ACHTUNG: Diese Datei wird nicht mehr gepflegt und upgedatet!


$Id: virscan.txt,v 1.11 2018/02/07 19:00:10 ralph Exp $

   ___                _ _                                 _      _       _
  | __|_ ___ __ _____(_) |_ ___ _ _ _  _ _ _  __ _ ___ __| |__ _| |_ ___(_)
  | _|| '_\ V  V / -_) |  _/ -_) '_| || | ' \/ _` (_-</ _` / _` |  _/ -_) |
  |___|_|  \_/\_/\___|_|\__\___|_|  \_,_|_||_\__, /__/\__,_\__,_|\__\___|_|
                                             |___/
                    __   ___     ___                 ___ _
           ____  _  \ \ / (_)_ _/ __| __ __ _ _ _   | _ \ |_  _ ___
          |_ / || |  \ V /| | '_\__ \/ _/ _` | ' \  |  _/ | || (_-<
          /__|\_,_|   \_/ |_|_| |___/\__\__,_|_||_| |_| |_|\_,_/__/



Erweiterungsdatei zu VIRSCAN.DOC
--------------------------------

Inhalt:
        * Bootviren, die VirScan entfernen kann
        * Dateiviren, die VirScan entfernen kann
        * Virenkiller von anderen Autoren
        * ROSE SWE's Wildlist
        * Hufig gestellte Fragen (FAQ) zu VirScan Plus und Computerviren
        * Mark Jovalekic's Virenkalender
        * kleiner Virenstammbaum
        * Mein PGP-Key
        * rechtliche Dinge zu Computerviren

Die letzte aktiv gepflegte Antivirensoftware fr DOS?
    VSP -> http://www.amdtown.com/ZPR7D4EP/
        -> http://computer.51itpx.com/Fehlerbehebung/Computer-Viren/Wie-Entfernen-eines-Virus-von-PC-DOS-Modus-.html


Viren, die VirScan Plus entfernen kann:
---------------------------------------

      Keine Gewhr ob VirScan diese Viren einwandfrei entfernen kann.
          Hintergrund:  Es tauchen laufend neue Viren auf, die VirScan
          als "xy"-Virus erkennt, aber VirScan kann, falls dieser Virus
          modifiziert wurde, ihn natrlich nicht korrekt entfernen.
      Also:  die Anwendung der Kill-Funktion geschieht auf Ihr eigens
      Risiko!
  

1.) Bootviren und Partitionstabelle-Viren:
------------------------------------------

Zustzlich erkennt VSP anhand seiner AVR-Module noch weitere 110 Bootviren,
die hier jedoch nicht aufgelistet sind, jedoch teilweise entfernt werden
knnen.

  3APA3A                        AMSE
  ASBV                          Aircop
  Aircop.B                      Alberta
  Andrew                        AntiExe
  Api                           Aragorn
  Avalanche                     Azusa
  Beeder                        Beryllium
  Big Italian                   Boot?:010895
  Boot_437                      Brain
  Brain.Ashar                   Brain.Ashar
  Brain.Ashar                   Brunswick
  Buhr                          Bye
  Cannabis                      Cansu
  Chance                        Changu Mangu
  Chaos                         Chinese_Fish
  Christmas (Zapped)            Civil_Defense.A
  Civil_Defense.B               Crazy_Boot
  Curse                         Dallas_Boy's.A
  Dallas_Boy's.B                DelCMOS
  DelWin                        Denzuko
  Denzuko                       Denzuko
  Disk_Killer                   Disk_Killer
  Doctor                        EDV
  ExeBug                        ExeBug
  Falling_Letters               Falling_Letters
  Fat_Avenger                   Fifteen_Years
  Filler                        Flip
  Flip                          Form
  Form                          Form
  Galicia                       Generic Part
  Ginger                        Golden Gate.A
  Golden Gate.B                 Gullich
  Hacker                        Hacker
  Help Me                       Hippie
  Horse Boot                    Implant
  Implant                       India
  Int13                         Int40h
  J&M                           J&M.B
  Jerusalem.AntiCad             Jerusalem.AntiCad
  Joshi A                       Joshi B
  Jumper                        Jumper
  Junkie                        Junkie.Boot
  Kampana                       Kampana
  Kampana                       Keydrop Boot
  Keytrick                      Korea
  LDV                           Lao_Doung
  Lao_Doung                     Lao_Doung
  Leszop                        Loa_Duong
  LoveChild                     Marti Bros
  MicroDot                      Micro_Cops
  Micro_Cops                    Microbes
  Misis                         Moloch
  Monkey.B                      Mordor
  Mr. DoDo                      Murgas
  MusicBug                      NJH-LBC
  NYB                           Nail
  Natas                         Natas
  Natas.4826                    Natas.4988
  Neardark                      Neuroquila
  Nichols                       NoInt
  NumLock                       Ohio
  OneHalf                       One_Half.3570
  PG                            Parity_Boot.A
  Parity_Boot.B                 Pentagon
  Peter                         Peter
  PingPong                      PingPong
  PingPong                      Pow
  Predator_II                   Print_Screen
  Print_Screen                  Print_Screen
  Quox                          Ripper
  Rps                           Rsy
  Russian_Flag                  SVC 6.0
  SVS.B                         Saigon
  Sailor                        Sapta
  Satria                        SeeYou.B
  Sex666.Crusher                Shrapnel.MBR
  Sigalit                       Sigalit
  Smiley Worm                   Smiley_Boot
  Stealth_Boot                  Stealth_Boot
  Stealth_Boot.KOH              Stoned
  Stoned                        Stoned
  Stoned                        Stoned.ArcHub8a
  Stoned.B                      Stoned.Bloody!
  Stoned.C                      Stoned.D
  Stoned.E                      Stoned.Empire
  Stoned.Empire B               Stoned.Empire.A
  Stoned.Empire.Canadia         Stoned.F
  Stoned.G                      Stoned.June_4th
  Stoned.MS-PC-AT               Stoned.Marihuana
  Stoned.Michelangelo           Stoned.Michelangelo
  Stoned.Swedish                Stoned_8
  Suda Ada                      Swap
  Swiss_Boot                    TPVO
  Tchechen.1912                 Tequila (Partition)
  Tiso                          Tiso_II
  Tony_Boot                     Tony_Boot
  Tornado                       TrackSwap
  Tremor                        Tremor
  Twelve Tricks                 Urkel
  Volga                         WelcomeB
  Whirl                         Windmill
  Windmill                      Yale
  Yale                          Zapper


2.) Fileviren:
--------------

  1701 Yap, 1704 Yap, 1701 Mutation, 1704 (B) Cascade und 1701 Cascade
  Barrotes.1310.A-F
  Burglar.1150
  Butterfly.Butterfly, Butterfly.Crusades und Butterfly.FJM
  Byte Warrior I und II (Vienna.Pose)
  Dark Avenger und Murphy (Hinweis im Programm beachten)
  Delwin.1759
  Fifo.300
  Imperial_Probe v1.07
  Jerusalem und Verwandte (Hinweis im Programm beachten)
  MMIR.Red_Mercury (erfordert externen Killer)
  Major.1664 (A-C), Major.1691
  Neuroquila A/B
  Nightfall (6 Varianten)
  Pieck.4444 A/B
  Predator (10 Varianten)
  Spanska.4250 (A-E)
  Suleiman.692
  Taipan.438 und Taipan.Doom2
  Tiny.CPP'93
  Tremor.4000 A-C
  UPS.1155
  USSR (Hinweis im Programm beachten)
  Vienna & Lisbon (unsicher, da viele modifizierte Varianten existieren)
  Vienna.AntiVir.970
  Vienna.Parasite.486
  Werewolf.1500.b, 1450, mehrere Varianten
  Whale (Hinweis im Programm beachten)
  Yankee Doodle/Vacsina (Hinweis im Programm beachten)

>>        ca. 70 Prozent ALLER COM Viren knnen mit dem universellen Killer
>>        RVK entfernt werden!


  Folgende "Companion"-Viren knnen durch einfaches Lschen entfernt
  werden:

    Acme, AIDS II, Clonewar, Com16850, Little Brother 299, LZ, Nuke GV,
    TPWorm, Triple Shot, Pearl Habour, ANNI.Spawn, Vote, Krad, HellSpawn,
    Trinity.GIFVir(), GoldBug(), Betty, Neuroquila.Companion(),
    ViroGen.711, Offspring.05, NewYear.398, HLLC.*

Ferner stehen fr folgende Viren externe Killer zur Verfgung:

        _1479 (New Keypressed)
        164.B
        Barrotes.1310.A-F,G,H, unknown
        Burglar.1150
        Dark_Avenger.Slowdown
        Delwin.1759
        DIR-II  (1024, Cluster-Virus)
        Ear.Interceptor
        Form
        Holms
        Jerusalem.1808
        Junkie
        Kaczor.4444 (Pieck)
        Level_3
        MMIR.BinObsession
        MMIR.RedMercury
        Maaike
        Neuroquila (A, B, N8Fall.A, N8Fall.B und Companion)
        One_Half (3544 & 3577)
        Predator
        Quicky
        SMEG:Pathogen
        SMEG:Queeg
        SVL 1.2 (aka Slowakia.3584)
        Scitzo
        Spanska.4250
        Stoned-Famile
        Stoned.Monkey & NoInt (Boot)
        Tremor (A - C)
        UPS.1155
        VTech 4.0
        Vienna.Bua (Big CaiBua)
        Werewolf.1450,1500
        WXYZ
        v101


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++ DIE "WILDLIST" +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  Viren, die in Deutschland in freier Wildbahn entdeckt wurden.

