Nach Magistr-Virenbefall: Wo ist die DLL?

Leider haben Sie die Fehlermeldung nicht wörtlich wiedergegeben, denn hier würde uns zumindest der Name der DLL-Datei helfen. Anhand dieser Info könnten wir ausfindig machen, ob eine Datei dieses Namens zu einer normalen Windows95-Installation gehört, in welchem Ordner dieses File liegen muss und wie Sie diese allenfalls wiederherstellen. Auch fehlt hier die Information, ob es McAfee war, der Ihnen den Namen des Virus (Magistr) genannt hat und ob dieser bereits verseuchte Dateien isoliert, gereinigt oder gelöscht hat.

Was höchst wahrscheinlich passiert ist:

Der Magistr-Virus hat eine solche DLL-Datei infiziert (oder eine infizierte Datei erstellt). Diese hat er wohl in der Datei SYSTEM.INI, WIN.INI oder in der Windows Registrierdatenbank (Registry) so eingetragen, damit die Datei bei jedem Windows-Start geladen wird. Hat nun ein Virenscanner die DLL entfernt, steht der Eintrag jedoch immer noch in in den genannten Dateien. Da Windows die Datei nicht mehr findet, erscheint eine entsprechende Fehlermeldung.

Unser Rat: Öffnen Sie erst die Datei SYSTEM.INI, die Sie im Ordner C:\Windows finden. Die ersten beiden Zeilen dieser Datei (im Bild schwarz markiert) sollten so lauten:Wenn in der selben Zeile hinter "Explorer.exe" noch etwas steht, löschen Sie jene Zeichen, damit die Shell-Zeile genau wie im Bild lautet. Speichern und schliessen Sie die Datei.

Öffnen Sie auch die Datei WIN.INI (auch aus C:\Windows) und achten Sie darauf, dass in den Zeilen hinter "Load=" und "Run=" keine Einträge stehen, also wie in diesem Bild:Sind welche da, löschen Sie diese, speichern Sie die Datei und schliessen Sie sie.

Starten Sie den PC neu, um herauszufinden, ob die Fehlermeldung weg ist, was jetzt eigentlich der Fall sein sollte. Wird das Fehlen der DLL-Datei beim nächsten PC-Start immer noch bemängelt, wird's etwas schwieriger. Falls Sie mit dem Editieren der Windows-Registry nicht vertraut sind, sollte dies besser eine Fachperson übernehmen, denn eine Fehlmanipulation könnte höchst unliebsame Folgen für Ihr System haben.

Gehen Sie zu "Start/Ausführen", tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Nun wird der Registrierungs-Editor gestartet. Darin sind die Einträge ordnermässig gegliedert: Ein Klick auf das Plus-Zeichen eines Zweiges öffnet die darunterliegenden Zweige usw. Gehen Sie zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Klicken Sie darin in der linken Fensterhälfte den Eintrag "Run" an (im Bild bei Ziffer 1 eingerahmt).Ob Sie am richtigen Ort sind, erfahren Sie, wenn Sie jetzt unten in der Statuszeile (bei Ziffer 2 eingerahmt) diesen Wert sehen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

In der rechten Fensterhälfte schauen Sie in der Spalte "Wert" (siehe Pfeil), ob in der Liste der Name der DLL-Datei erscheint, die Ihnen Windows jeweils beim Systemstart als fehlend meldet. Um die Einträge ganz zu sehen, können Sie das Registry-Fenster und die einzelnen Spalten auch per Maus etwas breiter ziehen. Haben Sie den Dateinamen entdeckt? Dann klicken Sie mit der *rechten* Maustaste auf die Zeile und wählen Sie im Kontextmenü den Befehl "Löschen". Zum Schluss schliessen Sie den Registristrierungs-Editor wieder und starten Sie den PC neu.

Erscheint die Meldung immer noch, dann fehlt tatsächlich eine Systemdatei. Um Ihnen da rauszuhelfen, müssten wir aber - wie anfangs erwähnt - den genauen Dateinamen erfahren.

Scannen Sie danach den PC auf jeden Fall noch einmal gründlich nach Viren, ev. verwenden Sie dazu noch einen zweiten Virenscanner, z.B. F-Prot für DOS [1] oder jene Virenscanner, die Sie direkt ab einer Webseite starten können, wie Housecall von TrendMicro [2] oder ActiveScan von Panda [3].