win 95 - bei Win 98 und ME müssen Sie den Namen der CAB-Datei anpassen. Bei Windows 98 geben Sie base4.cab an. Geben Sie die CAB-Datei an, die die niedrigste Nummer hat, 'dir win*.cab /p' hilft bei dessen Ermittlung). Die wsock32.dll befindet sich bei Windows 98 in precopy1.cab (s.o.).
Für die ganz Schlauen: Die Angabe von '*.cab' funktioniert nicht mit Extract, es muss der Name einer existierenden Datei angegeben werden. Dann wird die Kette der CAB-Archive automatisch abgearbeitet.
Lassen Sie sich nicht von dem Fragezeichen in C:\?> irritieren, es dient nur als Platzhalter. DOS zeigt an dieser Stelle das jeweils aktuelle Verzeichnis an.

Jetzt rauschen viele Zeilen durch, am Ende sollten im Verzeichnis TMP von C: die Dateien wsock32.dll, rundll32.exe und explorer.exe stehen:

C:\?>dir c:\tmp /p

Dieser Befehl listet den Inhalt von C:\TMP auf. Die Angabe von '/p' hält den Durchlauf jeweils nach einer Bildschirmseite an, falls die Liste länger ist.

Jetzt nehmen wir weiterhin an, Windows sei in C:\Windows installiert (wenn das Verzeichnis existiert, ist das wohl so). Wenn es exotischerweise woanders installiert sein sollte, müssen Sie entsprechend umdenken, ebenso bei Windows NT/2000/XP (C:\WINNT).
Spätestens jetzt müssen Sie Windows beenden und im DOS-Modus weiter machen, denn die wsock32.dll ist unter Windows ebenso in Benutzung wie die rundll32.exe und die explorer.exe und diese können daher nicht ersetzt/überschrieben werden. W32/MTX benutzt einen Trick, der das beim Neustart erledigt. Mit demselben Trick arbeitet auch Windows selbst, was allfällige Neustarts bei Nachinstallationen mit erklärt.

Den richtigen DOS-Modus erreichen Sie bei Windows 95/98 wie folgt:

  • Start / Beenden / Windows Neustart
  • Windows 95: Drücken Sie [F8], während "Windows 95 wird gestartet..." angezeigt wird.
    Windows 98: Drücken Sie die Taste [Strg], sobald auf dem Bildschirm weisse Schrift auf schwarzem Grund erscheint (lange bevor Windows startet) und halten Sie sie gedrückt, bis ein Auswahlmenü erscheint.
  • Wählen Sie im Boot-Menü "Nur Eingabeaufforderung" (entspr. Ziffer drücken, [Enter])

Die drei Dateien WIN32.DLL, MTX_.EXE und IE_PACK.EXE sind versteckt, müssen also erst sichtbar gemacht werden:

D:\?>C:
C:\?>attrib -h C:\WINDOWS\WIN32.DLL
C:\?>attrib -h C:\WINDOWS\MTX_.EXE
C:\?>attrib -h C:\WINDOWS\IE_PACK.EXE

Jetzt kann es los gehen:

C:\?>del C:\WINDOWS\SYSTEM\WSOCK32.MTX
C:\?>del C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\?>del C:\WINDOWS\RUNDLL32.EXE
C:\?>del C:\WINDOWS\EXPLORER.EXE
C:\?>del C:\WINDOWS\WIN32.DLL
C:\?>del C:\WINDOWS\MTX_.EXE
C:\?>del C:\WINDOWS\IE_PACK.EXE
C:\?>copy C:\TMP\WSOCK32.DLL C:\WINDOWS\SYSTEM
C:\?>copy C:\TMP\RUNDLL32.EXE C:\WINDOWS
C:\?>copy C:\TMP\EXPLORER.EXE C:\WINDOWS

Hinweis: WSOCK32.MTX wird evtl. nicht gefunden, existiert dann also im Moment nicht.
Weist der Report Ihres Virenscanners weitere infizierte Dateien auf, die von der Windows-CD ersetzt werden können, ordnen Sie die Dateien in C:\TMP so an, dass Sie ein Unterverzeichnis C:\TMP\SYSTEM anlegen und dort die Originale hineinverschieben, die nachher nach C:\Windows\System gehören.
Verzeichnis erstellen (md oder mkdir) und Dateien verschieben (ersetzen Sie datei.ext durch den jew. Dateinamen):

C:\?>md C:\TMP\SYSTEM
C:\?>move C:\TMP\datei.ext C:\TMP\SYSTEM

Dieses Prinzip wenden Sie ggf. auf weitere Verzeichnisse an, die unterhalb C:\Windows liegen. Wenden Sie dann folgende Zeile an:

C:\?>xcopy C:\TMP\*.* C:\WINDOWS /sv

Wenn diese REG-Datei verwenden, können Sie auch den entscheidenden Eintrag in der Registry gleich von DOS aus entschärfen (speichern Sie sie in C:\TMP):

C:\?>regedit C:\TMP\RM_MTX.REG

Damit wird dieser Registry-Eintrag entfernt, der vom MTX-Virus angelegt wurde:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 SystemBackup = C:\WINDOWS\MTX_.EXE
C:\WINDOWS
steht hier für das Windows-Verzeichnis, das jedoch auch anders heißen kann (s.o.).

