Hallo,

also irgendwie wurde ich falsch verstanden.

1. Der Virus ändert natürlich nicht jedes 3. Byte, sondern schreibt seine eigenen Fetzten in die infizierte Datei hinein. Was es natürlich erschwert, den Virus zu löschen.

2. Wie der Virus die svchost.exe infiziert ist mir unklar, aber das schafft nicht nur er, sondern auch viele andere, siehe Symantec Viren-Glossar: eine Unmenge von Viren können das, also geht das schon.(Wenn ich nur wüsste wie ). Der Virus heißt w32.Marak oder W32.Mrak, Inormationen gibt's über den nicht, der Name kommt daher, weil in der Datei dann String-Referenzen auf 'Mrak1.pack', 'MrakMainWndClass', u.s.w. auftauchen. Ich kann jedem Interessierten eine Kopie davon schicken, allerdings glaub ich, das wäre eine schlechte Idee .

3. Meine Lösung sieht so aus, dass ich das 3. Byte der Datei(nur ein Byte) verändere, von $90 zu $00(die Bytes 3-4 geben die Anzahl der genutzten Bytes im letzten Sector der EXE an, oder so etwas in der Art). Beim nächsten Starten der Datei verschwindet der Virus von alleine, und zwar ganz(überprüft und bestätigt). Das es seltsam ist, weiß ich auch, aber wenn's funktioniert, ist es mir egal, wie genau.

4. Kann man die Windowswiederherstellung nicht davon überzeugen nix zu unternehmen?

Also, ich hoffe ich hab jetzt alles klargestellt.

@himitsu Dank für die Hilfe, vielleicht wird's ja was, ich werd's mal ausprobieren.
Reddog.