  Folgende Viren treten besonders stark auf (alphabetisch sortiert)

;----------[ Infektionen, mit mindestens drei Zusendungen durch Kunden ]-----
             (oder mindestens 20 Infektionen protokolliert durch RIMC)

   ASBV.921             (Sddeutschland, aka Mephisto.921 oder Swiss.921)
   ASBV.Boot
   AntiCMOS.A
   AntiEXE.A
   Argyle               (Evolution)
   Arusiek.817
   Barrotes.1310.A
   Boot-437
   BootEXE.451
   Burglar.1150.A
   Butterfly.302.A
   Cascade.1701.A
   Cascade.1701.W
   Cascade.1704.A
   Cascade.1704.AC
   Checkbox.936
   Chemnitz.765
   Civil_Defense.6672   (Versionen 6672.A und 6672.B - [Version 3.3])
   DMSetup.A Trojan
   DMSetup.C Trojan
   DMSetup.D Trojan
   DMSetup.E Trojan
   DMSetup.F Trojan
   DMSetup.G Trojan
   DMSetup.H Trojan
   Delwin.1199
   Delwin.1759
   Dir-II.A             (Creeping Death, Cluster)
   Emperor.5826
   F-Soft               (drei Varianten)
   Flip.2153.A
   Flip.2153.E
   Form.A
   Form.C
   Form.G
   HLLP.Weed.3623       (und teilweise die 4xxx Varianten)
   HWF.937
   Hallchen.2011
   Honecker Trojan      (HLLC.Honi.A-C - DOSINFO - ehm. DDR)
   IRC-Worm.14848 Trojan
   IRC-Worm.33540 Trojan
   Jerusalem.1808.Dashes
   Jerusalem.1808.Exciter
   Jerusalem.1808.Periods
   Jerusalem.1808.Standard
   Jerusalem.1808.umsDos
   Jerusalem.AntiCad.3012
   Jerusalem.AntiCad.4096.A
   Jumper.B
   Junkie.A
   Kaczor.4444.A
   Kaczor.4444.B        (Piek)
   Kerstin.923
   MMIR.Red_Mercury     (RedSector, EatThis)
   Major.1644.a
   Manzon.1414
   MediaMarkt.1511      (Markt)
   Mirc.Jeepwarz.3072
   Mirc.Jeepwarz.3160
   Mirc.Unable.1267
   Mirc.Whacked.388
   Mirc.Whacked.421
   Mirc.Whacked.512
   Mirc.Whacked.Jeepwarz.2048
   MusicBug
   Natas.4744.A
   Neuroquila.A/B
   Nightfall.*          (alle Varianten)
   No_of_the_Beast.A
   One_Half.3544.A
   One_Half.3577.A
   PS_MPC/G2            (Weizenbier u.a.)
   Parity_Boot.A
   Parity_Boot.B        (ca. 60 %)
   Parity_Boot.ENC      (NewBoot1/Quandary)
   Pieck
   Quicky.1376          (V.1376/Quicksilver)
   Reverse.A            (Red Spider)
   Ripper               (Jack_the_Ripper)
   SPE:Alive
   SPE:Homunculus
   Scitzo.1329
   Seventh_Son.302
   Sirius.547           (Hello, Hexametricx, VFAC, Eumels & Annihilator)
   Spanska.4250.A
   Stoned.Angelina
   Stoned.Michelangelo
   Stoned.Monkey.B
   Stoned.Noint.A
   Stoned.Standard.A
   Suleiman.692
   Sybielle.853
   Tai-Pan.438.A        (Whisper)
   Tai-Pan.666          (Whisper, Doom 2)
   Tequila.2468.A
   Three_Tunes
   Tiny.CPP.239
   Tremor.4000.A
   Tremor.4000.C
   V-Sign               (Cansu)
   VBS.Freelinks.A
   VBS.LoveLetter.A
   VBS.Millenium.A (corrupted-2560)
   VBS.Tune.B
   VBasic.5120.A
   VBasic.5120.C
   VCL                  (Vega, Dumb u.a.)
   Vacsina.1206
   Vacsina.TP.5.A/Unk   (Vacsina 1339)
   Vienna.648.Reboot.A  (der Klassiker...)
   Vienna.AntiVir.724
   Vienna.AntiVir.970   (Born.970)
   Vienna.BloodSpill.666
   Vienna.FHAS.486      (Vienna.486)
   Vienna.Pose.1155     (ByteWarr.1155)
   Vienna.Pose.1164     (Byte Warrior)
   W97M.Coldape.A
   W97M.Melissa.A
   WM.Cap.A
   WM.NOP.A
   WM.NPad.A
   Weizen.471           (Weizenbier)
   Weizen.472
   Werewolf.1500.b
   Wet.A
   Whiskey.372
   Whiskey.382
   Win95.Anxiety
   Win95.CIH.1003
   Win95.CIH.1019.A
   Win95.Ska            (Happy99.10000)
   X97M.Laroux.A
   X97M.Laroux.AE
   X97M.Laroux.E
   XF.Paix.A
   XM.Laroux.A
   Yankee_Doodle.Login
   Yankee_Doodle.TP.44.A                (ehm. DDR!)
   Yankee_Doodle.XPEH
;--------------------[ ab hier nur noch Infektionen, die einmalig waren ]---
   Alphastrike.2000
   BW.Anger.812
   BatchComp Trojan
   Born.970
   Byway.A
   Cluster
   Digits
   Ear.1700
   Eastern_Digital.1600.A
   Emnity.803
   Explosion.1000
   Fido.300
   Gnat
   HLLP.Hooters
   Harmware
   Immense.3032
   Imperial_Probe
   Jumper.C
   Keypress.1479
   MadeFor.1168
   Megachirops.516      (Cryptor 1.07/Cryptor M2)
   Monte_Carlo.1541
   MtE.Pogue.3017
   Nostradamus.3564                (Grief)
   Ontario.512
   Pojer
   Predator.McFly
   Quit
   Quox
   SPE:Alive.001
   SPE:Alive.003
   Sampo
   Satan.616
   SideWinder
   Spanska.4250.B
   Spanska.4250.E
   Spirit
   Tentacle_II          (Shell)
   Teraz.2717           (_2717b)
   Tony_Boot.A
   Traka.1471
   Trivial              (diverse, jedoch ITW Faktor=?)
   Trojector.1561
   UPS.1155
   VBS.Hammer.A
   VBS.Zulu.A
   VBS.Zulu.D
   VCL.458
   VCL.Infill
   Vienna.Bua
   Vienna.Pose.1155     (Byte Warrior 2)
   Vietnow.577
   Virogen.1560
   Virogen.1700
   Virogen.Pinworm
   WM:Minimal.B
   WM:Minimal.X
   WM:Wazzu.Q
   Wicsonsin.825.A
   Windows "!" Trojan
   Wordz
   XRes.636
   _2062
;---------------------[ nicht klassifiziert ]---------------------------------
   Boot-Virus: unk.
   Boot-Virus: Stoned.Kiev?
   Boot-Virus: Boot? (XXX.EXE)

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++ DIE "WILDLIST" AUS KOREA +++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 In the Wildlist / in South Corea (aus dem Mag CVC-1) :-))

 Angelina                       Boot
 AntiCMOS.A                     Boot
 AntiEXE                        Boot
 Assassin_Boot.A                Boot        Corea
 (SVS_Boot.A)
 Boot-437                       Boot
 BootEXE.451                    Multi
 Burglar.1150                   File        Corea
 Da'boys                        Boot
 Delwin                         Multi
 Eddy                           File        Corea
 Euthanasia (Hare)              Multi
 Exebug                         Boot
 FCL (Frog man Cracker cLub)    File        Corea
 Kaczor.4444                    Multi
 Monkey.B                       Boot        Canada
 Natas.4744                     Multi       USA
 NoInt                          Boot        Canada
 One_half                       Multi
 Scorpion                       File        Corea
 Systurbo (Boxbox,UVScan,V3Scan)File        Corea
 TPVO.3783                      Multi       Taiwan
 Tremor.4000.A                  File        Germany
 Werewolf.1500.B                File


    +----------------------------------------------------------------+
 --=[  Hufig gestellte Fragen [FAQ] zum Programm VirScan Plus (VSP) ]=--
    +----------------------------------------------------------------+
     Teilweise aus Fido Netmail, Anwenderproblemen oder Fido Echomail


F: Ich habe meine Festplatte mit MBR-Kill geimpft. Wie bekomme ich jetzt
   den MBR-Kill Schutz wieder weg, oder soll ich ihn drinnen lassen.

A: Der MBR-Kill Lader kann unter MS-DOS mit fdisk /mbr entfernt werden, was
   aber nicht sinnvoll ist, weil der MBR-Kill Lader die gleiche Funktion-
   alitt hat und zustzlich smtliche Boot- und Hybridviren erkennt und
   meldet! Zur Zeit ist uns kein Virus bekannt, der diesen Schutz umgehen
   kann!


F: Ich habe eine ltere VirScan Plus Version. Wenn ich damit Ihre neuen
   Programme untersuchen lasse meldet er mir einen Maltese-Amoeba Virus.

A: Der Maltese-Amoeba Virus ist ein polymorpher Virus, dementsprechend
   schwierig ist es, eine Sucherkennung hierfr zu programmieren. VirScan
   meldet in der alten Version flschlicherweise in mit WWPack gepackten
   Programmen diesen Virus, was ein Fehlalarm ist! Dieser Fehlalarm wurde
   in neueren VirScan Versionen an WWPack angepasst.


? Ich scanne mit der Option /UNB. Prompt findet VirScan einen
? "Unbekannten_POP_BX" und einen "Unbekannten_POP_SI" Virus. Was jetzt?

