Anweisungen zur Entfernung von "Kak"

Von den Teilnehmern der Newsgroup alt.comp.virus.
(Diese Sicherheitsseiten sind das Ergebnis einer andauernden Kooperation.)

Übersetzte Versionen verfügbar: en Français, in het Nederlands und in English


Main Menu

[Hinweis des Übersetzers: Da mir nicht alle im folgenden Text erwähnten Anwendungen in deutscher Sprache zur Verfügung stehen, konnten einige Details wie z.B. Namen von Menüpunkten oder von Dialogboxen nicht genau übersetzt werden. Dies sollte jedoch kein Problem darstellen. Ich bitte um Nachsicht.]

Lesen Sie bitte aufmerksam alle untenstehenden Anweisungen...

Verfasst von: Nick FitzGerald
(mit Nicks Genehmigung veröffentlicht)

Diese Anweisungen entfernen Kak nicht nur, sondern erklären zusätzlich wie Sie ihren Rechner gegen eine erneute Kak-Infektion oder eine Infektion durch einen Wurm oder Virus, der das selbe Sicherheitsloch ausnutzt, immunisieren können.

Hinweis: Kak verbreitet sich per email. Da Sie infiziert waren, haben Sie infizierte Nachrichten verschickt. Sie sollten sich den Ordner ausgehender Nachrichten ansehen nachdem Sie alle untenstehenden Anweisungen ausgeführt haben, und dann per email Ihre Korrespondenten warnen (und sich bei ihnen entschuldigen!).

Hinweis 2: Zuviele Beschreibungen von Kak übersehen die Tatsache, daß viele Benutzer ganze Ordner voller infizierter Nachrichten besitzen, die wieder eine Infektion hervorrufen sobald sie gelesen werden falls das Sicherheitsloch von dem Kak abhängt nicht geschlossen wird. Daher müssen Sie wenn Sie Kak entfernen, meinen Rat bezüglich der Sicherheitseinstellungen für Outlook Express zu befolgen UND den Sicherheitspatch von Microsoft, der am Ende dieser Seite erwähnt wird, anwenden.

Hinweis 3: Wenn Ihr Rechner Ihnen zur Zeit beim Hochfahren eine Dialogbox mit einer seltsamen Nachricht anzeigt (z.B. "Kagou-Anti-Kro$oft says not today") ignorieren Sie sie einfach. Bewegen Sie die Dialogbox an den Bildschirmrand so daß sie Ihnen nicht im Weg steht -- wenn Sie auf "OK" klicken, wird Ihr Computer heruntergefahren, aber Sie können dieses Fenster einfach ignorieren und folgendes tun. Etwas tapferere Menschen werden vielleicht Strg+Alt+Entf drücken, die Anwendung "Driver Memory Error" auswählen und auf "Task beenden" drücken wollen.

In der vorgegebenen Reihenfolge -- fragen Sie nicht warum, tun Sie es einfach:

Zuerst müssen Sie diesen Rechner nicht mehr für email und Newsgroups verwenden. Im Grunde sollten Sie alle Anwendungen schließen. In den folgenden Anweisungen, starten Sie die erwähnten Anwendungen nur um die angegebenen Konfigurationsänderungen vorzunehmen, und beenden Sie die Anwendung dann wieder.

Zweitens, überprüfen Sie daß in der Sicherheitszone "Eingeschränkte Sites" jegliche Unterstützung für ActiveX ausgeschaltet ist (das hindert Leute daran, die falsche Wahl zu treffen wenn sie darum gebeten werden wenn die Option "Bestätigung" aktiviert ist). Falls dies nicht der Fall ist, ändern Sie es. Öffnen Sie die Registerkarte "Sicherheit" in den Tools/Interneteinstellungen des Internet Explorer oder in den "Internetoptionen" in der Systemsteuerung (dies sind zwei verschiedene Wege zum selben Ziel). Wenn Sie nicht wissen wie Sie dies überprüfen, wählen Sie einfach die Zone "Eingeschränkte Sites" und klicken Sie auf "Standardstufe" um die Einstellungen für diese Zone zurückzusetzen - die daraus resultierenden Einstellungen sind den eigentlich benötigten Einstellungen nahe genug.

Drittens, stellen Sie Outlook Express so ein, daß email als Teil der Zone "Eingeschränkte Sites" betrachtet wird. Die entsprechende Einstellungsmöglichkeit befindet sich auf der Registerkarte "Sicherheit" im Optionsdialog.

Viertens, löschen Sie die Signaturdefinition in Outlook Express für alle betroffenen Benutzeridentitäten (wenn Sie nicht wissen was dies bedeutet, so haben Sie wahrscheinlich nur eine einzige Identität, also brauchen Sie es nur einmal zu machen). Diese Einstellungen befinden sich auf der Registerkarte "Signaturen" des Optionsdialogs. Theoretisch können Sie nun Outlook Express 5 wieder zum Lesen und Senden und email benutzen -- aber tun Sie es nicht...

