Tipps & Tricks 03.09.2001, 11:30 Uhr

Seltsame Fortunecity/Plancolombia Startseite!

Ich arbeite mit Windows 98 und dem Internet Explorer 5.0. Als Startseite habe ich bluewin.ch definiert, seit einiger Zeit erscheint aber beim Öffnen des Internet Explorers nicht mehr bluewin.ch sondern «http://members.fortunecity.com/plancolombia/linux 321.zip-Microsoft Internet Explorer» oder «www.fortunecity.com/error/error404.html». Nach dem Aufstarten des PC rattert die Festplatte auch einige Zeit weiter. Hoffentlich hat sich kein Trojaner auf meiner Festplatte eingenistet. Ich verstehe leider nicht so viel von PC und Internet, meine (erwachsene) Jungmannschaft surft und chattet auch auf diesem PC, sodass dieses Problem ev. dadurch entstanden sein könnte. Ich wäre sehr froh, wenn Sie mir mit einfacher Erklärung weiterhelfen könnten.
Es sieht leider tatsächlich so aus, als hätte sich ein Schädling auf Ihrem System eingenistet. Der Colombia-Wurm [1] pflegte jeweils Dateien von der erwähnten Seite bei Fortunecity herunterzuladen. Da die Page möglicherweise wegen der Virenaktivität durch den Provider geschlossen wurde, sehen Sie den 404-Fehler. Dieser "Error 404" erscheint jeweils, wenn eine Seite nicht erreichbar ist.
Der Colombia-Wurm ist übrigens ein "Loveletter"-Nachfolger und auch schon relativ alt: Er wurde im Oktober 2000 erstmals entdeckt. Alle Virenscanner sollten die infizierten Dateien problemlos entdecken. Um den Virus loszuwerden, gehen Sie wie folgt vor:
Scannen Sie Ihr System z.B. mit TrendMicro Housecall. Dies ist ein Virenscanner, den Sie direkt ab TrendMicros Webseite [2] starten können. Lassen Sie alle Dateien löschen, die Housecall als infiziert meldet.
Der Colombia-Wurm schreibt auch Einträge in die Windows Registry, also in die "Schaltzentrale" von Windows. Um die vom Wurm gemachten Einträge zu entfernen, surfen Sie bei der Virenbeschreibung von Norman [3] vorbei. Fahren Sie auf der Norman-Seite soweit herunter bis Sie zum Abschnitt "Removal of the virus" gelangen. Klicken Sie mit der rechten Maustaste auf den Link "right clicking this link" und wählen Sie im Kontextmenü den Befehl "Ziel speichern unter". Legen Sie die Datei namens "remloveas.reg" am besten auf dem Windows Desktop ab. Schliessen Sie alle Browserfenster und doppelklicken Sie die Datei. Jetzt erscheint wahrscheinlich eine Dialogbox mit dem Text "Sollen die Informationen in C:\WINDOWS\DESKTOP\REMLOVEAS.REG in die Registrierung hinzugefügt werden?". Diese Meldung bestätigen Sie mit einem Klick auf JA.
Dieser Registry-Fix von Norman entfernt die von diesem Wurm angelegten schädlichen Einträge aus der Windows Registry und setzt die Startseite des Browsers auf "leer" zurück. Nun können Sie die Bluewin-Seite wieder als Startseite definieren.
Wahrscheinlich hat jemand an diesem PC eine Mail-Beilage geöffnet, die diesen Wurm enthielt. Daraufhin wurde der PC angesteckt. Sie sollten sich ein gutes Antivirus-Programm zulegen und dieses regelmässig aktualisieren. Da auch Virenscanner bisweilen nicht alles sehen, sollten Sie Ihrer Jungmannschaft die wichtigste Regel einhämmern: Jede Mail-Beilage, egal von wem sie kommt, egal was im Mailtext steht, ist so lange verdächtig, bis sich das Gegenteil herausstellt.



Kommentare
Es sind keine Kommentare vorhanden.