Diese Option ist gedacht unbekannte (einfache) Viren zu finden. Diese
Option verursacht IMMER Fehlalarme, weshalb diese Option nur von erfahrenen
Anwender bentzt werden sollte, die das Scanergebnis beurteilen knnen.

? VSP findet mit der Option /MUTANT einen eventuelle Variante von Mossad

Diese Option ist gedacht, um bei einem System das sich abnormal verhlt,
eventuelle "Virentreffer" zu landen.  Die Option /MUTANT ist ebenfalls wie
die Option /UNB nicht fr den unerfahren Anwender gedacht.  Ein kleiner Tip
hierzu: Ein Dateivirus macht sich immer dadurch bemerkbar, da er versucht
soviele Programme wie nur mglich zu infizieren.  Deshalb sind drei oder vier
"infizierte" Dateien (bei der Option /MUTANT und/oder /UNB) auf der
Festplatte noch lange kein Indiz dafr, da ein Virus zugeschlagen hat!


?? VSP luft nicht unter Windows 95....

VSP wurde unter Windows 95 mehrfach getestet und angepasst. Ferner arbeiten
mehrere Tausend Anwender mit VSP unter Windows 95. Um Ihnen also konkret
helfen zu knnen, mssen Sie den Fehler einkreisen! Wo bleibt VSP hngen?
Wie uert sich der Fehler? Haben Sie schon den Parameter /NOPART versucht?

Fahren Sie WIN95 auf "MSDOS Eingabeaufforderung" herunter. Tritt der Fehler
immer noch auf?


RR>> die Dateien aufrufen, mssten dann dranhngen. Funktioniert in diesem
RR>> Fall, weil der Yankee sich im Arbeitsspeicher einnistet. Sonst gibt's
RR>> auch von mir ROSEGOAT. Das erstellt Testfallen.
 FA> Was sind Testfallen?

Dateien, meist mit einer Dateilnge x * 1000, die man Viren zum "Frass"
vorwirft. Diese Testfallen sind speziell aufgebaut, damit man den Virus
einfacher analysieren kann.

 FA> Ich hab den Virscan von Juni...da steht am Ende, man soll dir Viren
 FA> zuschicken...was willste denn damit? Wenn der VirScan sie doch sowieso
 FA> schon findet??

1.) Zur Analyse, zum Sammeln, zum Testen
2.) Um meine Wildliste zu pflegen: Wie oft welcher Virus auftaucht.
3.) Um Dir notfalls einen MASSGESCHNEIDERTEN Virenkiller programmieren
    zu koennen.

 FA> Was soll ich dir schicken? Das kleinste, infizierte PRG? Isolieren kann
 FA> ich ihn nicht selber :-(

Am besten mehrere COM und EXE Dateien. Hast Du INFECTME.COM/EXE? Einfach mit
dem Virus im Speicher die Dateien aufrufen. Der Virus muesste dann
dranhaengen. Funktioniert in diesem Fall, welch der Yankee sich im
Arbeitsspeicher einnistet. Sonst gibt's auch von mir ROSEGOAT. Das erstellt
Testfallen.

 FA> Ich meine...kann ich ihn z.B. den Volker geben, und der kann ihn
 FA> weiterleiten, oder so was in der Art? Ich kann ihn ja schlecht
 FA> oeffentlich verbreiten.

Einfach mir crashen, oder per PGP senden. Vorher packen! RAR, ZIP, LHA,
ARJ und UC2 sind in Ordnung. Ueber Volker/Ralph B. geht's zu lang und
geht u.U. auch mal wieder verloren!

 FA> PS: VirScan Plus meldet mir, es sei veraltet, weil aelter als 3
 FA> Monate...welches ist die aktuelle Vers.? Volker, hast du die?

Aktuell ist gerade 11.xx, die aktuelle Version gibt's immer in der
Lionbox!  Die 11.xx gibt's glaube ich auch in der FHAS-Mailbox.  Ich
entwickle gerade die Version 11.xx (inkl. Neuroquila/Nightfall) -  kommt
die naechsten Tage...

 UM> Ich habe allerdings jedesmal das Problem, dass bei meinem VSP-Aufruf das
 UM> CD-ROM
 UM> angesprochen wird und, wenn keine CD drin ist, eine Fehlermeldung
 UM> ausgegeben
 UM> wird, die dann immer erst beantwortet werden muss. :-((

Yep, kenne ich! Habe auch so ein Noname CD-ROM das hlt sich auch nicht an
den CD Standard.

 UM> Meine Systemdateien sind:

 UM> lastdrive=J     <<<<<<<<<<<<<<<<<<<<< liegt's an dieser Zeile ???
 UM> ^^^^^^^^^^^                           ^^^^^^^^^^^^^^^^^^^^^^^^^^^

U.a.: For C: to LastDrive do CheckLaufwerk.

 UM> FRAGE:  Wo liegt das Problem und wie kann ich den CD-ROM Aufruf
 UM> verhindern ?

Mal Lastdrive runtersetzen. Ich schaue mir nochmals die CD-ROM API an,
vielleicht kann ich ja noch eine Abfrage einbauen.

 UM> Hast ja recht. :) Habe deshalb nun die Vollversion von Ralph Roths
 UM> VirScan Plus
 UM> 11.31 gekauft,

 UM> 1. weil Programm und Doku deutsch und sehr benutzerfreundlich sind,
 UM> 2. es preisguenstig ist,
 UM> 3. und IMHO sehr wirksam.

Danke, das macht Laune! Jemand der mir mal eine Empfehlung ausspricht!
Dankeschoen!

 PL> freuen. Ich glaube naemlich, das sich da mit dem sys-befehl was aendert
 PL> an den Disketten.

Das ist auch so gedacht: Mit SYS machen Sie ja einen neuen bootfaehigen
Bootsektor auf die Diskette! Bei diesem Vorgang wird von dem SYS Befehl
der Bootsektor der Diskette NEU geschrieben.

 PL> Fuer Ihre Untersuchungen also Dank. Und vielleicht ist es moeglich das
 PL> VirScan
 PL> Plus auf bootfaehiger Disk zu schicken, dann wuerde ich den PC nochmal

Jein: Aus Lizenzgruenden koennen wir Ihnen keine bootfhige Diskette mit
MS-DOS zusenden: Abhilfe: Mit Makeboot (ist bei VSP dabei) selbst eine Boot-
diskette erstellen. Makeboot erstellt eine Bootdiskette, auf der VSP und
Antiviren-Tools sich befinden. Entsprechende AUTOEXEC.BAT und CONFIG.SYS
wird ebenfalls gleich erstellt!

 UM> Was bedeutet dieses crm ? Ist das dein public Key fuer PGP ?

Per Empfangsbesttigung: Confirmation Receipt Message, dort steht dann
der PGP-Key drin.

--------------------------------------------------------------------------

 RB>> Eine Befuerchtung hat sich bestaetigt ... wer Treiber wie z. B.
 RB>> EZ-Drive   benutzt, um seine >504MB Platte anzusprechen, hat Pech
 RB>> gehabt, wenn er   sich nen Bootvirus einfaengt.
 SR> Es muesste reichen nach nem FDISK /MBR EZ-Drive neu zu installieren.

Richtig. Nur sind dann auch alle Daten weg!

Es gibt da einen besseren Trick um an die Daten eine HD zu kommen wo EZ-Drive
von einem Virus zerschossen wurde.

Man nehme neue, intakte HD mit EZ-Drive und installiere sie als
Bootlaufwerk (physikalisches Laufwerk C:).  Man nehme defekte HD, jumpere
sie auf Slave und installiere sie als physikalisches Laufwerk D:.

Beim booten von C: wir EZ-Drive geladen und damit kannst Du auch auf D:
zugreifen, ein Backup von den Daten machen, die ursprngliche
HD-Konfiguration wiederherstellen, EZ-Drive neu installieren und dann die
Daten vom Backup wieder einspielen.

> Es muesste reichen nach nem FDISK /MBR EZ-Drive neu zu installieren.

und da EZ-Drive leider keinen Reparatur wie Ontrack DiskManager bietet,
putzt er alle Daten von der Platte. Ontrack DiskManager muss man mit dem
Parameter /M aufrufen, und mit Advanced Options den Bootsektor und das
Overlay neu schreiben.

                --------------------------------------------

 AW> Also trotzdem F-Prot angeworfen: AntiExe im Speicher (!!!) - trotz
 AW> sauberer Boot-Diskette - was soll das ( ??????? )

Beim Booten erfolgt ein spezieller SCSI BIOS Setup, das hat zur Folge, des der
MBR zur SCSI-Erkennung in den Speicher kommt.

 AW> F-Prot mit /NOMEM angefahren, AntiExe mit multiple-infection im MBR
 AW> gefunden: F-Prot kann ihn nicht killen

Auch klar, beim Reparieren wuerde ja der 2. Virus in den MBR restauriert werden

--------------------------------------------------------------------------

 RR>> Kannst Du noch mein VirScan Plus einbauen? Aktuelle Version kommt diese
 TM> Mit welchen Parametern soll man das denn aufrufen, fuer:
 TM> Diskette komplett checken, kein Speichertest, Viren entfernen, ohne
 TM> Dialog.

Also Parameter "Quick Referenz" steht in VIRSHELP.TXT...

In diesem Fall:  virscan a: -kill -nomem -batch

Logisch oder :)

 FA> Was ist eigentlich momentan die aktuelle Version von VSP?
 FA> Unter welchen Namen kann ich die Wo bekommen?

Aktuell ist 11.31 - bekommen kannst Du die direkt beim Node (VIRSCAN)
oder VSP1131.RAR - demnchst auch in der Virus Help Munich!


