Tipps & Tricks 17.07.2002, 19:30 Uhr

Loveletter hat JPG-Dateien gekillt

Ich habe mit meinem PC (WinME) via KaZaa Musikdateien kopiert und vermutlich den Virus VBS.LoveLetter.BD (Resume) eingefangen. Wie im Virenticker (16537.asp) beschrieben, hatte ich plötzlich Dateien mit dem im genannten Dokument abgebildeten Symbol (hellblau). Dabei wurden auf der Festplatte u.a. sämtliche Dateien mit .jpg mit der Bezeichnung .vbs ergänzt. Fotos mit ursprünglich 650 KB sind generell nur noch 11,8 KB. Mit dem Defender Virenscan habe ich festgestellt, dass sich der Virus über die gesamte HD verteilt hat. Meine Fragen: Sind die Daten noch zu retten? Wie kann ich meinen PC von diesem Virus befreien? Wie kann ich mich inskünftig mit geeigneter Software schützen, welche empfehlen Sie?
Die Abwesenheit eines gut gepflegten Virenscanners und zweitens (offenbar) das Fehlen einer Datensicherung: Dies zeichnet Sie nicht gerade als besonders sicherheitsbewusster Benutzer aus - gerade bei der Verwendung von Dateien aus unsicheren Quellen wie KaZaa ;-)
Das Wichtigste ist, dass Sie zuerst den Wurm loswerden, sonst kann den wenigen, noch zu rettenden Dateien das endgültige Aus drohen.
Benutzen Sie einen Virenscanner, der die infizierten Dateien löscht. Versuchen Sie es einmal mit Panda ActiveScan [1] oder TrendMicro Housecall [2]. Dies sind Programme, die Ihre Festplatte direkt ab einer Webseite auf Viren scannen können. Achten Sie auf die genaue Virenbezeichnung, welche Ihnen diese zwei Programme ausgeben und benutzen Sie auch die Nachschlagewerke dieser beiden Antivirus-Hersteller, um mehr zu erfahren. Vielleicht können Sie anhand dieser Information im Web (z.B. via Google oder in unserem Virenticker) noch weiteres herausfinden, bevor Sie mit der Schadensbegrenzung fortfahren.
Wenn Sie wirklich die "Resume"-Variante des Loveletter-Wurms haben, dann sollten Ihre Bilder noch da sein, denn VBS.LoveLetter.BD lässt diese Dateien in Ruhe. Sollten Ihre JPG-Dateien wirklich angegriffen worden sein, dann ist vermutlich eine andere Loveletter-Variante im Spiel, möglicherweise die Ur-Version. Oder Sie haben noch einen zweiten, weniger offensichtlichen Schädling, der sich der Bilder bemächtigt. Welcher dies sein könnte, kann Ihnen wiederum nur ein Virenscanner sagen.
Nach dem Entfernen der infizierten Dateien machen Sie die Änderungen rückgängig, die der Wurm in der Registry hinterlassen hat. Mit dem Hilfsprogramm von Symantec [3] sollte dies zu schaffen sein, immer noch unter der Annahme, dass es sich um einen klassischen Loveletter-Wurm handelt.
Ihre Bilder: Diese sind mit etwas Glück - zumindest teilweise - auf Ihrer Festplatte noch physikalisch vorhanden. Das hängt aber davon ab, ob Sie auf dieser Festplatte in der Zwischenzeit viel gearbeitet haben. Haben Sie einen Scandisk oder Defrag durchgeführt, sind die Wiederherstellungs-Chancen leider sehr gering. Auch ist es (in Unkenntnis der genauen Loveletter-Variante) unsicher, ob der folgende Tipp funktioniert:
Benutzen Sie das Hilfsprogramm ZEFRJPG.EXE, das Sie bei Claymania.com finden [4]. Erstellen Sie einen separaten, leicht wieder zu findenden Ordner, zum Beispiel "C:\JPEGS1\". Nun starten Sie Ihren PC ab einer Notfall-Diskette, auf welcher Sie noch die Datei ZEFRJPG.EXE platzieren. Starten Sie ZEFRJPG.EXE, indem Sie an der Eingabeaufforderung A:zefrjpg.exe eingeben. Zuerst werden Sie von diesem Programm aufgefordert, den Laufwerksbuchstaben anzugeben, von welchem die gelöschten JPG-Dateien zurückgeholt werden sollen. Geben Sie z.B. C: ein. Als nächstes tippen Sie den Pfad ein, in welchen die Dateien wiederhergestellt werden sollen, in unserem Beispiel ist dies: C:\JPEGS1. Hinweis: Falls der Backslash nicht funktioniert, versuchen Sie diesen mit AltGR-?, Shift-$ oder Alt-092 einzutippen.
Das Hilfsprogramm versucht nun, alle noch vorhandenen, aber als gelöscht markierten JPG-Dateien in diesen Ordner zurück zu kopieren. Die Dateinamen werden allerdings nicht übernommen, sondern werden mit Namen wie Z(Zusatz).jpg erscheinen. Falls Sie noch eine zweite bzw. dritte Partition bearbeiten wollen, verfahren Sie genau gleich, erstellen aber für jede Partition einen eigenen Ordner (z.B. C:\JPEGS2\, C:\JPEGS3\), sonst könnten die gerade wieder hergestellten Dateien gleich wieder durch gleichnamige überschrieben werden, die Sie von anderen Laufwerksbuchstaben zurückholen.
In Zukunft können Sie solche Ärgernisse verhindern:
Jeder einigermassen gute bzw. gut gepflegte Virenscanner hätte diese JPG-Katastrophe verhindern können. Die beiden bereits genannten Antivirus-Hersteller haben einfach zu bedienende Virenscanner. Ebenfalls für Heim-PCs zu empfehlen sind zum Beispiel Kaspersky Antivirus [5], Nod32 [6] und F-Prot for Windows [7].
Falls Sie Ihr Budget einschränken müssen, kann Ihnen auch das für Privatgebrauch kostenlose AntiVir [8] gute Dienste leisten.


Kommentare

Es sind keine Kommentare vorhanden.