Huhu, ich habe mal wieder ein Virusproblem und diesmal so hartnäckig das ich gerade nicht weiter weiß.

Der angebliche Trojaner bzw. die Malware (TR/Spy.152064.18) versteckt sich hinter einem Ordner Laufwerk:/ZERAVICA/London.exe.

Ebenfalls ist die datei csrss.exe und 038.exe ebenfalls dieser Trojaner.

Während sich die London.exe nur auf den USB Sticks sowie mittlerweile mein MP3 Player befindet, sind die anderen beiden unter C:\Dokumente und Einstellungen\Frippi\ und C:\Dokumente und Einstellungen\Frippi\Lokale Einstellungen\Temp zu finden

Mein Antivir entdeckt diese allerdings ist das Problem das ich sie nicht anzeigen lassen kann (trotz "Versteckte Dateien anzeigen" und das vermeintliche Löschen durch Antivir GAR NICHTS bringt.

NOCH ist kein Schaden entstanden deswegen will ich das so schnell wie möglich weg haben.

Ein Format C: kommt zur Zeit NICHT in Frage, von daher bitte ich um konstruktive Vorschläge.

Bereits probiert: Ad-aware drüber schicken... Antivir drüber schicken... ohne Erfolg... nachher probier ich mal ne Testversion von Kaspersky was ja so hoch gelobt wird.

/help

Hast du mal bei den Ordneroptionen "Geschützte Systemdateien ausblenden (empfohlen)" rausgenommen? Eventuell versucht er ja, sich als Systemdatei zu tarnen und wird somit ausgeblendet.

Ansonsten wüsste ich leider auch keine Lösung außer eben Daten sichern und komplett plattmachen.

jup die sind ausgeblendet.

Kaspersky PURE hat irgendwie NIX gefunden, was mich sehr verwundert. Weder Warnungen noch den Ordner selber der eigentlich Unsichtbar irgendwo versteck war.

Dabei kam mir aber auch die Überlegung... gibt es die Möglichkeit das er nicht direkt auf den USB Sticks und Mp3 Playern sitzt, sondern eher direkt auf den USB Slots?

Nach dem Motto "when USB is on the slot... lets infizier!"

hmm, dass das was mit USB zu tun hat, kann ich mir nicht vorstellen. Eventuell hat Antivir es auch gelöscht? Also die Meldung angezeigt, aber dann irgendwie doch gelöscht, weshalb die Datei nicht mehr da ist?

Mach eine Kommandoshell auf und arbeite im Dos - soll heißen:
* cmd.exe in der Eingabeaufforderung eingeben
* dort in die entsprechenden Verzeichnisse navigieren (via cd ...)
* mit dir den tatsächlichen Inhalt anzeigen lassen
* bei Bedarf via Befehl erase infizierte Dateien löschen

....aber
* evtl. können Dateien nicht gelöscht werden, weil sie noch im Zugriff sind -> hier via Taskmanager jeweiligen Prozess abschiessen
* am besten via LiveCD hochbooten und dann überprüfen lassen - sicherer
* btw. kuck dir noch den Prozessexplorer von Sysinternal an - gut zum identifizieren eines störenden Prozesses.

... und liebe Grüße
lma
*Daumendrück*

Oh, der lma, ich werd bekloppt ... aber schön mal wieder von dir zu hören / zu lesen

PS: Deine Anleitung ist natürlich noch am besten und würde ich auch so weiter empfehlen

Das via CD ist nämlich genau das Problem... um es mal vorsichtig auszudrücken besaß ich nie ein eigenes Betriebssystem und diese CD Rom ist auch nicht mehr auffindbar. (Geschweige der Key dafür).

Dementsprechend versuch ich das ohne hinzubekommen.

Mit Task Manager und Co. hatten wir das schon Probiert, da mein Rechner und das Netbook meiner besseren Hälfte infiziert war. Beim Versuch die Datei London.exe zu beenden oder gar zu löschen (wobei ich mich frage warum sie sich das hatte anzeigen lassen können) startete der Unlocker (ein Programm was sich öffnet wenn man was löschen will und das Programm Anzeigt welches das Löschen verhindert.) und der Grund war IMMER die Explorer.exe

Da war ich völlig verwirrt weil Explorer.exe hatte doch was mit dem Betriebssystem direkt zu tun oder? So ganz genau weiß ich es nicht mehr, weiß nur noch das unter Win 98SE die Explorer.exe bei Schließung dazu geführt hat das sich der Desktop erstmal komplett abschoss und sich regenerierte.

Dann müssen wa die Anleitung ma zusammen Schritt für Schritt im TS durchgehen

So via Kaspersky und via Rattle hat nun die ganze Geschichte doch hingehauen. ERstmal ist alles Viren und Trojaner frei. Mal sehen für wie lange

Bis du halt die nächste pornosession startest. is doch ganz klar :>

Na Fripps ist der PC noch Virenfrei oder hast die gleiche Pornseite schon wieder angeklickt?

Virenfrei Aber die Viren kamen nicht durch Pornoseiten Wär mir neu das Redtube und Co plötzlich versteckten bösen Code haben... ist ja schließlich nicht ingame