 BF> rotfl! viren gibts unter tsx nicht, da es ja auch keine tsr programme
 BF> gibt, sorry :-)

Schon mal von DIRECT ACTION INFECTORS gehrt.... :-)


 TH> bei meinem letzten Virenscan meldete TBAV (nur TBAV) ind der Datei
 TH> Scanprot.dot waere  mit einem WordMacro.Concept Virus infiziert.
 TH> Kennt jemand diesen oder ist es vielleicht ein Fehlalarm da F-Prot und
 TH> Scan diesen angeblichen Virus nicht finden.

Das ist ein bekannter Fehlalarm. Hole dir mal TBAV 7.01, das hat eine
verbesserte Makroviren-Suche obwohl die anderen Schwachstellen leider
immer noch im Programm vorhanden sind.


RR>> Ist ANtiLink gekommen?
 UM> Na klar; ist ein super Programm. Allerdings habe ich hier eine Frage:
 UM> wenn ich im Antilinkmenue den Virenscanner aufrufe, dann kann der ja
 UM> gleichzeitig die CRC-Checksumme kontrollieren. Hat Antilink einen eigenen
 UM> Virenscanner oder ruft er "nur" VirScanPlus auf ? Wenn ich also updaten

Weder noch, nur die Checksummen werden berprft. Um existierende Viren zu
finden wird VSP bentigt. Das ganze kannst Du auch per VShell bedienen!
Vorteil von AntiLink: Findet auch ganz neue Viren, kann halt nicht sagen,
wie dieser Virus heit, aber das ist dann eh' ein Fall fr mich!

 UM> moechte, muss ich dann Antilink updaten oder nur VirScanPlus ? Fuer VSP

Eher VSP, weil beim AntiLink sich nicht soviel ndert wie bei einem
Virenscanner. Auf der anderen Seite, wenn Du AntiLink updatest ist ja VSP
drin enthalten! Es ist sinnvoll mal fters einen VSP Update zu bestellen
und VSP "ber" das AntiLink-Paket zu installieren. Die Tools/Dokus werden
dann nmlich auch aktualisiert!

?? Ich habe eine Doppelinfektion mit dem Form- und Parity_Boot Virus. Was
?? tun? Eine virenfreie Bootdiskette habe ich nicht...

Fr die Entfernung des Parity_Boot bentigen Sie eine virenfreie Bootdiskette!
Falls nicht vorhanden, notfalls eine verseuchte Bootdiskette anfertigen.
MBR-KILL.EXE von VSP hinzukopieren (ist im Unterverzeichnis TOOLS).

Von dieser Diskette booten und anschlieend sys c: eingeben (SYS.COM mu
sich auf der Diskette befinden!). Der Form Virus ist entfernt!

Parity_Boot:
MBR-Kill aufrufen und die Anweisungen besttigen. Kommt der Hinweis
                     "Switch off your PC now"
den Rechner ausschalten, DISKETTE ENTNEHMEN! und Rechner wieder einschalten.
Virencheck durchfhren!

 RB>>> Kannst du auch sowas wie einem /MOVE befehl in Virscan einfuegen,

 RR>> Arrglll.... wollte ich schon lange reinmachen...
 RR>> wie moven: Mit Vir00001.com....?

 RB> Genau, oder aus Command.com command.vic und aus command.exe command.vix,
 RB> oder
 RB> irgendwie sowas.;)

Ich will halt nicht ueberschreiben. Also die Optionen /MOVE=PATH und
/COPY=PATH sollen in die 11.40 rein. Die 11.39 kommt diese Woche raus :(

Ich dachte an folgendes:

Virus             Delete_Junk             Unterverzeichnis
Vienna.666        VIENNA666               VIENNA66
TREMOR.4000       TREMOR4000              TREMOR40
Nighfall (4818)   NIGHFALL4818            NIGHTFAL

Also aus C:\TMP\COMMAND.COM Vienna.777 wird [MovePath]\VIENNA77\COMMAND.COM
 RB> BTW: Wie verhaelt sich eigentlich ein Multipartiter(?) Virus, wenn er
 RB> Aktiv ist
 RB> und man auf eine Diskette zugreift? Wird dann sofort der Bootsektor
 RB> infiziert

Bei fast allen Multipartiten (Hybriden) Viren sofort.

 RB> und nachher erst eine entsprechendes File? BZW: Wenn man eine Diskette

Programme erst beim Ausfuehren oder Oeffnen (idR).

 RB> mit
 RB> einem z.B: ueber mehrere Disketten gehenden SFX Archiv hat, wird dann der
 RB> Bootsektor infiziert? Die SFX-EXE natuerlich nicht, da sie ja den
 RB> gesamten
 RB> Speicher einnimmt, aber kann man dann auf der Diskette den
 RB> "Bootsektorteil" des
 RB> Virus finden oder wird er bei einem misslungenem Infizierungsversuch der
 RB> Bootsektor wieder vom Virus "gereinigt"?

Es kommt auf den Virus an: Manche Viren formatieren ein paar Zusatzspuren
(Neuroquila) und passen so immer auf eine volle Diskette. Andere
ueberschreiben einen leeren Sektor in der FAT und andere wiederum brauchen
freien Platz auf dem Datentraeger.

Je nach Virusguete kann es zu einer Infektion kommen bis zum Totalabsturz!

 AK> oftmals ist zu lesen, dass man neu gefundene Viren an z.B. einen
 AK> Programmierer (der Virenscanner programmiert) schicken soll. Doch wie
 AK> macht man das so sicher uebers Netz (Fido, Internet etc.), dass
 AK> andere   Systeme nicht infiziert werden koennen?

_FIDO:_

Verdaechtige Datei einpacken, an Crashmail dranhaengen in der genau steht,
warum man das Ding fuer befallen haelt und ab damit. Sinnvoll waere es immer,
*vorher* bei dem Systembetreiber anzufragen, ob er erlaubt, dass solche Files
ueber sein System gehen duerfen. In diesem Fall idealerweise noch ein
Session-Passwort vereinbaren.

_INTERNET:_

Mail mit gleichem Inhalt wie oben, Empfaenger ebenfalls vorher unterrichten,
File-Attach und ab damit.

 AK> Welche Moeglichkeiten gibt es, Virensimulatoren (also keine Viren!)
 AK> einzusetzen, die einem die Leistungsfaehigkeit vorhandener
 AK> Virenscanner   aufzeigen?

Das hat wenig bis ueberhaupt keinen Sinn. Die Leistungsfaehigkeit eines
Scanners erweist sich nur am 'lebenden' Exemplar. Ein Programm, das einen
Virus nur simuliert, muesste von einem *guten* Scanner sofort als solches
erkannt werden. Ansonsten hat es einen _Fehlalarm_ produziert! Und das
bedeutet fuer jeden, der sich *ernsthaft* und sehr vertieft mit der Materie
auseinandersetzt, dass er einen 'Quarantaenerechner' hat, auf dem die Viecher
'in echt' sitzen.

 HE> Wie biege ich jetzt diesen Leuten bei, mehrere verschieden AV-Tools
 HE> zu nutzen um ein "Einigermass" an Sicherheit zu haben?
 HE> ("Sie haben doch eben gesagt, dass sich Wahrscheinlichkeiten
 HE> multipli-  zieren. Und wenn jedes von ihnen vorgeschlagene Program
 HE> vielleicht 95%  garantiert, dann wird das ja immer weniger!" ...)

Stimmt. Bloederweise bestimmen sie damit die Wahrscheinlichkeit, dass _alle
drei_ Scanner den Virus erkennen - die wird natuerlich in der Tat geringer.
Gesucht ist aber die Wahrscheinlichkeit, dass _mindestens einer_ der Scanner
den Virus findet. Kurzes Nachdenken ergibt: P(Mindestens ein Scanner findet
den Virus) = 1
- P(Kein Scanner findet den Virus).
Also sehen wir mal weiter: Gegeben seien drei Scanner A, B, und C mit
  P(Scanner A erkennt Virus) = 0,9
  P(Scanner B erkennt Virus) = 0,95
  P(Scanner C erkennt Virus) = 0,98
Deine Vertriebsleute bestimmen dann o.B.d.A. (ohne Beachtung der
Aufgabenstellung :-) P(Alle Scanner erkennen den Virus) = 0,9 * 0,95 * 0,98 =
0,8379.
Korrekt waere naemlich folgende Rechnung:
  P(Scanner A erkennt Virus nicht) = 1 - 0,9  = 0,1
  P(Scanner B erkennt Virus nicht) = 1 - 0,95 = 0,05
  P(Scanner C erkennt Virus nicht) = 1 - 0,98 = 0,02
Und schon ergibt sich P(Kein Scanner erkennt Virus) = 0,1 * 0,05 * 0,02 =
0,0001, folglich P(mindestens ein Scanner erkennt Virus) = 1 - 0,0001 = 0,9999,
also satte 99,99% Erkennungsrate.

> Woher bekomme ich die Programme VSS, FSHIELD und F-XLOCK?

Diese Schutzprogramme sind leider schon etwas lter (1989-92) und deshalb
fast nirgendwo mehr erhltlich. F-XLOCK war mal beim F-PROT 1.15 Paket
dabei, VSS ist von ROSE Softwareentwicklung und nicht offiziell erhltlich.
FSHIELD ist von McAfee und NICHT mehr mit MS-DOS 6.2x lauffhig!


> Warum dauert meine Bestellung so lange?

Wenn Sie den Rechnungsbetrag ueberweisen und keinen Beleg beilegen, oder
schlimmer noch, keine FAX/Tel.-Nummer angeben und evtl. auch noch ein
Postfach haben, warten wir mit der Auslieferung der Software bis zum
Zahlungseingang!


