Wie werde ich Batch Virus für immer los?!

#31 Kannst du mir mal erklären was ein Batch Virus ist
Und was sagt dein Up-to-Date Virenscanner denn dazu
__________
MfG Argus

#32 Hallo, lieber Arnold,

das mit dem Batch Virus habe ich mir nicht ausgedacht :-). Ich weiß nicht, wie sowas funktioniert. Das hat mir Dr. Web vor einigen Tagen angezeigt (3 Dateien, wahrscheinlich ein Batch Virus in C:\ System Volume Restore .... Habe sie verschoben. Das muss ja nicht stimmen, nur so als Anhaltspunkt.

Ich glaube jetzt aber doch eher, dass diese massiven Probleme, die ich jetzt erst seit 3 Tagen habe, durch die Installation meines Router am Montag ausgelöst wurden. Und zwar nicht vom Router, sondern (mal wieder!) durch Zonealarm (will ich sowieso deinstallieren)! Ich hatte mehrere PC-Abstürze! Mein PC ist bei der Installation einfach stecken geblieben und Zonealarm ließ nichts mit sich machen. Musste es per Notstart wieder versuchen.

Meine Virenscanner sagen überhaupt nichts dazu! Nichts gefunden! Das ist es ja eben. Also entweder ist es ein Schädling, der sich sehr gut versteckt oder es ist gar kein Schädling, sondern ein Defekt im System. Oder es sind mehrere Probleme gleichzeitig.

Sonst noch Ideen :-)?

Wie wäre es also mit: Start - Ausführen - CHKDSK???

Alternativ, welche Software spürt versteckte Schädlinge auf oder was es sonst noch für hartnäckige Probleme gibt???

Dann müssten wir es doch eigentlich bald haben ;-).

Bis dann. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#33 Wenn so eine Meldung kommt wird EliBagle eingesetzt um zu schauen ob es sich um Bagle handelt,war aber nicht so
Entferne diesen tool wieder

Zitat

.exe ist keine zulässige Win32-Anwendung

Auf dein PC steht Steganos Security Suite 6 du hast das Program woran du nicht ran kommen kannst doch nicht verschuesselt?

SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus

#34

Zitat

habe mir diese komische MSVBVM60.dll wieder neu geladen. Habe sie auf meinem PC gespeichert, wo sonst?

Wooooooooo....In welchem Ordner ???????????
Mache aber erst das was Arnold geschrieben hat
Befehl Systemwiederherstellung: (Start--Ausführen)
reinschreiben:
%SystemRoot%\System32\restore\rstrui.exe

#35 Hallo, Ihr Lieben,

ja, ich habe Steganos Security Suite 6 zum Schreddern (mache ich mehrmals täglich), ein Safe ist auch dabei, nutze ich aber selten. Ist schon 3 Jahre alt, die Software. Habe jetzt auch noch CCleaner zum Schreddern.

Nein, ich habe nichts verschlüsselt (oder meintest Du verschusselt :-)?, auch nein) mit der Demoplattform, diese ließ sich immer mühelos anklicken und öffnen, plötzlich vor 2 Wochen ging es eben nicht mehr.

Kann diese plötzliche Verweigerung der Demoplattform auch von einem PC-Absturz sein? Nur so als Idee. Habe schon vor 2 Wochen mit dem Router gefummelt, ihn nicht funktionstüchtig bekommen (hätte lange fummeln können, T-Online musste nur meinen DSL-Anschluss umstellen!), mir erst noch ein USB-Kabel und einen Schukostecker bei Ebay gekauft, hat sich also hingezogen .....

Diese MSVBVM60.dll habe ich im Adminkonto gespeichert unter den eigenen Dateien, extra Ordner benannt, auch Hijackthis ist da mit drin als HJT. Okay so?

Werde jetzt also SDFix probieren.

Wenn das nicht hilft, CHKDSK.

Wenn das auch nichts hilft, im abgesicherten Modus die Systemwiederherstellung.

In dieser Reihenfolge, okay?

Bis dann. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#36

Zitat

Diese MSVBVM60.dll habe ich im Adminkonto gespeichert unter den eigenen Dateien

...hab ich's mir doch gedacht, diese Datei gehört in Windows/System32
dort wo Du sie gespeichert hast ist sie völlig sinnlos !!!

#37 Hallo, Ihr Lieben,

SDFix hat wohl nichts gefunden.

Nun CHKDSK? Oder?

