Hi, ich weiss es ist sicher kein seltenes Thema und ich habe mir schon einen Wolf gegooglet und alles versucht, leider bekomme ich den Virus nicht gelöscht, zumindest nicht auf die Arte wie ich es gelesen habe.

Ich habe 2 Viren smss.exe und svchost.exe in c:\system volume information\_recovery{blablub}\

Ich habe schon die systemwiederherstellung deaktiviert und versucht die beiden dateien zu löschen. er meinte jedoch, diese werden gerade verwendet. Daraufhin bin ich einem Tip gefolgt diese mit "unlocker" zu löschen. Habe mir dieses programm geladen, die beiden prozesse freigegebn und als er sie nicht löschen konnte gesagt er solle sie nach einem neustart löschen.. Leider tut er dies nicht und die beiden dateien sind immernoch da.

Ich habe windows xp sp3 und antivir. Gibt es noch einen anderen weg die zu löschen? sollte ich vllt mal andere programme testen wie HijackThis oder adaware? Oder können die da nix machen wenn schon avira und unlocker nichts reissen.

Btw unlocker sagt die dateien werden von winlogon.exe verwendet.Vvllt ist das der grund, warum die immer in verwendung sind und auch durch die antiviren software nicht gelöscht werden können...

Bitte helft mir,
Danke im vorraus

Hallo,

ich seh hiermit Ähnlichkeiten => http://www.trojaner-board.de/86159-v...ersagen-2.html
Mach mal bitte das was myrtille in Posting #41 schreibt:

Zitat:

Zitat von myrtille

Kannst du bitte bootkit_remover herunterladen. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Sag mir dann bitte Bescheid ob es Veränderungen gibt und wenn ja in welchem device.

MfG myrtille

Hi, habe das Programm heruntergeladen und ausgeführt...

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>remover
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
\\.\D: -> \\.\PhysicalDrive0

     Size  Device Name          MBR Status
 --------------------------------------------
   149 GB  \\.\PhysicalDrive0   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>remover fix c
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

<<Hier kommt die Meldung das nach dem Vorgang neu gestartet werden muss -  habe es dann mit yes beantwortet.>>

CreateFile() ERROR 2
ERROR: Can't open physical disk device.

Press any key to quit...

C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>
         

Zitat:

MD5: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Hast Du aus dem MD5-Hash lauter xx gemacht?

Jo, das war ich Brauchst des?

Ja!! Bitte wirklich nur private Dinge ändern, ein MD5-Hash ist "nur" eine Prüfsumme, aus der man keine Rückschlüsse zu privaten Daten ziehen kann.

oh sry, sekunde war mir da nicht ganz so sicher ^^
MD5: 274955059efe9236c07688c5ff9242b2

Ok. Dann probier mal den MBR so zu fixen wie myrtille es beschreibt mit diesem Befehl:

START remover.exe fix \\.\PhysicalDrive0

Hey er ist weg Danke!!!

Muss ich jetzt noch irgendwas beachten oder repariert sich der mbr von alleine?

Ok. Bitte jetz einen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.