OP> Ich habe die Vollversion von VSP/AntiLink erhalten. Darf ich die Dateien
OP> im Verzeichnis \ROSE_BBS bzw. \SHARE weitergeben und verteilen?

Ja wird von uns sogar gewnscht. Im \ROSE_BBS Verzeichnis befinden sich
als "Dankeschn" aktuelle SW/FW Programme von ROSE Softwareentwicklung.

Sie knnen die Programme im Verzeichnis \ROSE_BBS gerne weitergeben.
Falls Sie dies in entpacker Form tun wollen, so verwenden Sie bei
UNRAR die Option 'x' um Unterverzeichnisse anzulegen. Bitte fr
jedes Programm dann ein neues Unterverzeichnis verwenden!


 TM> * Wie gut ist IYHO Dein VSP ?

Wie gut ist Dein <xyz-Programm>?

Hier mal die Scannresultate von einem Virensammler (ist natrlich
relativ zu betrachten :) - Die Scan-Resultate ber meine Virensammelung
sind natrlich nicht vergleichbar.


      Stand Mai 96     Viren      verdchtig     defekte Dateien
   -------------------+----------+---------------+---------------------
      Tatschlich      12702                   
      F-Prot 2.22      10515         497       
      VSP 11.31        10214                   
      Dr.Solomon 7.55   9996                   
      McAfee 2.2.11     9981                         14


 TM> * Und ist die Shareware funktionell eingeschraenkt ?

Ja: Optionen /EXTR (extract Signatur) und /HEUR (high Heuristic)
    gibt's nur in der reg. Vollversion. Weiterhin kommt mit ca. 25%
    tiger Wahrscheinlichkeit ein Sharewarehinweis beim Starten.

    Ansonsten keine Funktionseinschrnkungen. Die Optionen /EXTR und
    /HEUR sind ja eh nur fr Antiviren Gurus von Interesse!


 > Habe in diesem Brett vor laengerer Zeit auch mal
 > gelesen, dass man nach den Booten von Diskette per
 > 'FDISK C:\mbr' das Problem erledigt! Nur was
 > zum Teufel bewirkt die Option '\mbr' (konnte ich
 > keiner DOS Uebersicht entnehmen ;-)).

Das Kommando heisst FDISK /MBR, schreibt den Partition-Ladesatz der ersten
Harddisk neu, kann u.U. gefaehrlich sein und ist deshalb undokumentiert.

                          ---------------------------

 MD> Ich hab da was von einem Modemvirus gehoert, der sich angeblich 104mal
 MD> vermehren soll und dann lauter "CARRIER LOST" verursacht !! Hat da
 MD> schonmal jemand was von gehoert ??? Wenn ja .. dann bitte dringendst Infos
 MD> zu mir.....danke... ich bin fuer JEDE hilfe dankbar...!

Genauso wie CMOS-Viren, BIOS-Viren, Hardware-zerstoerende-Viren,
"Sich-durch-DIR-A:-aktivierende"-Viren gibt es auch keinen Modem-Virus. Die
Register des Modems sind Datenregister und muessen speziell ausgelesen werden.
Von alleine koennte ein Virus, der sich in diesen Registern befindet, sich
nicht aktivieren. Abgesehen davon, da das Modem danach nicht mehr so toll
Daten uebertraegt... :-)

 TS> Dazu muss ich aber noch einiges wissen :
 TS> - Wie oft erscheint der Scanner (Update) ?

Updates gibt's ca. alle 4 bis 6 Wochen. Die aktuellsten Versionen gibt's
beim Node. Freq: VIRSCAN

 TS> - Gibt es einen Support wenn man mal Probleme hat ?

Ja, per Netmail, FAX, INet, SnailMail und abends per Voice...

                          ---------------------------

RB>>> Da sein anderer Rechner auch von Abstuerzen geplagt ist, vermuteten wir
RB>>> auch da nen Virus. CHKDSK berichtete hier von 653312 Bytes DOS-Speicher,
RB>>> was einer TOM-Reduzierung um 2K entspricht. Aber weder F-Prot 2.24a noch
RB>>> Dr. Web 3.14 konnten einen Virus ausmachen.

RR>> Habt ihr SSCI-Platte? nein? -> Tippe auf neuen Bootvirus.

 RB> Nein. Aber der Kumpel hat nen EIDE-Controller mit BIOS drinstecken. Das
 RB> wirds wohl sein. Der Hinweis kam von Mike Bremer.

Das ist vom Prinzip ja das gleiche wie ein extra SSCI-Treiber! Mu Dein
Kumpel auch noch DEVICE=TREIBER.SYS eintragen? Dann ist alles klar, dann
beansprucht der Treiber 1-2 KB des TOM!

 RB> 638K! Wer braucht denn diese 2K? Wie kann ich (bzw. mein Kumpel)
 RB> feststellen, was da im TOM rumlungert und 2K Speicher wegfrisst ...

Es gibt BIOS-Versionen, die sich 1 KB DOS-Speicher holen.
Allerdings habe ich noch kein BIOS mit 2 KB XBDA (EXTENDED BIOS DATA AREA)
gesehen. Ist im BIOS das ShadowRAM komplett aktiviert?

                          ---------------------------

 LF> Die Virscan Diskette sollte bootfhig sein! Ferner sollte gleich mit
 LF> Virenscannen begonnen werden!

Aus folgenden Grnden kann keine bootfhige VirScan Diskette ausgeliefert
werden:

     1.) Lizenzgrnden: Zum Booten wird eine DOS Version bentigt, die von
         einem Drittanbieter gekauft werden mte! Dadurch wrde sich der
         Produktpreis erhhen.
     2.) Platzgrnden: Dann mte VSP auf zwei Disketten verteilt werden,
         dem bootfhigen Virenscanner und die Tools und Anleitungen auf
         einer Zusatzdiskette.
     3.) Dann taucht die Frage auf, welche DOS Version und von welchen
         Hersteller. Soll es eine alte DOS-Version sein, die nicht den Bug
         mit rekursiven Partitionen hat, dafuer aber keine Platten > 40 MB
         untersttzt? Oder Novell-DOS, PC-DOS, Windows-95 etc...?

Daher ist es u.E. sinnvoll sich selbst ein Bootdiskette mit zustzlichen
Hilfsprogrammen wie etwa MBR-Kill und Cleanern (z.B. K-N8Fall etc.) zu
erstellen. Dort kann dann auch in die AUTOEXEC.BAT der automatische Aufruf
von VirScan Plus erfolgen.  Zum Beispiel A:\VIRSCAN -auto -kill

Aus diesem Grund befindet sich bei der Vollversion von VirScan Plus und
AntiLink das Programm MAKEBOOT.BAT welches eine komplett fertige
Bootdiskette inklusive Autostart von VSP erstellt!

                          ---------------------------

 RR>> Alle heutigen Scanner machen Entry Point Scanning, Dein Teststring
 RR>> drfte keinen Alarm triggern....
 TP> (was genau verstehst du unter EPS ?)

Der Befehl, der im Debugger als erstes ausgefhrt wird (EXE-Dateien)!
Bei COM-Dateien ist das meistens ein Jump an den eigentlichen Programm-
anfang.

Manche Viren maskieren sich noch, indem sie den den Entrypoint "verstecken",
z.B. Muellbefehle vor dem eigentlichen Jump einfuegen.

 TP> Mal eine Frage. Du hast doch sicher auch den Trivial.24, oder ?
 TP> Gut, also, warum funktioniert er im Debugger, im DOS aber nicht.
 TP> Zwei Mglichkeiten kommen fr mich in Frage :
 TP> 1. Debugger verndert PSP, wodurch eben ein FF da ist wo es sein soll.
 TP> 2. Es liegt am Prefetch Queue.

Keines von beiden. Es handelt sich um einen Trick! Damit der Virus so kurz
werden kann geht er davon aus, dass z.B. SI den Wert 100h hat. Wenn Du
debuggst, hat aber SI den Wert 0. Requeste mal beim Node PRNREGS.RAR, die
zeigen Dir den Wert von SI an. Einmal unter DOS starten, einmal unter TD!

 MS> Was mir sofort unangenhem auffiel war die mangelhafte, gar fehlende
 MS> Installationsroutine und die fehlende Oberflaeche.

Tja sind die Mailbox-Archive: Je kleiner das Archive um so besser. Bei
der registierten Vollversion ist immer ein INSTALL dabei. Im AntiLink
Paket ist auch eine SAA-Oberflaeche dabei: VSHELL

 TP> Du kennst ja sicher den Jerusalem-Virus. (Ich meine speziell
 TP> den 1808.A-204.A, wahrscheinst bei anderen Varianten auch so.)

Ich habe schaetzungsweise 100-200 bekannte Varianten! Der Jerusalem ist
einer der Viren, mit den meisten Varianten!

 TP> Weit du zufllig wozu die Funktion 0DEh seines Int 21h Handlers
 TP> gut ist ?! Ich fand sie bisher nicht im Quellcode (also nen Aufruf)

Selbsttest, ob er aktiv ist! Ist leider zu Novell Netware nicht kompatibel.
Dieser Selbsttest ist in fast jeder Variante anders ausprogrammiert!

 TW> bei Deinen Cleanern war dieses kleine Addy ALLBUGS.COM mit im Archiv.
 TW> Ganz
 TW> nett, das. Aber was hat es damit auf sich? Luft ja anfangs ganz nett,
 TW> hat
 TW> aber die unangenehme Nebenwirkung, da sich der Rechner unweigerlich
 TW> fest-
 TW> frit - da hilft nur noch der Hardware-Reset.
 TW> Steckt da irgendeine Absicht dahinter - allBUGS - oder was?

