Im Testfeld waren 446ITW-Virendie ein guter Scanner beziehungsweise Virenwächter mühelos finden sollte. Dazu gesellten sich 8 gefährliche ActiveX-Controls, 788Backdoorsund 813 sonstige gefährliche Programme - sprich:Trojanische Pferde.

Zur Reinigung mussten die Scanner zunächst gegen den Wurm (siehe Glossar) Win32/Pretty_Park und das Backdoor-Programm SubSeven antreten. Zur Entfernung dieser Schadprogramme genügt es nicht, die dazugehörigen Dateien einfach zu löschen. Zusätzlich muss ein Eintrag in der Registry geändert werden, um die digitalen Schädlinge erfolgreich zu entfernen. Andernfalls lassen sich keine EXE-Dateien mehr starten, wie ein früherer Test ("Virenscanner kapitulieren vor Pretty_Park und SubSeven") beweist.

Beim Win32/Ska, auch unter dem Namen Happy99 bekannt, ist bei einer Reinigung darauf zu achten, dass die Datei WSOCK32.DLL modifiziert wird, die unter anderem wichtig ist, um das Internet benutzen zu können. Diese Datei muss bei einer Reinigung entweder von der Windows-Installation-CD oder in der vom Wurm angelegten Sicherheitskopie WSOCK32.SKA wiederhergestellt werden. Ansonsten können Probleme auftreten, da mitunter keine Mails mehr verschickt werden können.

Viele kennen noch den Win32/CIH oder von den Medien oft "Tschernobyl" genannten Virus, der 1998 zum ersten Mal auftrat und sich am 26. April dadurch bemerkbar macht, dass er auf infizierten Rechnern das Flash-BIOS einiger Mainboards löscht. Er ist immer noch sehr weit verbreitet. Denn ist er erst einmal im Arbeitsspeicher aktiv, infiziert er jede auch nur zum Lesen geöffnete Datei. Um hier Punkte zu erlangen, musste der Scanner den Virus zunächst im Speicher deaktivieren, um anschließend den Virus auf der Festplatte bei einem Scanlauf auch entfernen können.

Weniger kritisch die Desinfektion des Qaz-Wurmes: Bei einer Infektion benennt er die NOTEPAD.EXE in NOTE.COM um und nistet sich selbst als NOTEPAD.EXE im System ein. Die Entfernung ist einfach: auch wenn viele der Testkandidaten daran scheiterten: Die infizierte NOTEPAD.EXE muss nur gelöscht und die Datei NOTE.COM wieder nach NOTEPAD.EXE umbenannt werden. Zusätzlich sollte der vom Wurm angelegte Schlüssel in der Registry entfernt werden.

Das Gesamtergebnis errechnet sich 1:1 aus den Einzelergebnissen für ITW-Viren (Scanner), ITW-Viren (Wächter), ActiveX-Controls, Backdoors, Trojanischen Pferden und der Reinigung von aktiven Viren.

PC-WELT Marktplatz

32752