Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus aus System Volume Information löschen? (https://www.trojaner-board.de/86723-virus-system-volume-information-loeschen.html)

Asharon 03.06.2010 12:54
Virus aus System Volume Information löschen?
 
Hi, ich weiss es ist sicher kein seltenes Thema und ich habe mir schon einen Wolf gegooglet und alles versucht, leider bekomme ich den Virus nicht gelöscht, zumindest nicht auf die Arte wie ich es gelesen habe.

Ich habe 2 Viren smss.exe und svchost.exe in c:\system volume information\_recovery{blablub}\

Ich habe schon die systemwiederherstellung deaktiviert und versucht die beiden dateien zu löschen. er meinte jedoch, diese werden gerade verwendet. Daraufhin bin ich einem Tip gefolgt diese mit "unlocker" zu löschen. Habe mir dieses programm geladen, die beiden prozesse freigegebn und als er sie nicht löschen konnte gesagt er solle sie nach einem neustart löschen.. Leider tut er dies nicht und die beiden dateien sind immernoch da.

Ich habe windows xp sp3 und antivir. Gibt es noch einen anderen weg die zu löschen? sollte ich vllt mal andere programme testen wie hijackthis oder adaware? Oder können die da nix machen wenn schon avira und unlocker nichts reissen.

Btw unlocker sagt die dateien werden von winlogon.exe verwendet.Vvllt ist das der grund, warum die immer in verwendung sind und auch durch die antiviren software nicht gelöscht werden können...

Bitte helft mir,
Danke im vorraus

cosinus 03.06.2010 14:19
Hallo,

ich seh hiermit Ähnlichkeiten => http://www.trojaner-board.de/86159-v...ersagen-2.html
Mach mal bitte das was myrtille in Posting #41 schreibt:

Zitat:
Zitat von myrtille (Beitrag 528411)
Kannst du bitte bootkit_remover herunterladen. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Sag mir dann bitte Bescheid ob es Veränderungen gibt und wenn ja in welchem device.

MfG myrtille

Asharon 03.06.2010 17:54
Hi, habe das Programm heruntergeladen und ausgeführt...

Code:
C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>remover
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
\\.\D: -> \\.\PhysicalDrive0

    Size  Device Name          MBR Status
 --------------------------------------------
  149 GB  \\.\PhysicalDrive0  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>remover fix c
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

<<Hier kommt die Meldung das nach dem Vorgang neu gestartet werden muss -  habe es dann mit yes beantwortet.>>

CreateFile() ERROR 2
ERROR: Can't open physical disk device.

Press any key to quit...

C:\Dokumente und Einstellungen\xxxx\Desktop\bootkit_remover>

cosinus 03.06.2010 20:49
Zitat:
MD5: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Hast Du aus dem MD5-Hash lauter xx gemacht? :confused: :dummguck:

Asharon 03.06.2010 21:16
Jo, das war ich ;) Brauchst des?

cosinus 03.06.2010 21:19
Ja!! Bitte wirklich nur private Dinge ändern, ein MD5-Hash ist "nur" eine Prüfsumme, aus der man keine Rückschlüsse zu privaten Daten ziehen kann.

Asharon 03.06.2010 21:28
oh sry, sekunde war mir da nicht ganz so sicher ^^
MD5: 274955059efe9236c07688c5ff9242b2

cosinus 03.06.2010 21:45
Ok. Dann probier mal den MBR so zu fixen wie myrtille es beschreibt mit diesem Befehl:

START remover.exe fix \\.\PhysicalDrive0

Asharon 03.06.2010 22:37
Hey er ist weg :D Danke!!!

Muss ich jetzt noch irgendwas beachten oder repariert sich der mbr von alleine?

cosinus 04.06.2010 08:52
Ok. Bitte jetz einen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19