Grumbel... Allbugs ist ein kleines Intro mit Wolle als Hintergrund, dass
einen Schriftzug abbrennen laesst und dann sich beendet. Wo haengt sich das
Programm auf und in welchem Archiv ist es dabei?

Nachdem Bildaufbau dauert es ca. 2 Sekunden bis die Schrift abgefackelt wird,
anschlieend wird der Bildschirm geloescht und zu DOS zureuckgekehrt!

 JF> Gibt es von Zeit zu Zeit auch Updates und wo kann ich die kriegen??
 JF> (Ich denke per Request, wie heisst der Magic??)

Klar, Updates gibt es alle 1-2 Monate; am aktuellsten in der Lionbox,
(siehe ROSEBBS.TXT). Freq sind u.a.: VIRSCAN, ANTILINK, VIBA, UNTINY etc.

                          ---------------------------

 MB> >Speicher per MCB zu installieren, ist jedoch UMB Speicher frei, so
 MB>               ^^^ Was ist das denn schon wieder?

Memory Control Block - Eine Struktur wie DOS den Speicher verwaltet.

 RL> wenn ich VSP registrieren lassen will muss ich die Version zu DM 49,- in
 RL> jedem Fall nehmen oder bekomme ich auch "nur" das KeyFile - wenn ja spare
 RL> ich ja ne menge Arbeit und auch Geld ...

Laut DOC: VSP + keyfile, aber wir koennen was vereinbaren: Bist Du Sysop?
Ich bereite gerade einen Sysop Sonderdeal vor...

Also folgendes: Bestellung per Netmail (PGP signiert) oder FAX/schriftlich.
REGISTER.DOC verwenden, damit ich diese Daten in den Key einarbeiten kann.
Ich crashe Dir dann den Key zu (PGP verschluesselt). Der Spass kostet dann
DM 30,--  Agree?

 fh> Gibt es eigentlich eine Moeglichkeit, ein Viren Scanner in Netscape
 fh> und anderen Browsern einzubauen der die Web Seite beim Aufruf auf JAVA-
 fh> Viren scannt?

Das wird schon gemacht. Der Java-Bytecode, den sich Dein WWW-Browser aus
dem Netz zieht, wird _bevor_ er ausgefhrt wird auf seine Korrektheit
hin berprft. D.h. handelt es sich hier bei nicht um Java-Code wird die
Ausfhrung des Applets unterbunden. Dies ist im brigen eine Grundlage
des gesamten Java-Interpreters (der sog. Java Virtual Maschine) und
jeder Hersteller, der Java in seinem Browser oder Betriebsystem
integrieren will, mu sich da an die Spezifikationen dieses Interpreters
halten.

Bitte die Sache mit Java _NICHT_ mit Javascript verwechseln. Java ist
eine Programmiersprache von Sunsoft, die einige Sicherheitsmerkmale wie
etwa die Bytecodeprfung aufweist. Javascript ist eine Makrosprache die
es derzeit _nur_ im Netscape Navigator gibt und keinerlei
Sicherheitsprfungen unterzogen wird. So darf ferner ein Java-Applet
keine Dateioperationen auf dem lokalen Rechner durchfhren, whrend das
einem Javascript Makro sehr wohl mglich ist. Also wenn etwas im
WWW-Browser abgeschaltet werden sollte, dann Javascript und nicht Java.
Ich erwhne das nur, weil auch in der Presse diese beiden Sache sehr oft
durcheinandergeworfen bzw. nicht sehr sauber getrennt werden und sich
mir dabei jedes mal die Nackenhaare struben.

                          ---------------------------

 MM> Tip: wenn das schon v1.35 ist, warum nennst Du die Versions-Nummer nicht
 MM> im
 MM> FileNamen (wie eigentlich alle Programmierer) ? das macht es irgendwie
 MM> leichter
 MM> fuer die User. Dennoch: File ging raus :-) Thanks !

1.) Unter LOOKO135.RAR kann ich mir mehr vorstellen :-)
2.) Hatte ich so gemacht und nachher geistern alle Versionen von 1.00 bis 1.35
    in der BOX herum und die Leute requesten natuerlich immer die 1.00!
    (Nennt sich Murhy's Law :)
3.) Der Requestcounter wird fortgefhrt und ich kann mir anhand der Downloads
    einen Ueberblick von "Werbemassnahmen" verschaffen.

 RB> Ist eigentlich etwas an dem Geruecht dran, dass die Hersteller sprich
 RB> Softwarefirmen Virenprogrammierer dafuer bezahlen, dass diese Viren
 RB> erstellen, damit die Firmen dann anschliessend ihre Scanner auf die
 RB> neuerschaffenen "Kunstwerke" einstellen um das Programm dann besser
 RB> verkaufen koennen?

Da es ein Geruecht ist - wahrscheinlich gar nichts. Wer so etwas macht, macht
sich erpressbar. Keine Firma wird so daemlich sein, das anzufangen. Denn kommt
es einmal raus, ist _diese_ Firma definitiv tot.

Und anzunehmen, das so etwas *garantiert* immer im Verborgenen bleibt, duerfte
doch wohl arg blauaeugig sein.

 RS> wie krieg ich denn mit, wann eine neue Version rauskommt?
 RS> Ich hab hier noch die, die Du mir geschickt hast...

Falls moeglich REQUEST.ANTIVIR.GER beziehen. Dort werden alle AV Programme
von mir announct! Falls Du im Virnet bist, kommen die Archive automatisch.

 RB> Kann man der Reportdatei eigentlich einen eigenen Namen(mit Verzeichniss
 RB> und
 RB> Laufwerkswahl) geben? Ist es moeglich das Scannen des Speichers nach
 RB> Viren und
 RB> dem Bootsector zu unterbinden?

VirScan c: /LOG=C:\TMP\KUNDEK.NIG /NOMEM /NOPART

 RB> Das alles kann ich naemlich im Zusammenhang mit Skullcheck gut
 RB> gebrauchen.
 RB> Wozu dient der Parameter /D. bzw. was ist der beste Aufruf von Virscan in
 RB> Skullchk. Sprich, mit welchen Parametern werden am meisten Viren, bzw.
 RB> Fehlalarme, gemeldet.

VirScan muesste jetzt von Skullcheck untersttzt werden. Eine "scharfe",
Einstellung ware z.B. /MAX /BOOT oder in der Vollversion /HEUR (hier ist
jedoch Vorsicht geboten!).

 RB> GIbt Virscan bei "Ungereimtheiten" immer Errorlevel 1 zurueck, oder gibt
 RB> es
 RB> fuer die Heuristik einen eigenen?

0 = Kein Virus, kein Fehler
1 = Viren, egal welche Modi
2..x Interne Fehler, Benutzerabbrche

 MR> Nun, in Anbetracht der Tatsache, dass die wenigsten User die
 MR> heuristischen
 MR> Ergebnisse deuten, sondern immer gleich "Oh Gott, ich habe einen Virus"
 MR> schreien, ist mir eine ueberagressive heuristik wie bei VSP aeusserts
 MR> unangenehm.

Meinst Du jetzt die Option /HEUR?

Ich behaupte, das VSP weniger meldet mit seiner Heuristik als F-Prot!
Du musst bei VSP zwischen 3 Stufen von Heuristik unterscheiden:

        - Normale Heuristik, die in der Sharewareversion verfgbar ist.
          Ist immer aktiv: z.B.: Boot, Trivial oder Viren aus Virenkits
        - /HEUR fuer reg. Benutzer, die ist etwa so "fehleranfaellig"
          wie die von F-Prot.
        - 3. Stufe, die nicht kommentiert ist und nur von mir benutzt
          wird, jedoch 80% aller neuen Viren erkennt und von mir auch
          so zu Erfassen von neuen Viren eingesetzt wird.

Ich will nicht jetzt an irgendwelchen Produkten herumkritisieren, aber IMHO
melden z.B. TBSCAN und SUSP einiges mehr an Fehlalarmen mit Ihrer Heuristik.


 FA> PS: durchsatz beim suchen war 2xx.xxx cps - normalerweise liegt er afair
 FA> bei 8xx:xxx! (Ok, mit smartdrv, aber das war doch stark langsam)

Hast Du sonst EMS Speicher installiert? VSP nutzt naemlich EMS zu schnellen
Swappen! Smartdrv sollte auf jeden Fall (auch bei Bootdisketten) benuetzt
werden.

----------------------------------------------------------------------------

 > "Microsoft MS-DOS 6 Update enthlt ein wirkungsvolles
 > Virenschutzprogramm zun Entdecken und Beseitigen von
 > mehr als 800 Viren."

 > Meinen die nicht, da ganze 800 erkannte Viren ein
 > etwas hochgestecktes Ziel ist? =8-))))

Du lachst, aber Anfang 1993 war der Einbau von 800 Signaturen gerade noch so
Stand der Technik. Die Anzahl von existierenden Computerviren wurde 1993
zwischen 1000 und 2000 geschaetzt. Howard Fuhs schaetzte die Zahl im April
1993 auf 1400, der Amerikaner Bill Dirks wagte fuer Ende 1993 eine
Hochrechnung von 2500. Diese Zahlen sind allesamt uebrigens verdammt ungenau,
in der Virus_L-FAQ habe ich auch schon die Angabe 1800 fuer Oktober 1992
gesehen und in unserer FAQ (Frage 50) stehen 1500 fuer 1993. Die historische
Entwicklung der (geschaetzten) Viren-Gesamtanzahl sieht - gemittelt nach
verschiedenen Quellen - fuer mich jetzt ungefaehr so aus:

Jahr    Gesamt   Makros

1988       5
1989      20
1990     200
1991     500
1992    1300
1993    1800
1994    3000
1995    5500       10
1996    8000      200
1997   12000      800

Aber vielleicht korrigiert mich da ja noch jemand, ich haette wirklich gerne
genauere Zahlen (hat CARO da eigentlich nie was Genaues veroeffentlicht ??).

