Hallo Kerstin!

ich glaub ich hab mir gestern ein Virus auf meinem PC eingefangen. Ich hab ne Datei per Mail bekommen, die hieß DOCS.DOC.pif glaub ich. Zumindest DOCS.DOC stimmt. Nach dem öffnen (ich weiss ich bin doof) geht mein Outlook Express nicht mehr und Programme stürzen öfters ab. Kann mir einer einen Tip geben, wie ich das wieder in Ordnung bringen kann??? ;-( Bitte.

Die doppelte Dateinamenerweiterung deutet auf 2 möglich Virenfamilien: SIRCAM und Badtrans.

Die doppelte Dateinamenerweiterung entsteht bei SIRCAM zum Beispiel so, indem der Virus, meistens vom Ordner "Eigene Dateien" des infizierten Rechners in der Regel eine zufällig ausgewählte .doc-Datei holt, mit sich selbst infiziert, und die Erweiterung einer ausführbare Datei hinzufügt. Bei Usern, die an der Konfiguration ihres PC nichts geändert haben und Windows im Orgininalzustand gelassen haben, sehen diese die Dateinamenerweiterungen nicht, da diese bei M$-Windows per default ausgeblendet werden. Wenn die Mail kommt, sehen sie also nicht: blahfoo.doc.pif, sondern blahfoo.doc, und denken an eine DOC-Datei, anstatt sich zu wundern warum auf einmal .doc zu sehen ist, obwohl die Dateinamenerweiterung bei ihnen ausgeblendet ist ;-)

Über Badtrans haben wir bereits hier gesprochen: <?m=6596&t=964) und [link:?m=6727&t=1101>. Badtrans, wie auch Nimda, der nach dem gleichen Prinzip funktioniert, führt den Code des Attachements bereits beim Betrachten der Mail im Vorschaufenster aus, da er die angehängte Datei mittels JavaScript oder HTML-Code aufruft. Um die ausführbare Datei zu öffnen (.pif, .bat, .com, .exe aber auch Bildschirmschonerdateien .scr), deren Aufruf sonst zu einer Abfrage führen würde, wird diese im Quelltext der Mail als wav-Datei deklariert (Content-Type: audio/x-wav;), was den MediaPlayer aufruft, der dann die infizierte Datei öffnet.

Du findest alle nötigen Informationen auf den McAfee-Seiten:

http://vil.mcafee.com/default.asp? Hier ist ein Eingabefeld wo Du nach SIRCAM, Nimda, Badtrans und andere Viren suchen kannst.
http://vil.mcafee.com/dispVirus.asp?virus_k=99141& SIRCAM
http://vil.mcafee.com/dispVirus.asp?virus_k=99209& Nimda
http://vil.mcafee.com/dispVirus.asp?virus_k=99069& Badtrans

Suche auf Deinem PC nach den Dateien:

SCam32.exe und Run32.exe (SIRCAM)
load.exe (Nimda)
kernel32.exe (badtrans)

Wenn eine von denen gefunden wird, weißt Du, welcher Virus Deinen Rechner infiziert hat.

Ich weiß nicht, ob es reicht, die vom Virus hinzugefügten Dateien zu löschen und die Registry-Einträge zu entfernen. In so einem Fall ist format c: die bessere und sicherste Lösung. Wie Du vorher Deine Emails sicherst, auch das haben wir hier besprochen: <?m=6561&t=1069>.

Na dann, viel Spaß... ich denke, Du wirst jetzt etwas Beschäftigung haben... :-(

Ach ja, nach dem Reinstallation zuallererst Windows Update besuchen, alle Sicherheitsupdates sowie IE 5.5 SP2 downloaden (oder IE6). Die mitgelieferte Outlook Express-Version fragt auch bei solchen Dateien ab, bevor die Datei geöffnent werden soll. Ansonsten, bei Outlook Express das Vorschaufenster deaktivieren (unter Ansicht/Layout): so wird kein Code direkt beim Markieren der Mail ausgeführt, da diese dann nicht gleich angezeigt wird.

Dann ist ein guter Virenscanner nötig (zu empfehlen sei hier der kostenlose AntiVir http://www.antivir.de), den man aber auch regelmässig updaten muss (kann man direkt vom Programm aus online machen). Regelmäßig heisst in solchen Krisenzeiten, in welchen man mit Viren regelrecht bombardiert wird: alle 2 Tagen.

Patrick