Sorry, dass ich die Datei MSVBVM60.dll falsch gespeichert habe. Hat ja trotzdem funktioniert :-).

Bis dann. Dankeschön.

Liebe Grüße

Kathrin
_______________________________________________________________

Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 14:18:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe"="C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPop.exe:*:Enabled:AVK POP3/IMAP Proxy"
"C:\\Programme\\SmartFTP\\SmartFTP.exe"="C:\\Programme\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"E:\\fsetup.exe"="E:\\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :



Files with Hidden Attributes :

Sat 8 Jan 2005 1,388,544 A..H. --- "C:\Programme\ESE EMail Search Engine\ESE NNTP - EMail Search Engine Newsserver.TMP0"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Programme\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Fri 11 Jun 2004 1,740 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\ccReg.reg"
Fri 11 Jun 2004 274,702 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\CommonClient.reg"
Fri 11 Jun 2004 155,360 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\IAM.reg"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT4.tmp"

Finished!
____________________________________________________________
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#38 Zur Kontrolle:
Im Ordner C/Windows/System32
Ist die Datei MSVBVM60.dll -(für Servicepack2)
--->1,32 MB (1.392.671 Bytes) groß ??? (Größe=erster/obiger Wert bei "Eigenschaften")---ist das so bei Dir ???

#39 Hallo, lieber Provisitor,

habe gerade mal geschaut. Die Datei MSVBVM60.dll, die ich mir gestern nochmal geladen habe, hat komischerweise nur 0,98 MB und befindet sich in meinen eigenen Datein. Wollte sie verschieben, wo sie hingehört. Da bekam ich die Meldung, dass diese Datei dort schon ist bei System 32. Habe geschaut und tatsächlich habe ich diese Datei schon seit dem 23.02.04! Vermutlich durch automatische Updates! Sie hat 1,32 MB!

Wozu ist das aber jetzt noch wichtig?

Habe mir gerade bei Ebay CD R´s (mit DVD´s geht es nicht) gekauft, damit ich nun endlich mal mit Acronis Backups machen kann.

Bis bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#40 Kathrin
Diese Datei ist eine Standard Windowsdatei, ich habe Dich kontrollieren lassen, weil Du berichtet hattest, dass diese Datei angeblich nicht gefunden wurde,-ich habe vermutet, dass irgend ein Schadprogramm (Virus) Dir diese Datei verändert/manipuliert hat,-und wenn das System diese Datei aufrufen will und sie ist "kaputt" kann so eine Fehlermelung kommen (...konnte nicht gefunden werden). Ich hoffe, dass Du diese Datei (von wo immer sie Du Dir auch besorgt hast) auch richtig ausgesucht hast (Du brauchst die für XP Servicepack2).In der Regel wurde sie am Tag Deiner Erstinstallation mit installiert,-am Tag als Du das Servicepack installiert hast, wurde die Datei von Windows aktuallisiert/überschrieben.Sie müßte jetzt die Dateigröße haben wie ich es oben schrieb.Vergess bitte die Datei wenn sie bei Dir in den Eigenen Dateien gespeichert ist. Dort kannst Du sie zwar aufbewahren (als Reserve, wenn es auch die richtige ist) aber "arbeiten" tut Windows nur mit einer Datei die diese Bezeichnung hat, und wenn sie im System32-Ordner liegt. Die 0,98 MB lassen mich wieder zweifeln, ob Du Dir die richtige Datei "besorgt" hast, oder ob die Datei noch komprimiert ist, oder ob Du mal schnell mit der Maus drüber bist und in dem kleinem Fenster was am Mauszeiger hing, da stand "0.98Mb".Wenn wir hier über Dateigrößen reden (ich habe die 1,32 Mb nur der Vollständigkeit mit hingeschrieben), dann nur die Werte die bei Eigenschaften in der obigen Zeile stehen,-nur was hinter "Größe" steht,- und dann der genaue Wert in Bytes (in der Klammer),- der Wert "Größe auf Datenträger" ist zweitrangig und gibt nicht die genaue Größe der Datei wieder!!! Eine Zusätzliche Information für die "Echtheit einer solchen Datei kann auch der Eintrag "geändert am" sein (aber viele Dateien werden von Windows ständig regulär geändert!!!).
Weiterhin kontrollieren ob in obigen Reitern bei Eigenschaften, die Einträge von Dateiversion, Produktversion etc. alle darauf schließen lassen, dass diese noch eine "original" Windowsdatei ist. Du hast gesehen als Du "Deine Datei" die Du runtergeladen hast", dort einfügen wolltest, wurdest Du gefragt ob Du die existierende Datei überschreiben wolltest.So ähnlich macht es auch ein Virus, der überschreibt die Datei,- aber ohne Dich zu fragen, und zwar ganz heimlich im Hintergrund und dann hast Du eine manipulierte Datei dort drin, die sonstetwas mit Deinem System anstellt oder gar nicht funktioniert (und ein Virus muß ja irgendwann mal kurz Dein System "besucht" haben, sonst wäre er nicht in den Restores [gewesen]).
Ich habe noch einen Vorschlag, da andere Suchprogramme nichts gefunden haben. Mich würde interessieren, ob Du mal das Malwarebytes zum Laufen bringst, aber im abgesicherten Modus ( (F8) beim hochfahren drücken).
Download (altes deinstallieren,neu runterladen + installieren,-auch wenn Du es schon hast) +poste den Report
Malwarebytes:
http://virus-protect.org/artikel/tools/malwarebytes.html