----------------------------------------------------------------------------

>> Symptom:        PC-Speaker spielt Beethovens "Fuer Elise".
MM> Diese Musik wird naemlich neurdings von einigen BIOSen erzeugt wenn der
MM> Prozessor zu warm wird.

Eher duerfte der Prozessorluefter die Sounds erzeugen. Nur ist`s kaum
hilfreich, wenn dies nur jemand hoert, der nicht weisz, wie er reagieren
sollte.

----------------------------------------------------------------------------

 MR> sind in dem Programm K_BURGLAR von Rose irgendwie 2 Dateien
 MR> versteckt (oder sieht es so aus) ?

Nope!

 MR> TBAV meldet naemlich beim starten des Programmes das nach diesem
 MR> Programm noch das Prg. ro%e2711.com und ro$e2a93.exe starten
 MR> wollen (beide o's im namen sind o-umlaut).

Das ist der Livegoat Test, mit dem 98% aller bekannten und unbekannter
Speicherviren erkannt werden koennen (heisst Bluthund bei Norton :))

TBAV hat schon recht, das sind die Testfallen, die sollen jedoch immer
einen anderen Dateinamen haben.... Wenn TBAV meckert, dann melde das mal
TBAV... mir ist das langsam leid all die Bugs TBAV zu melden.

 MR> Da das Prg. ja mit Hackstop bearbeitet wurde, dachte ich das es
 MR> vielleicht normal sein koennte ?

Nope, ist der Livegoat Test. Siehe oben.

----------------------------------------------------------------------------

--=[ 30-May-98 ]=-------=[ mathias mueller an ralph roth / all ]=--------
--=[ Thema: VSP_1156  virscan.exe nicht lauffhig!? ]=-------------------

 mm> unter win95b dosbox  und  mittels vsp_w95.pif:
 mm> Internal bug: 209 -> 2261:000B

209: Overlay Read Error (VIRSCAN.OVR)

 mm> beim zweiten versuch hngt sich win95 komplett weg :(
 mm> unter msdos 7.1  (himem, emm386, smartdrv, cdrom, mscdex):
 mm> emm386 meldet ausnahmefehler +7 bei adresse 00B8:1B48 ^ascii 201
 mm> unter msdos 7.1 (eingabeaufforderung, abgesichert (shift-F5):

D.h. die VIRSCAN.OVR ist defekt, oder was auch mglich ist, nicht im
gleichen Pfad wie VirScan.EXE, somit wird eine alte VIRSCAN.OVR geladen
(die sich irgendwo im Pfad befindet), welche mit einem Laufzeitfehler 209
den Dienst versagt.

----------------------------------------------------------------------------

> in meiner update-bestellung habe ich das problem der doppelten viren
> angesprochen, als beispiel erhalten sie im anhang:
                ....
> habe.merkwrdig ist, dass sich die beiden viren aus den infectme-dateien
> entfernen lassen, aus den anderen dateien nicht.

Vom technischen Desgin her kann VSP pro Durchlauf immer nur eine Instanz
des Virus entfernen. Bei Doppelinfektionen mit mehreren Viren raet Ihnen
eh jeder Virenexperte die Originaldateien vom Backup wiederherzustellen,
weil eine saubere Reperatur in dieser Konstellation nicht garantiert
werden kann.

> betr.testboot: gengt zum sichern von mbr+bootsektor die startdisc von makeboot?
> und welche utilities sind zum berschreiben ntig? bootvir.dat oder
> mbrpart?.dat?

MakeBoot Disketten dienen zum virenfreien Booten. Um einen MBR
wiederherzustellen bentigen Sie z.B. BootVir und die dazugehoerende
BOOTVIR.DAT. Hier ist es sinnvoll zuerst mit der MakeBoot-Diskette einen
virenfreien Zustand zu erreichen um dann mit BootVir den MBR zu sichern
oder wiederherzustellen.

MbrKill ist ein Notnagel, falls keine BOOTVIR.DAT existiert oder der
Virus durch gewisse Stealtheigenschaften (_berschreibender Stealthvirus
oder rekursive Partitionen) nicht anders (ohne Neu-Installation)
entfernt werden kann.

----------------------------------------------------------------------------


-*- Wird fortgefhrt -*-



                             Virenkalender
                           ==================
       (C)opyr. by Mark Jovalekic, Ostheimstr. 56, D 72458 Ebingen
             Sonderversion fr ROSE Softwareentwicklung


                          KEINE GARANTIE !!!!


 Die folgende Liste beinhaltet: - Aktivierungsdatum der Viren
                                - Virusname
                                - Die am hufigsten auftretenden
                                  Viren in Deutschland ("WILDLIST")

 Zu nheren Hinweisen zu den einzelnen Viren Patricia Hoffmans
 VSUMX oder Ralph Roths VIBA (Virendatenbanken) lesen.


     Monat         Datum           Virusname
 ---------------------------------------------------------------------------

    Januar:
             - 1.                   Big Bang
             - 1. bis 21.Sep.       Plastique         (COBOL)
             - 5.                   Barrotes
                                    Joshi
             - 15.                  Casino
             - 24.                  Form
             - 25.                  Jerusalem         (January 25th)


    Februar:
             - 1. bis 28.Feb.       Vienna            (Beta Boys)
             - 2.                   Dark Avenger      (Amilia)
                                    Marauder
             - 23.                  Swedish Boys      (Why Windows)
             - 24.                  Swedish Boys      (Why Windows)
                                    Form
             - 25.                  Swedish Boys      (Why Windows)
             - 28.                  Zaphod


    Mrz:
             - 1. bis 31.           Fich
                                    Micropox
             - 5.                   X-2               (X-1 & X-1B)
             - 6.                   Mich II
                                    Michelangelo
                                    RIP-699
             - 14.                  Arale
             - 15.                  Maltese Amoeba
             - 24.                  Form
             - 25.                  March 25 th
             - 31. bis 30.Apr.      Mordor.1110


    April:
             - 1.                   Casper
                                    Christmas Tree
                                    Suriv 1.01
                                    Suriv 2.01
                                    Suriv 4.02
                                    Tchantches
             - 1. bis 30.           Akuku             (Wilbur 3)
                                    Death Dragon
             - 1. bis 30.Jun.       Month 4-6
             - 3. bis 31.Dez.       Italian Boy
             - 12.                  ARCV Friends
             - 15.                  Casino
                                    Murphy            (Swami)
             - 24.                  Form
             - 28.                  Arale


    Mai:
             - 1. bis 4.            1210
             - 1. bis 31.           Kthulu
             - 5.                   PS-MPC Cinco de Mayo
             - 13.                  Arale
             - 17.                  Arale
             - 24.                  Form


    Juni:
             - 6.                   Jerusalem         (Sub-Zero B)
                                    Psychosis
                                    Tiny Virus        (Kennedy)
             - 12.                  Arale
                                    June 12th
             - 14.                  Gremlin
             - 16.                  June 16th
             - 17. bis 31.Dez.      Jerusalem         (June 17th)
             - 24.                  Form
             - 26.                  DOSHunter
             - 28.                  Crazy Eddie


    Juli:
             - 1. bis 31.           ARCV 330
             - 1. bis 31.Dez.       Got-You
                                    Jerusalem         (Jerusalem-PLO)
                                    Jerusalem         (Mendoza)
             - 4.                   VCL Beva 96
             - 13.                  July 13th
             - 15.                  Arale
             - 24.                  Form
             - 26.                  July 26th


    August:
             - 15.                  Casino
             - 16.                  August 16th
             - 24.                  Form
             - 31.                  Bomber


    September:
             - 1. bis 31.           AirCop            (AirCop-B)
                                    Cascade
                                    Sad
                                    TenBytes
             - 4.                   Violator          (Violator B1)
             - 8.                   RIP-699
             - 16.                  It                (Viva Mexico)
             - 20. bis 31.Dez.      Plastique, Plastique-B
             - 22. bis 31.Dez.      4096
             - 24.                  Form


    Oktober:
             - 1. bis 31.Dez.       4096
                                    Cascade
                                    TenBytes
                                    Violator          (Violator-C)
             - 4.                   Violator          (Violator B1)
             - 12.                  Akuku             (Columbus)
                                    Jerusalem         (Anarkia-B)
             - 13. bis 31.Dez.      Datacrime
             - 15.                  Dark End
             - 23.                  Karin
             - 24.                  Form
             - 28.                  Aragorn
             - 30.                  Gotcha            (Gotcha-Mut4)
             - 31.                  Halloween
                                    Violator          (Violator B2)


    November:
             - immer 1. Di im Nov.  Little Brother    (LB-349)
             - 1.                   Malteste Amoeba
             - 4.                   Violator          (Violator B1)
             - 11.                  Flower
             - 12.                  Timor
             - 17.                  November 17th
             - 17. bis 31.Dez.      November 17th     (Nov 17-880)
             - 18.                  Tiny Virus        (Kennedy)
             - 22.                  Tiny Virus        (Kennedy)
             - 24.                  PS-MPC Love Bink
                                    Form
             - 30.                  Jerusalem 11-30


