Informationen zum Wurm-Virus

Die folgende oder eine ähnliche Fehlermeldung wird angezeigt, bevor der Computer automatisch heruntergefahren wird:

Dieses System wird heruntergefahren. Speichern Sie die von Ihnen durchgeführte Arbeit und melden Sie sich ab. Alle nicht gespeicherten Änderungen gehen verloren. Dieses Herunterfahren wurde von NT AUTHORITY\SYSTEM ausgelöst. Zeit bis zum Ausführen des Herunterfahrvorgangs: 00:00:XX Meldung: Windows muss nun einen Neustart durchführen, da der Dienst „Remoteprozeduraufruf“ (RPC) unerwartet beendet wurde.

Zu den weiteren Anzeichen zählen Instabilität, Abstürze und Sicherheitslücken des Systems.

Dieses Problem wird wahrscheinlich durch einen Wurm-Virus mit dem Namen Blaster, LoveSan, MSBlaster oder Welchia (tritt möglicherweise auch unter anderem Namen oder in anderer Variante auf) verursacht. Dieser Virus nutzt eine Sicherheitslücke in nicht geschützten, unter Microsoft Windows XP oder Windows 2000 laufenden Computern aus. Er infiziert Systeme, auf denen das Microsoft Patchprogramm MS03-039 nicht installiert ist. Ein Hinweis darauf, dass der Virus auf Ihrem Computer aktiv ist, ist das Vorhandensein der Datei „Msblast.exe“. Diese Datei ist jedoch nicht Bestandteil aller Varianten dieses Virus. Selbst wenn Sie diese Datei nicht auf Ihrem Computer finden, könnte sich der Virus trotzdem in Ihrem System befinden.

Gehen Sie folgendermaßen vor, um Ihren Computer mit dem neuesten Microsoft Sicherheits-Patchprogramm zu aktualisieren und den Virus von Ihrem System zu entfernen:

Beseitigen des Wurm-Virus

Führen Sie die folgenden Schritte aus, um den Neustart des Computers zu verhindern, den Virus zu entfernen und eine erneute Infektion Ihres Computers mit dem Virus auszuschließen. HP kann für den Erfolg dieser Vorgehensweise nicht garantieren, da der Virus möglicherweise in unterschiedlichen Formen existiert.

1. Klicken Sie auf Start und Ausführen und geben Sie Folgendes ein: shutdown -a
   Dadurch wird ein automatischer Neustart des Systems vorerst verhindert und Ihnen genügend Zeit verschafft, die Microsoft Sicherheitsaktualisierung herunterzuladen und zu installieren.
2. Klicken Sie auf OK.
3. Wenn der Neustart des Computers mit dem Befehl „shutdown -a“ nicht verhindert werden kann, gehen Sie folgendermaßen vor:
   1. Klicken Sie auf Start und Ausführen und geben Sie Folgendes ein: services.msc
   2. Klicken Sie auf OK.
      Daraufhin wird das Fenster „Dienste“ angezeigt.
   3. Doppelklicken Sie auf Remoteprozeduraufruf (RPC) und wählen Sie das Register Wiederherstellen. Achten Sie darauf, nicht den Remoteprozeduraufruf-Lokalisierer (RPC-Locator) auszuwählen.
      Abbildung 2: Dienst „Remoteprozeduraufruf“
   4. Stellen Sie die Optionen Erster Fehlschlag, Zweiter Fehlschlag und Weitere Fehlschläge auf Keinen Vorgang durchführen ein.
   5. Klicken Sie auf OK, um die Einstellungen zu übernehmen.
4. Installieren Sie mittels Windows Update die neuesten wichtigen Aktualisierungen. Weitere Informationen finden Sie im Microsoft Sicherheits-Bulletin MS03-039 und Hinweise zur Verwendung der Windowsaktualiserung .

   HINWEIS:

   Diese Wurm-Viren wurden entworfen, um auf bestimmten Webseiten mehr Datenverkehr zu erzeugen. Sollte der Datenverkehr auf der Microsoft Windows Update Website an Umfang zunehmen, kann das Herunterladen der von Ihnen ausgewählten Aktualisierungen möglicherweise lange dauern oder die Website wird eventuell überhaupt nicht aufgebaut. Bitte bewahren Sie in diesem Fall Geduld und versuchen Sie die Website zu einem späteren Zeitpunkt erneut aufzurufen.

5. Entfernen Sie den Wurm-Virus mit Ihrem Antivirenprogramm. Laden Sie dazu die aktuellsten Virendefinitionsdateien herunter und führen Sie anschließend einen Scan durch. Hilfsprogramme zur Softwaredeinstallation und weitere, detaillierte Informationen zum Entfernen dieses Virus oder einer Variante dieses Virus können Sie durch Klicken auf eine der folgenden Verknüpfungen aufrufen:

   • McAfee VirusScan Website zum Virus W32/Lovsan.worm
   • Symantec Norton AntiVirus Website zum Virus W32.Blaster.Worm
   • Microsoft Knowledge Base Artikel 833330 - "A tool is available to remove Blaster worm and Nachi worm infections from computers that are running Windows 2000 or Windows XP" („Tool zum Entfernen von Blaster- und Nachi-Wurmviren für Windows 2000 und Windows XP verfügbar“)
   Bei Erfolg dieser Schritte ist der Computer jetzt gesäubert und geschützt. Wenn das Problem hiermit nicht behoben werden konnte, wenden Sie sich zwecks weiterer Hilfestellung an Microsoft und den Hersteller Ihres Antivirenprogramms.
6. Wenn Sie mit dem Befehl „services.msc“ (siehe Schritt 3) einen Neustart Ihres Computers verhindern konnten, müssen Sie die RPC-Einstellungen folgendermaßen wieder auf die Originaleinstellungen zurücksetzen:
   1. Klicken Sie auf Start und Ausführen und geben Sie Folgendes ein: services.msc
   2. Klicken Sie auf OK.
   3. Doppelklicken Sie auf Remoteprozeduraufruf (RPC) und wählen Sie das Register Wiederherstellen. Achten Sie darauf, nicht den Remoteprozeduraufruf-Lokalisierer (RPC-Locator) auszuwählen.
      Abbildung 3: Dienst „Remoteprozeduraufruf“
   4. Stellen Sie die Optionen Erster Fehlschlag, Zweiter Fehlschlag und Weitere Fehlschläge auf Computer neu starten ein.
   5. Klicken Sie auf OK, um die Einstellungen zu übernehmen.

      HINWEIS:

      Es ist ebenfalls empfehlenswert, das Menü „Systemwiederherstellung“ zu öffnen und während der Aktivität des Virus geladene Daten zu löschen. Dadurch wird eine Neuinfizierung des Computers bei Verwendung des Menüs „Systemwiederherstellung“ verhindert. Um „Systemwiederherstellung“ zu öffnen, klicken Sie auf Start, Alle Programme, Zubehör, Systemprogramme und anschließend auf Systemwiederherstellung.