Magistr-Virus entfernen

Leider erscheinen in Ihrer Anfrage ein paar Dinge etwas unklar. Ein Betriebssystem namens "Windows 2000 ME" gibt es nicht. Da Sie aber einen "_RESTORE"-Ordner erwähnen, gehen wir davon aus, dass Sie Windows ME (Millennium Edition) verwenden. Wichtig wäre zu wissen, welches Antivirus-Programm Ihnen die Infektion gemeldet hat. So könnten Sie in dessen Online-Virenbibliothek nachschlagen und nach einer Beseitigungsanleitung suchen. Sophos Antivirus [1] und Symantec (Norton) [2] bieten beispielsweise entsprechende Anleitungen gegen den Magistr-Virus an, allerdings nur in Englisch.

Ebenso sollten Sie ausfindig machen, ob die Dateien nun wirklich in diesem _RESTORE-Ordner (bzw. einem Unterordner davon) sitzen oder ob noch andere Ordner (z.B. der Windows-Ordner) davon betroffen sind. Sitzen die Dateien nur im _RESTORE-Ordner (oder _RESTORE/TEMP), dann gehen Sie so vor, wie im dritten Teil dieses Kummerkasten-Artikels [3] beschrieben. Dort geht es zwar nicht explizit um den Magistr-Wurm, aber der Weg, den _RESTORE-Ordner auszuräumen, ist genau der selbe.

Sollten ausser dem _RESTORE-Ordner von Windows ME noch andere Ordner betroffen sein, oder falls Sie eine andere Windows-Version benutzen, handeln Sie folgendermassen:

Scannen Sie Ihr System - alle Laufwerke und alle Dateien - mit einem frisch aktualisierten Virenscanner. Werden infizierte Dateien gefunden, versuchen Sie es mit der Reparatur-Funktion Ihres Virenscanners. Notieren Sie sich in jedem Fall die Namen aller infizierten Dateien, auch wenn der Virenscanner meldet, dass sie gereinigt werden konnten. Möglicherweise werden Sie diese Dateien ab Original-Windows-CD wieder herstellen müssen. Der Grund: Eine Datei, die von einem Virenscanner gereinigt wurde, entspricht nicht mehr der Original-Datei. Deshalb könnten mit desinfizierten Files Probleme auftreten, trotz angeblich erfolgreicher Reinigung.

Öffnen Sie nun die Datei WIN.INI, auf die Sie normalerweise im Ordner C:\WINDOWS treffen. In den ersten Zeilen der Datei finden Sie ungefähr dies:

[windows]

LOAD=

run=

Hinter "load=" und "run=" findet sich auf sauberen Systemen in der Regel kein Eintrag. Steht dort eine Datei oder ein Dateipfad drin, z.B. "c:\windows\dateiname.exe", dann entfernen Sie den Eintrag aus der Zeile, speichern und schliessen Sie die Datei WIN.INI.

Manchmal pflegt sich Magistr in die Windows Registry einzutragen. Starten Sie den Registry Editor über "Startmenü/Ausführen" und Eintippen von REGEDIT.

ACHTUNG: Eine Fehlmanipulation in der Registry könnte für Ihr System unliebsame Folgen haben. Bitte rühren Sie keine Registry-Schlüssel an, die hier nicht erwähnt sind. Erstellen Sie sicherheitshalber vorher ein Backup Ihrer Registry über den Menüpunkt "Registrierung/Registrierungsdatei exportieren".

Nun klicken Sie auf's Pluszeichen vor dem Schlüssel HKEY_LOCAL_MACHINE, damit die darin enthaltenen Zweige erscheinen. Klicken Sie jetzt darin:

- auf's Plus vor "Software", darin

- auf's Plus vor "Microsoft", darin

- auf's Plus vor "Windows", darin

- auf's Plus vor "CurrentVersion" und darin

- klicken Sie einmal direkt auf "Run".

In der rechten Fensterhälfte sehen Sie jetzt eine Liste von Einträgen. Vergleichen Sie diese Einträge mit Ihren Notizen (Liste der infizierten Dateien). Stimmt Pfad und Ordnername eines dieser Einträge mit einer infizierten Datei überein? Dann klicken Sie mit der rechten Maustaste auf den entsprechenden Eintrag in der rechten Regedit-Hälfte und wählen Sie im Kontextmenü den Punkt "Löschen". Dazu ein Beispiel: Vielleicht wurde beim vorherigen Komplett-Scan eine Datei mit dem Namen CFGWZ31.EXE als infiziert gemeldet, die in C:\WINDOWS\SYSTEM liegt. Wenn diese in der Registry in der rechten Fensterhälfte eingetragen ist, entfernen Sie den Aufruf, der in diesem Fall so aussehen würde:

CFGWIZ31=C:\WINDOWS\SYSTEM\CFGWZ31.EXE

Sollten Sie nicht sicher sein, ob der Eintrag wirklich auf eine Virendatei verweist, können Sie vorher über "Registrierung/Registrierungsdatei exportieren" auch noch den "Run"-Zweig ("gewählter Zweig") separat sichern, um ihn nötigenfalls durch einen Doppelklick auf die Sicherungsdatei wiederherstellen zu können.

Wie weiter oben erwähnt, könnte es sein, dass eine oder mehrere Dateien nicht zu reinigen sind oder dass einige nach einer Reinigung nicht mehr funktionieren. Wie Sie einzelne Dateien von der Original-Windows-CD wiederherstellen, lesen Sie in diesem Kummerkasten-Artikel [4], der dies unter Windows 98 am Beispiel der Datei SULFNBK.EXE zeigt.