Für einen dauerhaften Schutz läßt sich auch das bewährte Antivir Classic herunterladen und für den privaten Gebrauch kostenfrei einsetzen:

Immer beängstigender wird auch die zunehmende Bedrohung durch sog. Spyware.
Schädliche Backdoor-Programme öffnen den Rechner für den Zugang von außen für Dialer-Programme, zum Ausspionieren von Platteninhalten bis hin zur externen Kontrolle.
Wer in Zeiten günstiger Flat-Rates ständig eingewählt bleibt, sollte einen bewährten Spy- oder Adware-Schutz zur Hand haben.

Bei dieser Mail handelt es sich um eine Falschmeldung, die nur versandt wurde, um einen Computer-Virus der Familie "Sober.C" zu verbreiten. Der Empfänger soll durch den Besorgnis erregenden Inhalt dazu animiert werden, den Anhang zu öffnen. Damit aber wird der Rechner mit dem Virus infiziert, der dann die gleiche virusverseuchte Droh-Nachricht im Hintegrund an alle e-mail-Adressen versendet, die er auf der Rechner-Festplatte findet.
Öffnen Sie also trotz aller Drohungen bitte nie den Anhang. Löschen Sie die Mail und leeren anschließend sicherheitshalber auch den Papierkorb.

Dieser Virus macht sich bemerkbar durch stark ansteigenden e-Mail-Verkehr, der u.U. dazu führen kann, dass ständig die Leitung belegt wird. Ein typisches Merkmal dieser Gattung sind Dateieinträge im Verzeichnis "C:\Windows\Connection Wizard" bzw. "C:\WINNT\Connection Wizard". Dieses Verzeichnis existiert auf allen Windows-Systemen, ist aber i.d.R. leer. Wenn Sie darin Einträge finden, sollten Sie das Removal Tool von Symantec herunterladen und Ihren Rechner damit überprüfen.

Die drei Varianten sind zum Glück leicht zu identifizieren, da sie sich nicht sonderlich tarnen. So stellen Sie fest, ob Ihr Rechner befallen ist:

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie im Feld Öffnen den Text cmd ein. (Bei Win98 "command")
3. Klicken Sie auf OK. Im schwarzen Fenster der Eingabeaufforderung wird C:\...> angezeigt.
4. Geben Sie cd \ ein und drücken Sie die Eingabetaste. Dadurch ändert sich das Verzeichnis zu C:\ gefolgt vom Cursor.

5.a. Um den Rechner auf Mydoom.A zu prüfen, klicken Sie auf den Cursor, geben Sie dir shimgapi.dll /a /s ein.
Drücken Sie die Eingabetaste.
Warten Sie einen Augenblick.
Wenn Datei nicht gefunden (File not found) angezeigt wird, dann ist Ihr Computer nicht mit Mydoom.A infiziert.
Wenn Gesamte Dateien (Total Files found>0) angezeigt wird, dann ist Ihr Computer mit Mydoom.A infiziert.
5.b. Um den Rechner auf Mydoom.B zu prüfen, klicken Sie auf den Cursor und geben Sie dir ctfmon.dll /a /s ein.
Drücken Sie die Eingabetaste.
Warten Sie einen Augenblick.
Wenn Datei nicht gefunden (File not found) angezeigt wird, dann ist Ihr Computer nicht mit Mydoom.B infiziert.
Wenn Gesamte Dateien (Total Files found>0) angezeigt wird, dann ist Ihr Computer mit Mydoom.B infiziert.
5.c. Um den Rechner auf Mydoom.C zu prüfen, klicken Sie auf den Cursor und geben Sie dir intrenat.exe /a /s ein.
Drücken Sie die Eingabetaste.
Warten Sie einen Augenblick.
Wenn Datei nicht gefunden (File not found) angezeigt wird, dann ist Ihr Computer nicht mit Mydoom.C infiziert.
Wenn Gesamte Dateien (Total Files found>0) angezeigt wird, dann ist Ihr Computer mit Mydoom.c infiziert.