    Dezember:
             - 1. bis 31.           1253
             - 1.                   Ant
             - 4.                   Violator          (Violator B1)
             - 7.                   VCL Pearl Harbor
             - 12.                  Arale
             - 19. bis 31.          Father Christmas
             - 20. bis 25.          ARCV Xmas
             - 21.                  Poem
             - 24.                  Icelandic         (Icelandic-III)
                                    Form
             - 24. bis 31.          Witcode
             - 24. bis 1.Jan.       Christmas Tree
                                    Merry Xmas
             - 25.                  Japanese Christmas
                                    Violator          (Violator B3)
             - 28.                  Spanish April Fools
             - 31.                  Violator          (Violator B2)


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
    Aktivierungsdatum/Wochentag     Virusname
 --------------------------------------------------------------------------
         SONNTAGS                   Mindless
                                    Sunday
                                    Sunday-2
                                    Witcode
           9.Tag des Monats         Dr.Qumac 2

         MONTAGS                    Carfield
                                    I-B               (BadGuy)
                                    I-B               (BadGuy 2)
                                    I-B               (Exterminator)
                                    Immolation
                                    Kalah             (Kalah-499)
                                    Witcode
                                    VirDem            (VirDem-833)
           1.Tag des Monats         Beware
          28.Tag des Monats         Crazy Eddie

         DIENSTAGS                  Ah
                                    Emo-899
                                    I-B               (Demon)
                                    I-B               (Demon-B)
                                    Murphy            (Kamasya)
           1.Tag des Monats         Jerusalem         (JVT1)
          13.Tag des Monats         Jerusalem         (Anarkia)

         MITTWOCHS                  PS-MPC            (No Wednesday)
                                    VCL               (Red Team)
                                    Victor

         DONNERSTAGS                TPE               (Girafe)
          12.Tag des Monats         CD

         FREITAGS                   Bryansk
                                    Immolation
                                    Frere Jaques
                                    PS-MPC            (Mimic-Den Zuk)
                                    PS-MPC            (Mimic Jerusalem)
                                    Murphy            (Smack)
                                    NaziPhobia
                                    Talking Heads
                                    VCL               (Diarrhea)
                                    Wild Thing 2
          nicht am 13.              Jerusalem         (Payday)
          11.Tag des Monats         VCL               (Kinson)
          13.Tag des Monats         1720
                                    Friday 13th
                                    Jerusalem
                                    RAM Virus
                                    Surviv 3.00
                                    Westwood
                                    Witcode
                                    Hybryd
          nach dem 15.              Jerusalem         (Skism)
                                    Jerusalem         (Skism-1)
          letzter Freitag           Jerusalem         (Sub-Zero B)

         SAMSTAGS                   Murphy            (Finger)
                                    Jerusalem         (Phenome)
                                    Murphy            (Migram)
          14.Tag des Monats         Saturday the 14th

 ////////////////////////////////////////////////////////////////////////////
                (Ende des Virenkalendes von Mark Jovalekic)
 \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


    Hier eine Liste ber das "Verwandtschaftsverhltnis" einzelner
    Virengruppen.  In der ersten Spalte steht immer der Name des "VATERS"
    in den nachfolgenden Spalten, die Nachfolger und deren Verwandtschaft
    zum Vorausgnger.  Die Liste ist alphabetisch geordnet.


-Vater--------------Nachfolger---------------------------------------------

512 Virus       --> 512-B       --> 512-C       --> 512-D

1226            --> 1226M       --> 1226D

4096            --> 4096-B      --> 4096-C
                --> Fish        --> Whale

Alameda         --> Alameda-2
                --> Golden Gate --> Golden Gate-B --> Golden Gate-C
                --> SF Virus

Anti-Pascal     --> AP-529      --> AP-400      --> AP-440      --> AP-480

Blood           --> Blood2

Brain           --> Ashar
                --> Clone
                --> Chaos
                --> EDV

Byte Warrior    --> Byte Warrior II
                --> Pose.1155

Cascade/1701    --> 1701-B
                --> 1704        --> 1704 Format
                                --> 1704-B
                                --> 17Y4
                                --> Cunning

Datacrime       --> Datacrime-B
                --> Datacrime II --> Datacrime IIB

Do-Nothing      --> Saddam

Fri 13th COM    --> Fri 13th-B  --> Fri 13th-C
                --> Virus-B

Happy New Year  --> Happy New Year B

HM2           --:               --> Plastique COBOL
                --> Plastique   --> Plastique 4.21      --> Plastique 5.21
Jerusalem B   --:                                                :
                                                                Invader

Holland Girl  --> Holland Girl 2

Icelandic     --> Saratoga
              --> Iceland II  --> Icelandic III
              |               --> Dec 24th
              --> Mix1        --> Mix1-B

JoJo          --> JoJo 2

Kennedy       --> Tiny 163

Leprosy       --> Leprosy-B   --> The Plague

MG            --> MG-2        --> MG-3

Murphy-1      --> Murphy-2

Ohio          --> Den Zuk

Perfume       --> Sorry

Phoenix       --> PhoenixD
              --> Evil-B      --> Evil

Ping Pong     --> Ping Pong-B  --> Ping Pong-C
              --> Big Italian
              --> Typo
              --> Print Screen --> Print Screen-2
              --> Ghostballs

Pixel         --> Amstrad     --> V-847B
              |               --> V-852
              --> V-345       --> V-299       --> V-277

Polish 217    --> Polish 217 B

Stoned        --> Stoned-B  --> Rostov
                            --> Sex Revolution v1.1 --> Sex Revolution v2.0
                            --> Stoned-C
                            --> Stoned-D
                            --> Stoned-E
                            --> Stoned-F
                            --> Stoned II

Suriv 3.00   --> Jerusalem --> Fu Manchu  --> Taiwan 3
                           --> Jerusalem B--> New Jerusalem
                                          --> Payday
                                          --> Sunday      --> Sunday-B
                                                          --> Sunday-C
                                          --> Jerusalem C
                                          --> Jerusalem D
                                          --> Jerusalem E
                                          --> Jerusalem F (Spanisch)
                                          --> 1720/PSQR
                                          --> 1210/Prudents
                                          --> Frere Jacques
                                          --> Anarkia     --> Anarkia-B
                                          --> Slow
                                          --> Westwood
                                          --> 1605
                                          --> Park ESS
                                          --> Skism-1
                                         --> HM2
                                          --> Discom

Syslock    --> Macho   --> Macho-B
           --> Advent
           --> Cookie

Tiny-198   --> Tiny-167
               --> Tiny-160
                   --> Tiny-159
                       --> Tiny-158
                           --> Tiny-156
                               --> Tiny-154
                                   --> Tiny-143
                                       --> Tiny-138
                                           --> Tiny-134
                                               --> Tiny-133

Traceback II--> Traceback   --> Traceback-B --> Traceback-B2
            --> Traceback II-B

V1024       --> Dark Avenger --> V651
                             --> V800   --> V800M
                             --> V2000  --> V2000-B
                                        --> V2100

Vienna      --> Father Christmas
            --> Lisbon
            --> Ghostballs
            --> 1260        --> V2P2        --> Casper
            |                               --> V2P6        --> V2P6Z
            --> W13/V-534   --> W13-B/V-507
            --> Wien (Polen)
            --> Vien6
            --> Vienna-B    --> Vienna-B 645
            --> Violator    --> Violator B4
            |               --> Grither
            --> VHP-348     --> VHP-353     --> VHP-367     --> VHP-435
            --> VHP-623     --> VHP-627
            --> Iraqui Warrior

Virus-90    --> Virus101




= Die Virus.Germay ===================================================ChrisEmi=
Msg  :  107     [1-107]                    K/s
From : Rainer Link                         17-May-98  19:21:00  2:2480/8849.11
To   : Alle
Subj : "Computervirus als Mangel"
=====================================================================VIRUS.GER=
Hallo!

Ein Zitat aus der Internet World, Nr. 6/98:

"Computervirus als Mangel Wer seine neugekaufte Standard-Software nicht sofort
auf Virenbefall hin ueberprueft, ist selbst schuld. Diese Auffassung vertritt
zumindest das Landgericht Regensburg in einem neuen Urteil. Nach der
Entscheidung des Gerichts stehen dem Kaeufer von Standard-Software keine
Gewaehrleistungsansprueche zu, wenn der Computer- Virus in der Software mit
einem handelsueblichen Viren-Scanner mit absoluter Sicherheit und geringem
Arbeitsaufwand erkannt und entfernt werden kann. Dies bedeutet, dass der
Software-Kaeufer in einem solchen Fall weder Rueckgaengigmachung des
Kaufvertrags, noch Minderung des Kaufpreises, noch Schadensersatz verlangen
kann. Das Landgericht geht naemlich davon aus, dass es sich bei einem Virus,
der mittels eines gaengigen Scanners erkannt und entfernt werden kann, um
einen unerhablichen Mangel im Sinne von 459 As. 1 S.2 BGB handelt. Diese
Entscheidung ist durchaus fragwuerdig, da von einem unerhablichen Mangel
grundsaetzlich nur dann gesprochen werden kann, wenn der Fehler mit sehr
geringem Aufwand schnell beseitigt werden kann. Da die Anschaffung und
Aktualisierung eines Viren-Scanners sowie dessen permanenter Einsatz fuer den
Anwender einen nicht unbeachtlichen Zeit- und Geldaufwand bedeutet, wird
zumindest der Privatanwender durch diese Entscheidung ueber Gebuehr belastet.
Letztlich fuehrt das Urteil des Landgerichts Regensburg dazu, dass jeder
Computernutzer gehalten ist, Viren-Scanner einzusetzen und diese auch
regelmaessig zu aktualisieren".

cu,
   Rainer

---------------------------------------------------------------------------