Bis hierhin führt Sie auch eine Batch-Datei, die Sie allerdings Ihren Gegebenheiten anpassen müssen. Daher ist sie nur für Anwender mit gewissen Mindestkenntnissen geeignet und läuft auch nicht einfach so los, wenn man sie unbearbeitet aufruft. Sie muss unter DOS gestartet werden.

So, jetzt bleibt noch der Virus bzw. die infizierten Dateien. Da nehmen Sie jetzt am besten die Hilfe eines Virenscanners in Anspruch, um die Dateien zu identifizieren, die infiziert sind.

Virenscanner unter DOS
Wenn Sie noch keinen Virenscanner haben, laden Sie sich hier F-Prot für DOS herunter. Stellen sie den Scan auf 'alle Dateien' und speichern Sie das Protokoll in eine Datei. Besitzen Sie bereits Norton Antivirus, suchen Sie nach der DOS-Version auf Ihrem Rechner (navdx.exe). Anwender von NAi/McAfee VirusScan benutzen scanpm.exe, wer AVP auch für DOS bevorzugt, findet hier die DOS-Version (AVPlite).

Virenscanner unter Windows
Ich empfehle die Installation von AVP (Kaspersky), es tut aber auch jeder andere Virenscanner, der W32/MTX erkennt. Nach der Installation müssen erstmal die neuesten Updates aus dem Internet geholt werden. Das kann AVP fast automatisch, Sie müssen nur immer bestätigen. AVP-Updates werden von MTX nicht geblockt (im Gegensatz zu div. anderen Virenscannern). Es gibt im Startmenü einen Eintrag 'AVP Updates', den rufen Sie auf. Evtl. ist es sinnvoll, vorher die Internetverbindung herzustellen, falls Windows nicht automatisch wählt. Funktioniert das nicht, ist bei obiger Prozedur etwas schief gelaufen und die wsock32.dll ist nicht da, wo sie sein sollte.

Hier finden Sie Internet-Adressen, wo Sie trotz MTX-Infektion an aktuelle Updates für Ihre Antivirus-Software kommen können.

AVP (oder F-Prot,...) sollte nun erstmal alle Dateien auf der Festplatte scannen, ohne etwas anderes zu machen, als diese zu melden. Lassen Sie sich auf jeden Fall einen Report (ein Protokoll) erstellen und speichern Sie den vor der Reparaturaktion, drucken Sie ihn evtl. aus..
AVP wird wohl versuchen, die Dateien zu reparieren, was aber bei diesem Virus nicht 100%ig klappen wird. Aber zumindest ist der Virus dann weg. Nun sollten Sie alle Dateien, die infiziert waren, durch die Original-Dateien von der Windows-CD ersetzen (wie oben) bzw. bei anderen Programmen eben je nachdem. Manche Programme sind am besten zu deinstallieren und neu zu installieren. Das geht meist am schnellsten.

Zum Schluss nochmal die gesamte Festplatte (alle Dateien) scannen.

Vielen Dank an alle, die Verbesserungsvorschläge eingesandt haben!

Windows-Methode (Windows 95/98)
Wenn Sie Windows 95/98 verwenden, gehen Sie nach obiger Anleitung für DOS vor.

Windows ME
Anwender von Windows ME können die automatische Reparaturfunktion ihrer Windows-Version verwenden und einen Virenscanner einsetzen. Es bleibt die Entfernung des Trojanischen Pferdes (Registry-Eintrag löschen, MTX_.EXE im Windows-Verzeichnis (z.B. C:\Windows) löschen) sowie die Reinigung infizierter Dateien mit einem Antivirus-Programm. Dann die gereinigten Dateien durch die Originale von der Installations-CD ersetzen, möglichst mit der erwähnten Systemwiederherstellung.

Windows 2000 (W2K)
Anwender von Windows 2000 können die automatische Reparaturfunktion dieser Windows-Version verwenden und einen Virenscanner einsetzen. Entfernen Sie das Trojanische Pferd (Registry-Eintrag löschen, MTX_.EXE im Windows-Verzeichnis (z.B. C:\Winnt) löschen) und reinigen Sie infizierte Dateien mit einem Antivirus-Programm. Dann die gereinigten Dateien durch die Originale von der Installations-CD ersetzen, möglichst mit der erwähnten Systemwiederherstellung.

Windows NT 4.0
Entfernen Sie das Trojanische Pferd (Registry-Eintrag löschen, MTX_.EXE im Windows-Verzeichnis (z.B. C:\Winnt) löschen) und reinigen Sie infizierte Dateien mit einem Antivirus-Programm. Dann die gereinigten Dateien durch die Originale von der Installations-CD ersetzen.

Symantec (Norton AntiVirus) bietet ein (DOS-) Programm zur Entfernung von MTX an. Beachten Sie bitte dabei unbedingt die dazugehörende Anleitung! [Download von diesem Server]