Das Selbe mit Combofix (erst deinstallieren Start--> Ausführen [reinkopieren]: ComboFix /U +OK clicken
Download neu:
Combofix: (wieder im Normalmodus)
http://virus-protect.org/artikel/tools/combofix.html
In der Hoffnung, dass diesmal ein (lesbarer) Report dabei rauskommt wo auch etwas drinsteht im Log!? +dann posten

#41 Hallo, lieber Provisitor,

ja, ich bin mit der Maustaste über die Datei gefahren, um zu sehen, wieviel MB sie hat :-).

Ich glaube ehrlich gesagt nicht, dass es ein Schädling ist, der die Probleme verursacht. Ich glaube jetzt eher, dass es ein Softwareproblem ist!

Combofix ist wohl nicht so verträglich für meinen PC. Es hat nichts gefunden und kurz danach habe ich mit Elibagla gescannt und hatte plötzlich 200 Probleme (kein Zugriff auf ca. 200 Dateien)! Zufall?

Ich weiß ja, dass ich hier im Antischädlingsforum gelandet bin, aber was ist mit der Idee, wenn ich erst mal ein Backup mache und dann (wenn CHKDSK und die Systemwiederherstellung nichts bringen) eine 2. Partition auf meinem PC einrichte mit Eurer Profihilfe und mir Windows XP Pro wieder neu installiere? Wenn die Neuinstallation funktioniert, kann ich ja dauerhaft rüberschalten? Geht das?

Mein PC hat insgesamt 80 GB Speicherplatz, nur 20 GB sind belegt. Ich möchte nicht sofort alles platt machen und neu installieren, weil ich nicht weiß, ob ich das hinbekomme und ob ich alle Software (Treiber .....) dazu habe. Auch was die ganzen Einstellungen betrifft, so könnte man da immer mal rüber schauen und diese übernehmen. Was meinst Du?

Außerdem wäre doch mein PC in dieser Zeit trotzdem für mich nutzbar, oder?

Wer weiß, wie viele Wochen das dauert?! Bei mir dauert alles etwas länger :-)!

Bis bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#42 Kathrin
Ein Schädling wird (meistens) von der Virensoftware erkannt.
Fakt ist: Ein Schädling der in den Restores ist/war, der war auch mal auf Deinem "arbeitendem" System. Dort kann er Schaden an der Registry oder an anderen Stellen im System angerichtet haben, bevor er vom Virenprogramm entdeckt wurde und isoliert.Schäden in der Registry könnten ansatzweise von Malwarebytes behoben/erkannt werden bzw. von Combofix (ansatzweise) ans Tageslicht gebracht. Angenommen es wäre der Fall, da könntest Du in diesem Moment auch von einem "Softwareproblem" sprechen.Du hast geschrieben, dass die Log-Datei von Combofix leer war, das ist kein gutes Zeichen, denn es müßten dort wenigstens die letzten Systemberichte drin stehen, leer bedeutet nicht dass keine Viren o.ä. gefunden wurden, leer bedeutet, dass irgend etwas das Combofix "abgewürgt" hat.Vor ein paar Wochen hast Du hier ein Combofix-Log gepostet, also erzähle jetzt nicht, dass es Dein PC nicht "verträgt" oder so. Lade es neu und Speichere es auf den Desktop des Adminkontos, dann ausführen (es kann eine Warnmeldung des Virenscanners kommen, dass ein "gefährlicher vbs--->Script" bei Combofix entdeckt wurde, -diese Meldung akzeptieren/zulassen/ignorieren), mache das selbe aber vorher mit Malwarebytes, aber im abgesicherten Modus auf den Desktop des Administrators, scanne Damit+poste den Report.Du hast auch berichtet, dass die Suchfunktion nicht mehr geht, dass Du die Systemwiederherstellung nicht mehr funktioniert, dass eine .dll nicht gefunden wurde, dass ein Programm nicht mehr geht, dass Du die Adminrechte nicht zuweisen kannst ......und und und.
Von was für einem "Trümmerhaufen" willst Du denn da ein Backup machen???
(ok-- es würde schon klappen wenn Du das richtig anstellst, und es keine weiteren Probleme mit der Software gibt,- ein Backup ist immer gut)
Trotzdem mal noch einen wichtigen Tip: Fange langsam mal an, Deine wichtigsten Dateien zu sichern. Eines Tages schaltest Du Dein PC ein und es geht gar nichts mehr (bevor das Backup fertig ist, oder es funktioniert aus irgend einen Grund nicht-muß aber nicht passieren). Lege Dir die Programme parat, die Du auf Deinem zukünftigen System noch drauf haben willst, eine pure Neuinstallation von Windows einschließlich Formatieren/Partitionieren,Firewall,Virensoftware +Updates laden dauert vllt. 3-4-5? Std (kann auch schneller gehen) Es ist nicht so schwer wie Du denkst,vieles geht ganz automatisch, Du mußt bloß ab und zu mal etwas bestätigen. Natürlich würde es rein theoretisch auch so funktionieren wie Du es beschrieben hast, zwei Partitionen sind immer besser, aber nehme dann in Kauf, dass Du trotzdem auf einer Partition eine Neuinstallation durchführen mußt, eine Reperatur von einem nicht intakten (kopierten) System,- darauf würde ich nicht wetten ob das immer klappt...und übrigens ist das die Chance mal ein "frisches" System zu bekommen. So ungefähr meintest Du das doch oder?

#43 Hallo, lieber Provisitor,

ich prüfe jeden Tag zusätzlich mit ASquared. Es hat heute 3 angebliche Schädlinge gefunden. Es war aber SDFix! Es gibt also auch Fehlalarme.

Mein Internet funktioniert superflink, obwohl ich nur einen 2000er DSL habe. Solange mein Internet noch geht, kann ich mir Hilfe (und Software) im Internet suchen.

Mit Backups meinte ich eine Datensicherung. Mein PC ist 5 Jahre alt. Da sammelt sich ganz schön was an :-). Ich habe noch nie was gespeichert. In den persönlichen Daten (wie Buchhaltung ...) werden doch wohl keine Schädlinge sitzen? Auch könnte ich schon mal die ganzen Einstellungen speichern (für Treiber .....) und eine Boot-CD erstellen mit Acronis. Oder?

Habe mir jetzt noch einen Brenner bei Ebay ausgeguckt von LG (Marktführer). Damit kann ich sowohl DVD´s als auch CD´s brennen. Brauche ich noch eine extra Brennersoftware? Leider antwortet der Händler nicht. Habe schon länger auf meinem PC Deep Burner gespeichert. Geht es damit? Mit der Lieferung rechne ich spätestens am Dienstag.

Dann hoffe ich, dass es mit der Backup Software Acronis True Image klappt :-). Ich kann ja in mehreren Abschnitten speichern, muss nicht sofort eine Komplettspeicherung meines ganzen PC´s machen. Was nicht richtig funktioniert, macht auch keinen Sinn zu speichern.

Es gibt auch Reparatursoftware, um kaputte Dateien zu kitten. Vor einer kompletten Neuinstallation scheue ich mich vorerst.

Werde also nochmal scannen, aber 100 % Sicherheit gibt es wohl nie. Auch wenn jetzt nix gefunden wird, kann sich doch was verstecken.

Bis bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#44 also wen du dein system neu machen willst, sichere nur dokumente! spiele das system lieber einmal komplett sauber auf (for dem gang ins internet sp2 und antivirenprogramm drauf) update alle programme und instaliere so weit alles. dann würde ich ein image machen denn dann ist dein system auf jeden fall sauber.

#45 hallo Arnold
http://www.computec.ch/download.php?view.751
hier kannst nachlesen was für eine art von virus das ist ;-)