Ihr seid Hasen . Kann euch keinen Vorwurf machen, hab mich falsch ausgedrückt. Gehen wir davon aus, ihr habt einen (jaja, zum hundertsten Mal) Virus auf eurem System, der sich an Exe-Dateien hängt und den alten Entrypoint im PE-Header überschreibt. Wie bereinigt man die Exe, wenn der PE-Header nun nicht mehr gilt? wie? Ich hätte nur die Idee dass ich mir jetzt einen Disassembler schreiben muss und alle Jumpadressen durchgehen muss und auf den Block, wo nicht gejumpt wird, das könnte der Entrypoint sein ... Aber das ist auch sehr wage, weil ja auch ein Jump auf darauf stattfinden kann. Das ist mir nur alles zu kompliziert. Die ganzen Spezifikationen von MS und so weiter sind mir alle zu Hauf bekannt. Mittlerweile hab ich ne Sammlung von an die 30 Spezifikationen die ich alle schon durchgearbeitet hab. Hab dazu nichts gefunden. Wenn ich einen Algo dazu hätte, könnte ich jeden Linkvirus einfach so eben entfernen, weil ich in jeder Exe einen Entrypoint ermitteln kann.