Der lästige Ethan-Virus hat sich vermehrt

Auf einem unserer Testgeräte läuft Trend's PCCillin 6 mit Pattern Nummer 663. In dessen Virenbibliothek wird erwähnt, dass PCCillin Ethan-Dateien säubern kann. Falls Sie die gleiche Version haben, scannen Sie mit PCCillin ihre Harddisk. PCCillin wird Ihnen alle infizierten Dateien auflisten. Markieren Sie nun alle und klicken Sie auf "Clean".Die schädlichen Makros sollten nun verschwunden sein. Schalten Sie im PCCillin die Realtime-Protection ein und scannen Sie fortan jede Diskette (und CD), die Sie mit dem PC in Kontakt bringen. Verfahren Sie mit jedem gefundenen Ethan-File so, wie oben beschrieben. Markieren Sie eventuell jede erfolgreich gesäuberte Diskette auf dem Etikett mit einem grünen Filzstift-Kringel und versehen Sie sie danach mit einem Schreibschutz (Disketten-Schieber verstellen).

Ob Dateien, die durch Ethan unleserlich gemacht wurden, wieder hergestellt werden können, hängt vom Antivirus-Programm ab. Bei einem unserer Tests hat PCCillin den Ethan-Vorläufer "MarkerC" jedenfalls problemlos entfernen können. Da Ethan auch "bloss" ein Makro in den Word-Dokumenten ist, müsste dies auch bei diesem Plagegeist möglich sein. Vielleicht blockert das Antivirus-Programm bloss den Zugriff auf die verseuchten Dateien, bis sie gereinigt sind.

Höchstwahrscheinlich ist auf Ihrem PC auch die Word Standard-Vorlage NORMAL.DOT verseucht. Und diese ist es, welche jede andere Datei anstecken könnte. Löschen Sie sie, scannen Sie den ganzen PC nach Viren und lassen Sie die gefunden Viren vom Virenjäger (wie oben erwähnt) beseitigen. Word erstellt beim nächsten Start eine neue NORMAL.DOT. Schliessen Sie Word und scannen Sie die neue NORMAL.DOT nochmals.

Ihr PC sollte jetzt virenfrei sein, Ihr Datenbestand (auf Disketten oder ähnlichem) ist es aber noch nicht. Wo - aus welchen Gründen auch immer - kein Virenscanner eingesetzt wird, können Word-Dateien auch zuverlässig virenfrei gemacht werden, indem Sie folgenden Trick verwenden:

Nehmen Sie (auf dem virenfreien PC) in Word ein leeres Blatt. Klicken Sie auf Menü DATEI und Einfügen. Klicken Sie sich zum zweifelhaften Dokument durch und doppelklicken Sie es. Auf diese Weise werden Absatzformatierungen und Bilder beibehalten, aber alle darin enthaltenen Makros (und somit auch Ethan) entfernt. Speichern Sie die Datei unter einem anderen Namen und - wichtig - löschen Sie danach die Originaldatei, die den Virus enthält.

Auf den Webseiten vieler Hersteller von Antivirus-Programmen können Sie online lesen, was Ethan ist und tut. Beispielsweise in der Viren-Enzyklopädie von AVP [1] oder von F-Secure [2]. Leider beides nur in englisch.

Im Zweifelsfall ziehen Sie ein zweites Antivirus-Programm zu Rate. Wie in der Human-Medizin kann eine "Second Opinion" (zweite Meinung) auch dem PC nicht schaden. Sehr gute Virenjäger-Eigenschaften haben beispielsweise Kaspersky's AVP [3] oder Norman Virus Control [4]. Für Einzelplatz-PCs hat AVP das beste Preis/Leistungsverhältnis. Für Privatpersonen gäbe es da auch noch gratis die InoculateIT Personal Edition von Computer Associates (CAI) [5].

Zum Schluss: Fast alle modernen Antivirus-Programme bringen eine Realtime-Scan-Option mit. Das heisst, dass jede Datei geprüft wird, die ausführbaren Code beinhaltet. Das können Programmdateien sein oder Dokumente von Programmen, die Makros unterstützen. Wenn Sie zwei Virenscanner auf dem selben PC einsetzen, achten Sie darauf, dass Sie nur bei einem den Realtime-Scan einschalten. Sonst kann es sein, dass sich die beiden Programme gegenseitig auf die Füsse treten. Das Zweit-Programm setzen Sie am besten für regelmässige (wöchentliche) Komplett-Scans ein.

Natürlich sollten Sie Ihren Virenschutz auch wöchentlich aktualisieren. Via Web-Zugriff ist dies aber bei den hier genannten Programmen ein Leichtes.