Hi,

wenn du die Datei nicht verschoben hast seitdem du sie zuletzt ausgeführt hast, sollte das eigentlich gehen.

Ansonste kopiere die Datei bitte auf deinen Desktop und gebe folgenden Befehl ein:

Zitat:

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0

Hallo,

ich habe seit Tagen genau das gleiche Problem. Ich habe mit SUPERAntiSpyware und Malwarebytes (in der Reihenfolge) alle Plagegeister entfernen können (ich hatte vorher schon mit ein paar Antivirenprogrammen per Boot-CD einige andere Plagegeister entfernt, allerdings wesentlich weniger). Übrig geblieben ist aber eben auch nach SUPERAntiSpyware und Malwarebytes vilsel.aejm, der nach jedem Reboot immer wieder auftaucht.

Malwarebytes findet ihn, bietet auch an, ihn beim reboot zu löschen, er taucht aber immer wieder auf als

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\svchost.exe

bzw. als

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\smss.exe

Auch ein manuelles Löschen über den Fileassasin führt zum gleichen "Erfolg". Hat jemand noch weitere Ideen, wie man dem vertrackten Trojaner beikommen kann?

Merci und Grüße,

tom

Hallo alle,

ich habe das Problem mit Bootkit Remover lösen können, wie oben von myrtille beschrieben:

Erst mal per remover.exe schauen, dann ggf. per "Start - Ausführen - cmd"

START remover.exe fix \\.\PhysicalDrive0 eingeben

wobei man erst mal in den Ordner wechseln muß, wo sich der remover befindet, sonst kann der Befehl das Programm nicht finden (das Problem von resistance01).

Blöd ist es wohl nur für diejenigen, die einen manuell angepaßten MBR haben, GRUB o.ä.

Vielleicht kann einer eine Lösung dafür stricken?

Grüße,

tom

Zitat:

Blöd ist es wohl nur für diejenigen, die einen manuell angepaßten MBR haben, GRUB
Vielleicht kann einer eine Lösung dafür stricken?

Mal so als Ansatz, hört sich an, als wenn Du eine Dual-Boot-Umgebung mit Windows und Linux hast:
- mit fixmbr in der Windows-Wiederherstellungskonsole den MBR neu schreiben
- da Linux dann nicht mehr booten kann: von Linux-Live-CD booten und den Bootloader wiedherstellen => GRUB ? Wiki ? ubuntuusers.de

Zitat:

Zitat von cosinus

Mal so als Ansatz, hört sich an, als wenn Du eine Dual-Boot-Umgebung mit Windows und Linux hast:
- mit fixmbr in der Windows-Wiederherstellungskonsole den MBR neu schreiben
- da Linux dann nicht mehr booten kann: von Linux-Live-CD booten und den Bootloader wiedherstellen => GRUB ? Wiki ? ubuntuusers.de

Nein, ich habe das Problem nicht, weil dieser Rechner nur zwei Windowse hat, da war es kein Problem.

Da ich aber einen anderen Rechner habe, wo es genau so ist, kam mir die Frage wie es wohl da zu machen wäre für diejenigen, die eben einen veränderten MBR haben.

Ich würde es auch so machen wie Du vorschlägst und wer einen auf diese Art angepaßten Rechner hat, ist vermutlich auch in der Lage sein Linux wieder zum laufen zu bekommen. Ein sehr gutes Tool dafür (und für andere Bootprobleme), das mir schon oft geholfen hat, ist übrigens Supergrub (www.supergrubdisk.org), falls das irgendjemand noch nicht kennt.

Best,

tom

@TomZ

Schön, dass Dir geholfen werden konnte.
Sind die Dateien svchost.exe und smss.exe samt Verzeichnis von Deinem Rechner verschwunden?
Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

@myrtille

svchost.exe ist im Task-Manager 5 mal zu finden. Ich weiß allerdings nicht, ob und welche(r) davon virusbedingt sind/ist.
smss.exe taucht nur einmal auf, was ok sein dürfte, oder?

Gruß
Jens

Zitat:

Zitat von resistance01

Sind die Dateien svchost.exe und smss.exe samt Verzeichnis von Deinem Rechner verschwunden?
Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

Ich habe es so gemacht: Erst mit Malwarebytes gesucht und dann die Registryeinträge und Trojaner damit entfernt, aber vor dem notwendigen rebooten erst den Bootkit Remover laufen lassen.

Ich bin zwar kein Experte, aber ich reime es mir so zusammen: Malwarebytes kann zwar alles finden und entfernen, aber beim Booten wird der Trojaner per MBR immer wieder neu eingesetzt und das passiert nicht mehr, wenn man den MBR per Bootkit Remover zurücksetzt.

Zitat:

svchost.exe ist im Task-Manager 5 mal zu finden. Ich weiß allerdings nicht, ob und welche(r) davon virusbedingt sind/ist.
smss.exe taucht nur einmal auf, was ok sein dürfte, oder?

Bei mir ist svchost 8 mal da, smss.exe einmal.

Ich drück Dir die Daumen daß es klappt. Vielleicht kannst Du den MBR mit Bootkit Remover auslesen und die Experten hier können was dazu sagen?

Grüße,

tom

Zitat:

Zitat von resistance01

Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

Das sind ja auch Systemdateien in Windows\System32 !
Die müssen immer da sein, Du musst als prüfen, ob die schädlichen Dateien getarnt als svchost und smss in system volume information noch da sind bzw. nach dem Entfernen wieder da auftreten.

Zitat:

Zitat von cosinus

Das sind ja auch Systemdateien in Windows\System32 !
Die müssen immer da sein, Du musst als prüfen, ob die schädlichen Dateien getarnt als svchost und smss in system volume information noch da sind bzw. nach dem Entfernen wieder da auftreten.

Ich meine das seltsame Verzeichnis c:\system volume information\restore{...,
in dem die Virusdateien zu finden sind. Wenn das System bereinigt ist, müsste doch auch dies Verzeichnis zu entfernen sein. Es ist bei mir aber noch da, und ich habe keinen Zugriff darauf.

Nochmal: tauchen die Dateien svchost und smss innerhalb von system volume information auch nach dem Löschen immer wieder auf bei jedem Neustart des Rechners? Eigentlich ist das eine Folge des verkorksten MBR, und ein Fixmbr *sollte* eigentlich helfen - wenn es das nicht tat musst Du nochmal abwarten bis myrtille sich hier wieder meldet.

So,
das Teil ist weg. Ich glaube der remover hat es gebracht.
Das Verzeichnis war zwar noch da, aber leer, und es ließ sich mit unlocker
löschen. Ganz schön hartnäckig.

Ein riesengroßes an cosinus und myrtille. Ich spende was.

Beste Grüße
Jens