Programme lassen sich nicht starten, wenn der Computer mit dem SirCam-Virus infiziert ist

Artikel-ID: 311446 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D311446
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
311446
(http://support.microsoft.com/kb/311446/EN-US/ )
You cannot start programs when your computer is infected with the SirCam virus
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Sie müssen wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986
(http://support.microsoft.com/kb/256986/DE/ )
Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie im Dialogfeld Aktualisierte Setupdateien erhalten auf Ja, die aktualisierten Setup-Dateien herunterladen (empfohlen) [Yes, download the updated Setup files (Recommended)] klicken, wird im Upgrade Report die folgende Meldung angezeigt:
Es wurden blockierende Probleme gefunden. Sie müssen diese Probleme beheben, bevor Sie die Aktualisierung des Computers fortsetzen können. Klicken Sie auf "Bericht", um weitere Informationen zu erhalten.

Ungültige Systemkonfiguration
Wenn Sie auf Bericht klicken, wird die folgende Meldung angezeigt:
Es wurde eine ungültige Systemkonfiguration vorgefunden, die von einem Virus verursacht sein kann. Weitere Informationen und Anweisungen finden Sie im KB-Artikel Q311446.
Wenn Sie während des Setups im Dialogfeld Aktualisierte Setupdateien abrufen auf Diesen Schritt überspringen und die Installation fortsetzen klicken, können die folgenden Probleme auftreten:
  • Wenn Sie versuchen, ein Programm mit einer EXE-Dateierweiterung zu starten, wird das Programm möglicherweise nicht gestartet, und es wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:
    • Der angegebene Pfad existiert nicht. Überprüfen Sie die Pfadangabe, und wiederholen Sie den Vorgang.
    • Programmdatei konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.
    Hinweis: Wenn die Fehlermeldung (sinngemäß) "Der Pfad zu Programmname weist nicht auf eine gültige Windows-Anwendung" angezeigt wird, oder sich die Fehlermeldung auf die Datei "Files32.vxd" bezieht, lesen Sie die Informationen im folgenden Artikel der Microsoft Knowledge Base:
    310585
    (http://support.microsoft.com/kb/310585/DE/ )
    Programm mit Dateierweiterung .exe kann nicht gestartet werden
  • Außerdem erhalten Sie möglicherweise die folgende Meldung, wenn Sie den Computer aktualisieren, wobei Dateiname der vollständige Pfad zur genannten Datei darstellt:
    "C:\Dateiname" konnte nicht gefunden werden.


    In diesem Fall erhalten Sie möglicherweise die folgende Meldung, wenn Sie den Registrierungs-Editor starten:
    Die Datei "C:\Windows\Regedit.exe" wurde nicht gefunden.
Zum Anfang | Ihr Feedback an uns

Ursache

Der Computerwurm "W32.Sircam.Worm@mm" kann dieses Problem verursachen. Dieses Virus verbreitet sich selbst über E-Mail-Nachrichten oder ungeschützte Netzwerk-Dateifreigaben und kann Informationen auf Ihrem Computer ausspionieren oder löschen. So überprüfen Sie, ob der Computer mit dieser Art von Virus infiziert ist:
  1. Starten Sie den Computer neu, drücken Sie die Taste [F8] im Startbildschirm von Windows XP, und wählen Sie die Option Abgesicherter Modus mit Eingabeaufforderung aus.
  2. Geben Sie an der Eingabeaufforderung den Befehl regedit ein, und drücken Sie anschließend die [EINGABETASTE].
  3. Falls der folgende Registrierungsschlüssel auf C:\recycled\sirc32.exe "%1" %* gesetzt ist, ist Ihr Computer von dem Wurmvirus "W32/SirCam" befallen:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    Hinweis: Wenn die Registrierungseinstellung anders lautet als
    "%1" %*
    ist der Computer möglicherweise mit einem anderen Virus infiziert.
Zum Anfang | Ihr Feedback an uns

Lösung

Microsoft stellt keine Software für die Erkennung und Entfernung von Computerviren bereit. Wenn Sie den Verdacht haben oder sich sicher sind, dass Ihr Computer mit einem Virus infiziert ist, beziehen Sie aktuelle Antivirensoftware. Eine Liste mit Herstellern von Antivirensoftware finden Sie im folgenden Artikel der Microsoft Knowledge Base:
49500
(http://support.microsoft.com/kb/49500/ )
List of Antivirus Software Vendors
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Warnung: Durch die falsche Bearbeitung der Registrierung mithilfe des Registrierungs-Editors oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

So versuchen Sie, die Ausführung des Virus zu verhindern

Wichtig: Durch das folgende Verfahren wird nur das Ausführen des Virus verhindert, so dass Sie dann ein aktuelles Antivirenprogramm oder ein Tool zum Entfernen von "W32/Sircam" ausführen können. Während Sie an der Behebung des beschriebenen Problems arbeiten, trennen Sie alle Ihre infizierten Computer vom Internet und anderen Netzwerken. Detaillierte Anweisungen zur Wiederherstellung eines infizierten Computers finden Sie auf der folgenden Carnegie Mellon-Website:
http://www.cert.org/tech_tips/root_compromise.html
(http://www.cert.org/tech_tips/root_compromise.html)
  1. Überprüfen Sie, ob Ihr Computer von dem Computerwurm "W32.Sircam.Worm@mm" befallen wurde.

