Tipps & Tricks 17.08.2000, 21:45 Uhr

Übereifriger Kammerjäger?

Nach einem kompletten Virenscan bemängelt mein Antivirenprogramm (AVP Gold-Version) eine *.DAT Datei im Ordner C:\Programme\Agent\Data. Soweit ich sehe, betrifft dies mein Newsgroup-Programm «Forté Free Agent». Angeblich ist die Datei mit «Kak» infiziert. Desinfizieren klappte nicht. Bisher dachte ich, dass sich dieser Virus nur über E-Mails verbreitet. Soll ich die Datei ganz löschen lassen? Ist das ein falscher Alarm? Kann ich AVP diese Macke austreiben?
Da können Sie AVP [1] vertrauen: Ihr Virenscanner tut seinen Job. Löschen Sie die betreffende Datei aber bitte nicht! In den DAT-Dateien im Ordner "C:\Programme\Agent\Data" sind Ihre Usenet Messages abgelegt. Sie würden beim Löschen zuviel verlieren. Manche Benutzer posten ihre Nachrichten z.B. mit Outlook Express im HTML-Code. Stammt die Message von einem PC, der mit diesem Script-Wurm verseucht war, hat sich der VBS/Kak-Wurm [2] offenbar in diese HTML-Message eingebettet. Manche Möchtegern-Hacker stellen Viren-Code auch absichtlich in Usenet Newsgroups. Über Ihr System brauchen Sie sich aber kaum Sorgen zu machen, da Sie den Forté Agent als Newsreader verwenden, der glücklicherweise keine Scripts verarbeitet. Was aber bleibt, ist der Virenalarm, den Sie auch ohne Löschen der Datenbank eliminieren können.
Sie liegen in diesem Punkt goldrichtig: Auch AVP kann eine einzelne verseuchte Usenet-Message nicht automatisch aus der Datenbank Ihres Newsreaders entfernen. Normalerweise zeigt AVP immerhin den Namen des Absenders oder zumindest das Datum und die Zeit der fraglichen Nachricht an. Schalten Sie AVP über den Rechtsklick in der Taskleiste vorübergehend aus. Öffnen Sie Forté Agent. Entweder suchen Sie nun nach dem Namen des Absenders dieser Message oder Sie sortieren die Nachrichten nach Datum. So können Sie die betreffende Nachricht herausfinden. Rechtsklicken Sie diese und wählen Sie im Kontextmenü "Delete Body". Die Nachricht mit dem schädlichen Code wird aus dem Index entfernt. Lesen Sie weiter, denn ohne den nächsten Schritt wird AVP nicht locker lassen:
Nun kann es sein, dass die Nachricht bereits "gepurged" ist. Das heisst, dass sie zwar aus dem Newsreader-Index gelöscht, aber als Code noch in der Datenbank vorhanden ist. Oder Sie haben soeben den Body-Text - wie oben beschrieben - entfernt. Unter dem Menü "File" wählen Sie "Compress Database". Dies wird die Nachrichten definitiv löschen, die vorher lediglich aus dem Index entfernt wurden. Und danach haben Sie Ruhe. Vergessen Sie jetzt nicht, AVP über das Symbol in der Taskleiste wieder einzuschalten. Scannen Sie den Agent-Ordner erneut.
Was den Kak-Wurm betrifft, können wir eines nicht oft genug wiederholen: Alle Benutzer von Internet Explorer, Outlook oder Outlook Express sollten unbedingt den Microsoft Patch [3] installieren, der die automatische Infektion mit dem VBS/Kak-Wurm verhindert, egal ob das Script via Browser, Mail oder Usenet hereinschneit.


Kommentare

Es sind keine Kommentare vorhanden.