Eingeschleust wird dieser Wurm durch ein kleine Sicherheitslücke in Windows-2000 bzw. Windows-XP. Anscheinend wollten die Viren-Entwickler mit dieser drastischen Aktion auf diese Lücke hinweisen.
Wenn Sie den Verdacht haben, auch befallen zu sein, können Sie mit einem kleinen Testprogramm von Symantec den Wurm eliminieren:
Download FixBlast (Erkennung und Beseitigung)

Wenn sich der Verdacht bestätigt hat und der Wurm beseitigt wurde, sollten Sie den Rechner neu starten und die betroffene Sicherheitslücke durch den jeweiligen Windows-Patch sofort schließen:
Download Patch für Windows 2000
Download Patch für Windows XP

Weitere Informationen zum Blaster-Wurm erhalten Sie auf den offiziellen Symantec-Seiten unter www.symantec.de w32.blaster.worm

Dieses Phänomen ist oftmals dann zu beobachten, wenn ein Virenschutz installiert ist, dieser auch eine Bedrohung erkennt und eliminiert, aber die Folgen nicht mehr korrigieren kann. Einige Viren verändern u.U. auch Systemeinträge in der Windows-Registry. Selbst wenn der Träger schon in Quarantäne gestellt ist, können diese "Fehl-Einträge" noch vorhanden sein.

Laden Sie nachfolgende Datei auf den betroffenen Rechner und versuchen diese mit einem Doppelklick aufzurufen. Da dies keine EXE-Anwendung ist, sollte diese Datei auch erkannt und in die Registry eingelesen werden. (Sonst Rechte Maustaste -> Öffnen mit -> Regeditor)
ExeisExe.reg - Exe-Dateien als "Anwendung" erkennen

Sollte auch die Verknüpfungen nicht starten hilft folgende Reg-Datei:
LinkisLink.reg - Links als "Verknüpfung" erkennen

Aus ähnlichen Gründen kann es auch passieren, dass sich die Systemwiederherstellung nicht mehr starten läßt:
SysRestore.reg - Systemwiederherstellung wieder startbar machen...

Wenn sich der Tastmanager nicht mehr starten läßt, weil er angeblich "...von Admistrator deaktiviert" wurde, helfen u.U. folgende Registry-Einträge:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" <--in 0 aendern
DisableRegistryTools = "dword:00000001" <--in 0 aendern

Wenn Sich die gespeicherten DFÜ-Verbindungen nicht mehr anzeigen und öffnen lassen, so können die verlorenen DLLs über Kommendozeilen wieder eingebaut werden; d.h. über Start->Ausführen mit "CMD" eine Eingabebox starten. Dort nacheinander die Befehle
regsvr32 netman.dll
regsvr32 netcfgx.dll
regsvr32 netshell.dll
eingeben und dadurch den Ordner DFÜ-Verbindungen wiederbeleben.

Die Programmdatei svchost.exe ist eine windows-eigene Systemdatei und dient dem System zum Starten von Dienstprogrammen mit Hilfe von DLL-Dateien. Da u.U. mehrere Dienste so gestartet werden, können im Taskmanager auch mehrere Einträge mit svchost auftauchen. Dies allein ist noch kein Grund zur Besorgnis.
Die original Windows-Datei steht immer im Verzeichnis \windows\system32.
Einige Trojaner benutzen zur Tarnung denselben Dateinamen, sind aber in einem anderen Verzeichnis, oftmals direkt "\windows" gespeichert. Ist diese dann einmal gestartet, ist sie im Taskmanager namentlich nicht mehr von den anderen, regulären svchost-Prozessen zu unterscheiden. Allein der Speicherbedarf bzw. die Beanspruchung der CPU-Auslastung legt den Rechner so lahm, dass kaum Programme mehr gestartet werden können.
Abhilfe schafft auf Dauer nur, die falsche svchost.exe wieder zu löschen. Da aber der zugehörige Prozess beim Systemstart mitgeladen wird, kann diese u.U. nicht einfach gelöscht werden.
Wenn Sie auf Ihrer Platte eine Datei svchost.exe neueren Datums an einem anderen Ort als ..\System32 entdecken, versuchen Sie diese zu löschen. Wenn der Löschvorgang verweigert wird, versuchen Sie im Taskmanager zuvor den entsprechenden Prozess zu beenden (bei mehreren svchost-Prozessen den mit der größten Auslastung)