Supportnet Computer
Planet of Tech

Supportnet / Forum / Windows98

Bitte um HILFE !!!!!





Frage

Hallo, ich habe ein sehr hartnäckiges Virenproblem und hoffe mir kann hier jemand helfen. Ich habe ein Netzwerk, bestehend aus 2 PCs die über eine Netzwerkkarte verbunden sind (Peer to Peer glaub ich).Auf beiden Computern ist Win98 installiert und es werden mehrere Programme und ein Drucker(am Client) über das Netzwerk genutzt. Nur der Server hat eine Internetanbindung, eine Internetfreigabe für den Client gibt es nicht. Nur auf dem Server ist AntiVir installiert und wird regelmäßig aktualisiert. Ich gebe einen Auszug aus der Report-Datei des Virenwächters mit den unterschiedlichen Dateien und Identifizierungen: Datentechnik GmbH 22.10.2002 14:51:35: AntiVir Guard 9x wurde gestartet. 22.10.2002 17:02:24: [C181B2B0] !!! slot-0 already used by C181B2B0 22.10.2002 17:04:34: AntiVir Guard 9x 6.16.0.0 (c) 1999-2002 H+BEDV (->hat das irgendwas zu sagen?diese Meldung tauchte auch einmal auf) Die Datei "C:\WINDOWS\SCRSVR.EXE" ist infiziert mit dem Virus "W95/Spaces.1445.B" Die Datei "C:\WINDOWS\SCRSVR.EXE" ist infiziert mit dem Virus "Worm/OpaSoft.D" Die Datei "C:\WINDOWS\SCRSVR.EXE" ist infiziert mit dem Virus "Worm/OpaSoft" Die Datei "C:\WINDOWS\SCRSVR.EXE" ist infiziert mit dem Virus "W32/Funlove" Die Datei "C:\WINDOWS\BRASIL.EXE" ist infiziert mit dem Virus "Worm/OpaSoft.BC" Die Datei "C:\WINDOWS\BRASIL.PIF" ist infiziert mit dem Virus "Worm/OpaSoft.BC" Die Datei "C:\WINDOWS\ALEVIR.EXE" ist infiziert mit dem Virus "W95/Kriz.4050" Die Datei "C:\WINDOWS\ALEVIR.EXE" ist infiziert mit dem Virus "W32/Funlove" Die Datei "C:\WINDOWS\MSVXD32.DLL" ist infiziert mit dem Virus "Worm/Datom.3" Meine Maßnahmen zur Entfernung: -habe AntiVir laufen lassen, per hand win.ini Eintrag des Virus entfernt -Netzwerk durch Kabelziehen getrennt, Freigabe des Laufwerks C: aufgehoben -beide PCs im abgesicherten Modus gestartet -die Tools "BitDefender Opaserv Removal Tool"(für Variante A-F) und "symantec W32.Opaserv.Worm Fix Tool 1.01" laufen lassen ->hat Virus entfernt -per hand alle scrsvr,brasil,alevir Dateien gesucht und gelöscht, das gleiche in der Registy -tmp.ini gelöscht, win.ini kontrolliert -alles mehrmals im abgesicherten Modus -dann normaler Modus,alles noch mal kontrolliert, Tools und AntiVir laufen lassen (kein Fund) -Netzwerkstecker war draußen, Freigabe deaktiviert bin ich ins Internet und AntiVir meldete sich bald darauf wieder mit den bekannten Meldungen!!!! Ich habe jetzt das Netzwerk wieder verbunden und Windows erst mal mit den Sicherheitsupdates auf den neusten Stand gebracht. Die Tools,Antivir und die Handlöschungen in der Registy und Win.ini bringen keinen Erfolg.Die Viruseinträge und Dateien sind nach einem Neustart wieder da! Der Computer will sich ständig mit dem Internet verbinden worauf sich ständig der Virenwächter meldet. Hat Jemand einen Lösungsvorschlag für mich? Da eine normales Arbeiten mir ständigen Virenalarmen nicht möglich ist, muss ich den Virenwächter deaktivieren. Ich bin für alle (ernsten) Vorschläge dankbar.

Antwort 1 von drago

Mehrere Antivirenprogramme drüberfahren lassen.
Aber in diesem Zustand würde ich dir empfehlen, nach so vielen Versuchen das Zeug loszuwerden, alle Daten die du brauchst absichern, und alles FRISCH installieren.
Vorher aber ALLES löschen, überprüfen und erst dann neu installieren.
Sonst wirst du dieses unangenehme Gefühl nicht los, das vielleicht doch noch was da ist. (Was ja durchaus auch sein kann)..

Antwort 2 von IRON

Da ist auch noch was da, nämlich die völlig überflüssigerweise automatisch an das TCP/IP-Protokoll des DFÜ-Adapters gebundene Datei-u. Druckerfreigabe. Solange diese Bindung nicht gelöst wird, nützt auch die schönste Neuinstallation nichts(die übrigens auch überflüssig ist).
Hilfe bei BugBear & Co.:
http://www.malwareinfo.de

Antwort 3 von Peter 123

Erstmal danke für eure Antworten.
Ich habe zwei Fragen an dich IRON:
Diese Datei-u.Druckfreigabe brauche ich doch um im Netzwerk drucken zu können und die Netz-Programme laufen zu lassen?

Deine Seite ist gut.Es wird dort der Tipp gegeben den "Zugang zu den Ports 137 und 139 von externen Computern aus unbedingt zu schließen". Wie mache ich das?
Alles neu zu installieren wäre die absolute Katastrophe bei den ganzen Programmen...

Antwort 4 von Peter 123

Bei der Abmeldung von Windows werden neuerdings 2 Benutzer gemeldet (es ist nur ein 2PC-Netzwerk) wobei 1 Datei in Benutzung ist.
Das ganze nur bei Internetverbindung die er auch andauernd herstellen will.
Ich habe auch an den Netzwerkeinstellungen herumgespielt.Kann es daran liegen? Hat jemand eine Idee?

Antwort 5 von Komputerdienst - Alexander Gerhard

Die Viren sitzen im Boot -sector der Festplatten, und zwar in allen, die nach der Infizierung angelaufen sind. Die Datei ALEVIR, die infiziert zu sein scheint, wird wohl der Virenwächter sein. Der wird sich nicht selbst zerstören, indem er an seiner exe datei herumbastelt. Demzufolge ist der Virus über die bestehenden Programme nicht erntfernbar. Hast Du Netmeeting installiert? Wenn ja, welche Version? Ich könnte mich über Netmeeting einloggen und die Dinger killen.
Gruß
Alexander Gerhard