Humboldt-Universität zu Berlin - Computer- und Medienservice

Makroviren

Humboldt-Universität zu Berlin
Rechenzentrum
Berlin, den 03.11.97

Maßnahmen vor, bei und nach einem Befall durch Winword - Makroviren

(Anleitung für die ZUV)

A: Vorbemerkung

Die in der ZUV immer häufiger auftretenden Makroviren zwingen uns dazu, geeignete Vorsichtsmaßnahmen zu ergreifen. Dazu gehört auch, daß die Nutzer ihre Rechner selbst vor Viren schützen und einen einfachen Befall beseitigen. Zur technischen Unterstützung müssen in den einzelnen Bereichen Virenschutzprogramme eingerichtert und kontrolliert werden.

Das vorliegende Papier bezieht sich ausschließlich auf die sogenannten Makroviren, die Viren also, die unter Winword 6.0 wirksam werden, nicht jedoch auf andere Virenformen (z.B. Bootsektorviren o. a.). Sie sollten ausschließlich die auf Seite 2 genannten Viren selbst behandeln und bei allen anderen Ihren DV-Beauftragten bzw. das RZ konsultieren.

Und übrigens: Viren können großen Schaden anrichten, sie zu beseitigen, ist äußerst aufwendig. Es kostet weniger Zeit, jede fremde Diskette vor der Benutzung an einem separaten PC zu überprüfen und die regelmäßig vom RZ herausgegebenen Unterlagen zu lesen! (http: www.hu-berlin.de/inside/rz/vwedv/ empfehlg/empf_vir.html)

B: Schutzmaßnahmen gegen den Befall durch Makroviren

Neuinstallation des Makroviren-Schutzes (scanprot von Microsoft)

  1. Öffnen Sie Winword 6.0
  2. Sehen Sie sich unter Extras à Makro... die Liste der auf Ihrem PC installierten Makros an.
  3. Löschen Sie folgende Makros, soweit vorhanden:AutoExit, DateiÖffnen, InstVer, ShellOpen
  4. (Informieren Sie uns, wenn Sie eine Reihe Ihnen unbekannter Makros vorfinden. Auch diese können Viren sein!)
  5. Kopieren Sie die Datei scanprot.dot aus dem Verzeichnis M:\SCANPROT in das Verzeichnis C:\TEMP.
  6. Öffnen Sie die Datei C:\TEMP\scanprot.dot in Winword 6.0. Beantworten Sie die Fragen in den angezeigten Fenstern wie in Anlage 1 beschrieben. Schließen Sie die Datei.
  7. Öffnen Sie ein neues Dokument und prüfen Sie, ob die vier Makros: AutoExit, DateiÖffnen, InstVer und ShellOpen vorhanden sind!
  8. Schließen Sie Winword!

Sicherung der vorhandenen Installation

  • " Um den Aufwand bei Neuinstallationen nach einem Befall durch Makroviren möglichst gering zu halten, kopieren Sie die Datei normal.dot aus Ihrem Winword-Vorlagen-Verzeichnis in das Verzeichnis C:\NETZ.
  • Die Datei normal.dot muß immer dann erneut gesichert werden, wenn Sie eine Veränderung an ihr vornehmen (z.B. ein eigenes Makro anlegen, Seitenränder verändern etc.)

C: Verhalten bei einem Virenbefall

Das folgende Fenster warnt Sie vor dem Öffnen einer Datei, die wahrscheinlich mit Makroviren infiziert ist:

(Anmerkung: Die Warnung des Virenwächters kann im Einzelfall ein Fehlalarm sein, dann nämlich, wenn die zu öffnende Datei selbsterstellte Auto-Makros enthält. Im Sinne des Virenschutzes sollten in der ZUV jedoch keine derartigen Makros angewandt werden.)

  1. Antworten Sie immer mit „Ja"! (Dadurch werden die erkannten Makros deaktiviert und damit unschädlich gemacht.)
  2. Speichern Sie die danach geöffnete Datei unter einem anderen Namen ab.
  3. Löschen Sie unbedingt die virenverseuchte Originaldatei!
  4. Anschließend führen Sie die "Neuinstallation des Makroviren-Schutzes" (siehe Seite 1) durch.
  5. Um sicher zu sein, den Virenbefall ordnungsgemäß abgewehrt zu haben, untersuchen Sie anschließend Ihren PC mit der Virensuchdiskette!

Falls der Scanner einen Virus meldet, führen Sie folgende Maßnahmen durch:

  • Notieren Sie sorgfältig den Namen des Virus’ und die betroffene Datei!
  • Vergleichen Sie den Namen des gemeldeten Virus’ mit den im folgenden genannten:
  • Selbst entfernen sollten Sie nur CLOCK:DE, SCHUMANN, NOP und CAP in Dateien mit der Endung .doc oder .dot!
  • Wurde zusätzlich zu einem hier genannten ein anderer Virus gemeldet oder war eine Datei betroffen, die nicht die Endung .doc oder .dot hatte, wenden Sie sich an Ihren DV-Beauftragten.
  • Wurde ausschließlich einer der genannten Viren gefunden, wählen Sie im Menü der Virensuch-diskette die 4. Diese Funktion beseitigt die Makroviren in Word-Dateien.
  • Überprüfen Sie nach der Virenbeseitigung nochmals Ihren PC.

Beenden Sie den Vorgang erst, wenn wirklich kein Virus mehr gefunden wird!

Starten Sie nun Ihren PC ohne Virensuchdiskette und beginnen Sie mit den Nacharbeiten.

  • Kopieren Sie die normal.dot aus Ihrem Sicherungsverzeichnis C:\NETZ in Ihr Windows-Verzeichnis.
  • Führen Sie die "Neuinstallation des Makroviren-Schutzes" durch, um sicherzustellen, daß Ihr Virenwächter wieder aktiv ist.
  • Nutzer mit besonderen Anwendungen (z.B. Commence, Erstellen einer AS-Einladung, Erstellen eines AS-Protokolls, Erstellen einer AS-Tagesordnung) müssen auch die übrigen Makros überprüfen. Wenn Ihnen eine der zuvor vorhandenen Funktionen (z.B. die automatische Erstellung einer AS-Einladung) fehlt, wenden Sie sich bitte an das Rechenzentrum oder installieren Sie die Makros nach der Anleitung (siehe Datei M:\SCANPROT\minst.doc) selbst neu.

Doris Natusch

letzte Änderung: 8.12.97, kl