Seit geraumer Zeit kursiert ein Virus Namens Happy99 im Internet umher.
Die Infektion eines Systems mit diesem Virus erfolgt, indem die Happy99.exe als Dateianhang in E-Mails verschickt wird. - Oeffnet der Empfänger diese Datei, erscheint auf dem Bildschirm ein Feuerwerk. - Jedoch wir das System im Hintergrund mit dem Virus infiziert. Werden von einem infiziertem System E-Mails verschickt, geht eine weitere/ zweite Mail an diesen Empfänger, welches für den Versender jedoch unbemerkt bleibt. - Die zweite Mail beinhaltet als Dateianhang den Happy99-Virus/Worm.
Welchen Schaden richtet der Virus an ?
Die Mailprogramme Outlook und Outlook Express werden zum Absturz gebracht, sobald ein Versender eine Datei an die E-Mail anhaengen moechte. - Auch gibt es Berichte darueber, dass der Virus Abstürtze von ganzen System und Netzwerken verursachen kann. - Der Virus ist unter allen gängigen Windows-Versionen lauffähig, auch unter NT. Der Virus ist nicht lauffähig unter Windows 3.x, OS/2, Linux oder DOS, könnte jedoch trotzdem ausversehen manuell weiterverbreitet werden. Markantes Merkmal ist jedoch die Tatsache der schnellen Verbreitung der Happy99.exe auf Systemen, wo der Virus voll lauffähig ist.
Erkennung/Beseitigung des Virus Happy99
Nach der ersten Ausführung der Happy99.exe wird diese in das System - Verzeichnis kopiert/angelegt. Desweiteren werden Änderungen an der WSOCK32.dll vorgenommen. Jedoch legt der Virus zunächst eine "Sicherungsdatei" Namens WSOCK32.SKA (dieses ist somit die reguläre WSOCK32.dll). Desweiteren sind im gleichen Verzeichnis die Dateien: SKA.EXE, SKA.DLL angelegt worden. Ich möchte darauf hinweisen, unter NT kann der Virus die WSOCK32.dll NICHT verändern, legt jedoch ebenfalls die genannten Dateien an.
Sollte es dem Virus nicht gelingen bei Start der Happy99.exe das System zu infizieren, erfolgt ein Eintrag in die Registrierung in folgendem Pfad:
HKEY_LOCAL_MACHINE|SOFTWARE|Microsoft|Windows|
CurrentVersion|RunOnce Hier wird ein Registrierung-Schlüssel Namens SKA.EXE angegelegt. - Somit wird diese EXE-Datei beim nächsten Systemstart ebenfalls mitgestartet und versucht erneut das System zu infizieren.
Wenn Du eine der oben genannten Dateien auf Deinem System findest, wird Dein Rechner leider mit diesem Virus infiziert sein.
Zur Entfernung gehe bitte wie folgt vor:
Die WSOCK32ska ist also Deine ursprüngliche/alte WSOCK32.dll.
Benenne die WSOCK32.dll um (z.B. WSOCK32.bad). Nun die WSOCK32.ska in WSOCK32.dll umbenennen und mit Schreibschutz versehen (WICHTIG !). Jetzt löschst Du noch die Dateien ska.exe, ska.dll und wsock32.alt. Falls Du noch irgendwo gesondert die Happy99.exe und/oder die Mail mit der angehängten Datei haben, loesche diese auch gleich mit. Jetzt einfach Dein System neu starten und der Virus ist nicht mehr vorhanden.
Nun schaue noch mal in die Registrierung unter dem bereits weiter oben genannten Pfad. - Solltest Du dort noch einen Eintrag Namens SKA.EXE finden, lösche diesen ebenfalls.ACHTUNG ! ! Sollte es Dir nicht gelingen vorher die SKA.EXE aus dem System-Verzeichnis zu loeschen, musst Du ZUERST den Pfad in der Registrierung löschen, Rechner neu starten und dann die SKA.EXE entfernen.
Nun ist nur noch eine Datei des Virsu übrig geblieben. Es handelt sich um die Textdatei LISTE.SKA. In dieser Liste sind alle Empfänger enthalten, denen Du unbemerkt ebenfalls den Virus zugeschickt hast. Bitte warne diese Personen vor diesem Virus und verweise auf meine Seite, wie man diesem entgegenwirken kann.
Sollte Dir die manuelle Entfernung zu umständlich oder kompliziert sein, keine Panik. Es gibt bereits ein Programm, weches den Virus erkennt und vollständig entfernen kann. Die alte WSOCK32.dll wird ebenfalls wiederhergestellt.