    Wie Sie dies tun können, entnehmen Sie dem vorstehenden Abschnitt "Ursache" in diesem Artikel. Ist Ihr Computer infiziert, setzen Sie mit Schritt 2 aus diesem Abschnitt fort. Falls Ihr Computer nicht durch den Wurmvirus "W32.Sircam.Worm@mm" infiziert ist, überspringen Sie die verbleibenden Schritte und folgen Sie den Anweisungen im Abschnitt "Lösung".
  2. Ändern Sie mit dem Registrierungs-Editor den (standardmäßigen) Zeichenfolgenwert im folgenden Registrierungsschlüssel zu "%1" %* (mit den Anführungszeichen):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\
  3. Geben Sie an einer Eingabeaufforderung cd \ ein, und drücken Sie anschließend die [EINGABETASTE].
  4. Geben Sie an einer Eingabeaufforderung del /f /s /a sirc32.exe ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Geben Sie an einer Eingabeaufforderung del /f /s /a scam32.exe ein, und drücken Sie anschließend die [EINGABETASTE].
  6. Geben Sie an einer Eingabeaufforderung shutdown -r ein, und drücken Sie anschließend die [EINGABETASTE].
  7. Befolgen Sie die Anweisungen aus dem Abschnitt "Lösung" in diesem Artikel.
Der Wurmvirus "W32.Sircam.Worm@mm" modifiziert die Registrierung so, dass alle ausführbaren Dateien (EXE-Dateien) über die Virusdatei (Sirc32.exe) gestartet werden, die sich im Ordner "C:\recycled" befindet. Diese Änderung der Registrierung erzwingt die Ausführung von EXE-Dateien in Form eines Befehlszeilenarguments der Datei "Sirc32.exe". Im Rahmen der Aktualisierung auf Windows XP wird die Datei "Sirc32.exe" entfernt.

Wenn Sie den Virus "Sirc32.exe" entfernen, ohne den Schlüssel HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command zu ändern, werden alle ausführbaren Dateien auf dem Computer ungültig, da gemäß dieser Zeile in der Registrierung die ausführbaren Dateien als Befehlszeilenparameter für die Datei "Sirc32.exe" ausgeführt werden (welche nicht mehr vorhanden ist). Dies führt zu Meldungen darüber, dass Windows eine Datei nicht finden konnte, wenn Sie versuchen, eine ausführbare Datei zu starten.

Weitere Informationen zum Entfernen des W32/Sircam-Virus

Weitere Informationen zum ordnungsgemäßen Entfernen des W32/Sircam-Virus finden Sie auf den folgenden Fremdanbieter-Websites:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html
(http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html)
http://www.datafellows.com/v-descs/sircam.shtml
(http://www.datafellows.com/v-descs/sircam.shtml)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIRCAM.A
(http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIRCAM.A)

Verfügbarkeit von Tools zum Entfernen von W32.Sircam.Worm@mm

Informationen zu Tools, mit denen der W32/Sircam-Virus vollständig entfernt werden kann, finden Sie auf den folgenden Fremdanbieter-Websites:
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html
(http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.removal.tool.html)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSIRCAM%2EA&VSect=Sn
(http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSIRCAM%2EA&VSect=Sn)
Weitere Informationen zum W32/Sircam-Virus und zusätzliche Hinweise auf Lieferanten von Antivirenprogrammen finden Sie im CERT-Ratgeber "CA-2001-22 W32/Sircam Malicious Code" auf der folgenden Carnegie Mellon-Website:
http://www.cert.org/advisories/CA-2001-22.html
(http://www.cert.org/advisories/CA-2001-22.html)
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
306913
(http://support.microsoft.com/kb/306913/DE/ )
Fehlermeldung, die von Sircam32-Virus verursacht wird, wenn Sie ein Programm starten
Die Kontaktinformationen bezüglich der in diesem Artikel genannten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 311446 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 4.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Keywords: 
kbhotfixserver kbqfe kbbug kbenv kberrmsg kbfix kbsetup KB311446
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang