Wie werde ich Batch Virus für immer los?!

#1 Hallo, Ihr Lieben,

kann es sein, dass ein Batch Virus daran Schuld hat, dass sich meine Demoplattform nicht mehr öffnen lässt? Wenn ich diese anklicke, erhalte ich die Fehlermeldung:

*.exe ist keine zulässige Win32-Anwendung

Dieser Batch Virus soll ja gerne .exe Dateien verändern. Habe schon mit allem möglichem Jagd gemacht, nichts gefunden. Nun ist bei mir Dr. Web mehrmals fündig geworden. Ich erhalte die Fehlermeldung:

C:\Windows system volume\ restore ... paar Zahlen folgen noch .....wahrscheinlich handelt es sich um einen Batch Virus.

Wie gefährlich ist dieses Vieh?

Habe mehrere Batch Viren jedesmal verschoben, aber sie kommen immer wieder bei jedem Scan! Wie werde ich diese Viecher für immer los? Oder gehören sie zu einer Antivirensoftware???

Dann hätte ich alles durchprobiert :-).

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#2 KathrinH


>>
Da hat sich etwas in der Systemwiederherstellung verankert.
Mach folgendes:

Bei XP:
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

>>
Zudem poste ein HiJackThis Log:
http://virus-protect.org/hjtkurz.html

Gruss swiss

#3 Hallo, lieber Swiss,

wie gefährlich ist dieses Batch Viech?

Gibt es noch eine Alternative zu Hijackthis? Dieses lässt sich nicht ausführen!

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#4 KathrinH

Scrolle auf http://www.zonavirus.com/datos/descargas/95/elibagla.asp ganz nach unten
zu " Descargar Elibagla 11.66 " und klicke

Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Neben Unidad muss stehen C:\ wenn nicht,ändere es nach C:\
“Eliminar Ficheros Automaticamente” muss angehaackt sein
Klicke " Explorar "
Klicke nachher "Salir" um das Program zu schliessen
Am Ende stet auf C:\ infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread

Starte dein Rechner neu und lasse " EliBaglA " nochmal scannen
Am Ende stet auf C:\ infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread


Gruss Swiss

#5 Hallo, lieber Swiss,

habe einmal gescannt mit Elibagla. Es hat doch tatsächlich 1 Objekt gefunden in einem Indikator, der zur Demoplattform gehörte!!!

Soll ich jetzt trotzdem die Systemwiederherstellung von Windows deaktivieren und wieder aktivieren? Ich kann leider keine Backups wie geplant mit Acronis True Image machen auf meine DVD/RW´s, weil ich nur ein DVD ROM Laufwerk habe! Wenn ich die Systemwiederherstellung deaktiviere, werden dann alle bisherigen Systemwiederherstellungspunkte gelöscht??? Oder nur der letzte? Dann könnte ich nämlich nicht mal mehr diese nutzen! Oder soll ich das dann nach dem 2. Scan mit Elibagla doch lieber lassen, wenn nichts mehr gefunden wird?

Hier ist der 1. Bericht:

_________________________________________________________________

Mon Sep 01 22:03:58 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Sep 01 22:04:39 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 18337
Nº Total de Ficheros: 95424
Nº de Ficheros Analizados: 14379
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
________________________________________________________________
Bis gleich. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#6 Hallo, lieber Swiss,

hier also nochmal beide Berichte. Das Viech ist noch da gewesen nach dem Neustart! Am Ende des Pfades des vermeintlichen Virus (der Indikator für die Demoplattform) hat es in Klammern eine 16 gezeigt. Heißt das, das Viech ist noch 16 Mal auf meinem PC???! Muss ich also den Scan noch mindestens 16 Mal machen???

Bin gespannt. Dankeschön.

Liebe Grüße

Kathrin
_________________________________________________________________

Mon Sep 01 22:03:58 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Sep 01 22:04:39 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 18337
Nº Total de Ficheros: 95424
Nº de Ficheros Analizados: 14379
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Sep 01 22:42:31 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Sep 01 22:43:29 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 18332
Nº Total de Ficheros: 95342
Nº de Ficheros Analizados: 14379
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
_______________________________________________________________
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#7 Hallo, lieber Swiss,

habe die Datei jetzt mehrmals gelöscht mit Elibagla, aber sie ist immer noch da!!! Habe die Datei unter Virustotal.com prüfen lassen, aber die Datei ist wohl unbekannt. Es hat kein Ergebnis angezeigt.

Es ist ein neuer Indikator für den Metatrader 4. Vielleicht kennt sich ja hier jemand damit aus. Wem kann ich die Datei schicken zwecks Überprüfung?

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#8 @ KathrinH
Nochmal vorab zur Klärung für mich:-Welches Betriebssystem+SP hast Du
Berichte, ob bei Dir sämtliche.exe nicht mehr (mit Mausclick) zu öffnen gehen (Hijackthis.exe, notepad.exe, regedit.exe etc....) Es kann sein, dass bei Dir ein paar Registry Einträge vergeigt wurden.Ich hätte da ein Reperatur-File für Dich.Mache den Test und dann kann ich Dir den Kompletten Reperatur Code für die Exe- Registry-Standards schicken- liegt parat, wenn es das ist.(Manchmal sind es mehr als zwei Einträge!!!)

#9 Hallo,

ich bin´s nochmal. Mal ganz bekloppt gefragt, wenn ich die betreffende Datei manuell lösche, ist sie dann weg??? Oder ist dann nur die Datei weg und der Schädling ist noch da???

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#10 Solange sie in den Restore Dateien ist,- und du stellst das System nicht wieder zurück, dürfte die Datei nichts anstellen. Manuell kannst Du sowieso nicht darauf zugreifen, das können nur einige Virenscanner vllt auch Malwarebytes??-weiß nicht genau

#11 Hallo, lieber Provisitor,

ich habe Windows XP Pro mit SP 2. Bisher habe ich nur gemerkt, dass sich meine Demoplattform für den MT 4 nicht mehr öffnen lässt, wo ich vermutlich den Indikator installiert hatte. Jetzt hockt der Virus noch da fest, wo ich ihn ursprünglich auf meiner Festplatte abgespeichert hatte.

Doch, ich könnte manuell auf die Datei zugreifen! Soll ich sie manuell löschen???

Die Datei ist doch sonst jedesmal wieder da, auch wenn ich sie mit Elibagla lösche!

Ich weiß nicht, ob noch andere Dateien befallen sind. Wenn ich Pech habe, kommen alle .exe Dateien dran! Das merkt man dann erst später, wenn der Zugriff auf bestimmte Dateien nicht mehr geht!

Bis bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#12 Wo soll die Datei sein ??? -ich denke in den Restore-Dateien ???

Probiere was ich Dir oben geschrieben habe, ob andere exe.-Dateien auch nicht zu öffnen sind.-Das ist wichtig!!!

Zitat

..Hijackthis? Dieses lässt sich nicht ausführen! --->ist nämlich auch eine Exe

Übrigens...Dr Web hat infizierte Dateien in den Restore-Dateien gefunden, sonst nichts.
Wo soll ein Fund in diesem portugisischem/spanischem Log sein, wo liest Du da was -bitteschön ??? Ich denke mal es hat angezeigt, das soundsoviele Ordner, Dateien gescannt worden sind, und die letzten Einträge die vermutlich die Infizierungen anzeigen (würden) -da steht eine eindeutige Null. Und wenn Du Deine verdächtige Datei mal einzeln gescannt hast, da stand da vllt. auf spanisch: "Anzahl der gescannten Dateien=1"
ich kann leider kein spanisch solltest Du doch einen Beweis haben dann poste ihn!
Obendrein hast Du auch auf Virustotal gescannt das ist eigentlich auch eine sichere Sache, dort sind über 30 Virenscanner vereint, ein Programm müßte da was sehen (zumindest nach ein paar Tagen).Hättest Du mal den Test rübergereicht (exe-Dateien) wüßten wir jetzt schon besser wo das Problem sein könnte, anstatt sich auf einer Virusvermutung festzubeißen . Nochmal:
Du hast hier bisher noch keinen Log-posten können (Beweis) wo außerhalb der Restore-Dateien ein Virus existiert.Und auf die Restores kommst Du nicht manuell drauf.
Versuche Hijackthis.exe umzubenennen in --->HJT.com<---und dann zu starten alternativ das selbe mit Combofix machen, damit wir einen Log bekommen (auch wenn es nicht funktionieren sollte,so haben wir wenigstens etwas mehr Aufschluß,was geht und was nicht).Ich vermute, das der Startbefehl,wenn es sich um einen Virus handelt, in der Registry bei den Exefile-Zuordnungen niedergeschrieben ist,wenn Du Angst hast, dass Du Dir die Notepad etc. zerstörst mit dem Test, so besorge Dir irgend eine andere Exe (Spiel.exe [aber nichts zum Installieren],die Du ja eh nochmal auf Stick/CD hast o.ä.)--->und lege sie in einen seperaten neuen Ordner (wichtig) mit der Du testen kannst ob sie auch nicht geht und ob die Meldung kommt -keine Windowsanwendung o.ä.In der Regel versteckt sich so eine .bat-Datei mit dem Attribut+h und gibt als Systemdatei aus.-also mal die Ordneroptionen checken, ob Du alle versteckte Ordner+ Dateien/Systemdateien anzeigen lassen hast.Die Datei die Du in Verdacht hast, ist das denn eine xyz.bat -Datei???

#13 Hallo, lieber Provisitor,

es sind 2 verschiedene Viren! Was ich schon vor paar Tagen gefunden habe, den Batch Virus, der kommt immer wieder und bei jedem Scan mit Dr. Web ist er wieder da! Dieses Viech hat sich in der Windows System Volume Restore .... festgesetzt. Den kann ich also nicht manuell löschen. Ich werde mal versuchen, den in Virustotal scannen zu lassen.

Was gestern Elibagla gefunden hat, ist ein Indikator für den Metatrader 4, den kann ich manuell löschen. Ist der Virus dann weg? Ich kann leider auch kein Spanisch, aber beim Scannen mit Elibagla hat es immer den Pfad zu dem Indikator angezeigt, mich was gefragt in Spanisch und man konnte nur mit OK bestätigen. Ich weiß also nicht, was er da gefunden hat. Soll ich den spanischen Text abschreiben?

Ich scanne jetzt nochmal mit Dr. Web. Dann noch mit den Anderen. Ich hoffe, es werden nicht noch mehr Viecher.

Bis dann. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#14 In dein ersten Bericht wurde angegeben:

Zitat

*.exe ist keine zulässige Win32-Anwendung

Darum wurde "EliBagle"benutzt um zu prüfen ob es den W32/Bagle@MM ist,ist es aber nicht

Bei DrWeb CureIt muss man aufpassen,nach eine halbe Stunde ist die Database schon wieder veraltet,man muss also neu installieren
__________
MfG Argus

#15 @ Kathrin
Mach es mir doch nicht so schwer,der Virus ist in den Restores,weil es mal einen gegeben hat,auf dem System,d.h.diese Version würde Dein Virenscanner auch noch finden wenn er auf dem (aktuellen) System wäre.Alle exe-Dateien funktionieren nicht mehr auf Doppelclick (meine Vermutung, aber das willst Du mir ja ums Verderben nicht bestätigen/ausprobieren).Die Sache mit Hijackthis (umbenennen) hast Du auch nicht probiert,-ob es etwa in der umbenannten Version scannt, aber es evtl. Probleme mit dem Logfile gibt, weil Notepad sich nicht öffnet,weil es ja auch eine exe ist.Wenn Du halbwegs mal ein bisschen "mitarbeiten" würdest,wäre das Problem mit den exe-Dateien vllt. längst gelöst,-Du könntest einen HJT-Scan +Combofix-Scan machen und wir wüßten ob da ein "Urviech" sich noch auf dem Rechner versteckt, weil ja jetzt vllt. die anderen (clean+search) Programme auch wieder funzen.

Zitat

Was gestern Elibagla gefunden hat, ist ein Indikator für den Metatrader 4

---> wie ist die genaue Dateibezeichnung und was wird da genau angezeigt?????
Solltest Du Dich doch noch entschließen all' meine Fragen zu beantworten/testen, melde ich mich nach der Spätschicht heute abend wieder.Aber die wichtigste Frage ist mir die mit den exe-Dateien,-sonst treten wir auf der Stelle.Die Funktion mit der Systemwiederhestellung und den Restore-Dateien hast Du wahrscheinlich auch noch nicht in seiner Funktionalität/Arbeitsweise verstanden, sonst wüßtest Du, das es gar nicht anders sein kann, das die Viren immer wieder in den Restores sind (sofern sie nicht vom Virenprogramm, das dazu in der Lage ist, alle gleichzeitig gelöscht werden) ,-weil man ja jeden definierten "Momentanzustand" von einen (definierten) Zeitpunkt wieder herstellen könnte,-das ist durchaus im Sinne des Erfinders,-man sollte bloß aufpassen welchen Zustand man wiederherstellt.