Fünftens, löschen Sie die Dateien kak.htm aus dem Windows-Ordner sowie <name>.hta aus dem Systemverzeichnis von Windows. <name> ist eine Zeichenkette bestehend aus 8 Zeichen, die eine hexadezimale Zahl darstellt -- d.h. sie besteht aus einer Kombination der Zeichen 0-9 und A-F. Es könnte sich in dem Ordner mehr als nur eine Datei befinden. Die Dateien sollten eine Größe von 4116 Bytes haben - löschen Sie sie alle. Gibt es mehr als eine, dann sollten Sie sich mit Outlook Express Benutzeridentitäten beschäftigen und die Signatureinstellungen aller Identitäten säubern (das ist ästhetischer als nötig, denn das Löschen der Datei kak.htm deaktiviert sowieso die Signaturen). Diese Dateien besitzen das "Versteckt"-Attribut -- um sie zu sehen müssen Sie die Standardeinstellungen im Explorer ändern. Wenn Sie nicht sicher wissen wie das funktioniert, wählen Sie "Hilfe" im Startmenü, klicken Sie auf die Index-Registerkarte und geben Sie unter Windows 95 "versteckte Dateien, sichtbar machen" ein. Unter Windows 98 geben Sie "Versteckt, Attribut" ein und sehen Sie sich das gefundene Thema an.

Sechstens, editieren Sie AUTOEXEC.BAT und löschen Sie die beiden Zeilen, die im Windows-Autostart-Ordner die Datei kak.hta anlegen und löschen. Falls AE.KAK im Root-Verzeichnis von C: ["C:\"] existiert und an AUTOEXEC.BAT keine Änderungen vorgenommen wurden seit Kak den Rechner infiziert hat, dann können Sie AUTOEXEC.BAT löschen (oder umbenennen) und AE.KAK in AUTOEXEC.BAT umbenennen (es handelt sich dabei um eine Sicherheitskopie von AUTOEXEC.BAT, die Kak bei der Infektion angelegt hat). Überprüfen Sie den Windows-Autostart-Ordner und löschen Sie eine Datei namens kak.hta.

Starten Sie den Computer neu und achten Sie aufmerksam auf eine Anwendung namens "Driver Memory Error" die nur (kurz) als Schaltfläche in der Taskleiste erscheint. Wenn dies passiert, haben Sie eine Anweisung übersprungen oder die Anweisungen nicht in der richtigen Reihenfolge ausgeführt. Versuchen Sie es noch einmal von vorne.

In der Annahme, daß alles glatt verlaufen ist, gehen Sie zu

      http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

lesen Sie es, laden Sie sich den offiziellen Patch von Microsoft herunter und führen Sie ihn aus. Er schließt das Sicherheitsloch, das Kak ausnutzt. Nachdem Sie das getan haben, können Sie Ihre email-Sicherheit wieder auf die Internet-Zone zurücksetzen, aber das empfehle ich nicht!

Nach alledem werden Sie sicherlich eine oder mehrere Nachrichten in Ihren email-Ordnern haben, die den Kak-Code enthalten. Sofern Microsoft das Sicherheitsloch von dem Kak abhängt nicht mit einer zukünftigen Aktualisierung des IE wieder einführt, werden Ihnen diese Nachrichten keinen Kummer mehr bereiten, obwohl es nicht angebracht ist sie an andere zu versenden. Ich weise auch darauf hin, daß jegliche Kopie an Sie selbst die Sie behalten haben ebenfalls aktiven Kak-Code enthält. In Ermangelung eines Virenscanners, der OE email-Ordner durchsuchen kann, ist die einzige mehr oder weniger befriedigende Lösung für das Problem, daß Sie infizierte Nachrichten verschicken könnten, all Ihre Benutzeridentitäten so zu konfigurieren, daß Sie nur noch emails schicken die aus purem Text bestehen statt des HTML-Blödsinns, der bei OE Standardeinstellung ist. Daher ist das Einstellen von Text-emails eine sehr gute Idee. Um diese Einstellung komplett vorzunehmen, müssen Sie nicht nur unter Tools/Optionen/"Als Text verschicken" einstellen, sondern auch die Option "Nachrichten in dem Format beantworten, indem sie verschickt wurden" deaktivieren. Diese Option befindet sich ebenfalls im Dialog Tools/Optionen/Versenden.

Nick FitzGerald


Benutzer von Windows Millennium, bitte lesen Sie folgenden Hinweis:
Wenn Sie infizierte Dateien, die sich in den Ordnern _Restore\Temp oder _Restore\Archive befinden, nicht löschen oder säubern können, so lesen Sie dies.


- Ende der Anweisungen -


Einige von Ihnen fragen sich jetzt vielleicht...

"Wie kann ich meinen Computer in Zukunft schützen?"

Antwort: Klicken Sie hier für einige Tips!