AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Programm vor Windows starten

Ein Thema von Reddog · begonnen am 9. Okt 2004 · letzter Beitrag vom 9. Sep 2006
Antwort Antwort
Seite 1 von 3  1 23      
Benutzerbild von Reddog
Reddog

Registriert seit: 18. Jul 2004
Ort: Würzburg
56 Beiträge
 
#1

Programm vor Windows starten

  Alt 9. Okt 2004, 02:18
Hallo,

ich habe wieder mal eine Frage. Ich habe die Such-Funktion bemüht, aber bin doch zu Nichts gekommen. Vielleicht find ich ja einfach nicht die passenden Suchworte.

Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt, allerdings will Norton Antivirus oder sonstige aus dem Bunde nichts mit dem svchost anfangen). Diese ist aber nach dem Start von Windows verständlicherweise gestartet und kann nicht verändert werden. Hat jemand eine Idee, wie das funktionieren könnte. Also wenn nix geht, dann muss ich wohl Windows wieder mal neu draufmachen. Ist aber ärgerlich und hoffentlich nicht unabwendbar.

Kann mich zwar erinnern so etwas in der Art hier im Forum schon gesehen zu haben, kann es aber überhaupt nicht mehr finden.

Tja, Danke für jede Hilfe.
Reddog.
All prime numbers are odd with the exception of two, which is an odd prime
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#2

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 02:31
Zitat von Reddog:
Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt,
Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.

Zitat:
allerdings will Norton Antivirus oder sonstige aus dem Bunde nichts mit dem svchost anfangen
Was sollte Norton AntiVirus damit auch anfangen wollen? Wenn die Exe wirklich von einem Virus befallen sein sollte, wird Norton AntiVirus da auch nichts machen können von wegen reparieren oder so.

Zitat:
Diese ist aber nach dem Start von Windows verständlicherweise gestartet und kann nicht verändert werden.
Logisch, ist ja auch der Hostprozess für die Dienste.

Zitat:
Hat jemand eine Idee, wie das funktionieren könnte.
Lass den QWuatsch mit dem selber-patchen und führ eine Raparaturinstalltion aus.

Zitat:
Also wenn nix geht, dann muss ich wohl Windows wieder mal neu draufmachen. Ist aber ärgerlich und hoffentlich nicht unabwendbar.
Eigentlich schon unabwendbar, du sagst ja selber, dass du einen Virus hast. Somit ist das komplette System nicht mehr vertrauenswürdig, weil es kompromitiert wurde. Was du jetzt zu tun hast, kannst du hier: http://oschad.de/wiki/index.php/Kompromittierung und hier: http://www.microsoft.com/technet/com...mt/sm0504.mspx nachlesen.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Reddog
Reddog

Registriert seit: 18. Jul 2004
Ort: Würzburg
56 Beiträge
 
#3

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 03:48
OK, so eine Antwort habe ich erwartet.

Ich will's dennoch versuchen weil SCHLIMMER machen kann ich's nicht. Also warum nicht? Ich hab's schon mit anderen infizierten Dateien ausprobiert. Zunächst habe ich mir das Virus genauer angekuckt. Das scheint ziemlich seltsam aufgebaut zu sein und sich nicht am Dateiende anzuhängen sondern in mehreren Fetzen hineinzuschreiben. Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90. Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt. So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen). Ich weiß zwar nicht worauf es beruht, aber die Datei ist danach echt sauber. Das sagt der Norton auch. So hab ich bis jetzt alle Dateien gesäubert bis auf svchost.exe . Wie gesagt ich lass es auf einen Versuch ankommen, wenn mir jemand einen Tipp gibt, wie man an diese rankommt. Ich würd's ja mit ner Win98 StartDiskette machen, aber geht net, da diese kein NTFS liest.

Wenn's letzendlich nicht klappt ok, dann kann ich ja immer noch Windows neu installieren.

Reddog.
All prime numbers are odd with the exception of two, which is an odd prime
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#4

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 03:59
Zitat von Reddog:
Ich will's dennoch versuchen weil SCHLIMMER machen kann ich's nicht.
Stimmt neuinstallieren solltest du sowieso.

Zitat:
Also warum nicht? Ich hab's schon mit anderen infizierten Dateien ausprobiert. Zunächst habe ich mir das Virus genauer angekuckt. Das scheint ziemlich seltsam aufgebaut zu sein und sich nicht am Dateiende anzuhängen sondern in mehreren Fetzen hineinzuschreiben. Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90. Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt. So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen).
Und was soll den Virus aus der Exe-Datei entfernen? Der liebe Gott wird es wohl nicht sein.

Zitat:
Ich weiß zwar nicht worauf es beruht, aber die Datei ist danach echt sauber. Das sagt der Norton auch.
Logisch, du hast ja auch signifikante Bytefolge, die den Virus kennzeichnet, verändert. Somit entspricht sie keiner Norton bekannten Virensignatur und darum wiederum, wird er auch den Virus in der Datei nicht finden.

Zitat:
So hab ich bis jetzt alle Dateien gesäubert
Das glaube ich eher nicht. Aber auch wenn es funktioniert haben sollte und du zumindest den Virencode lahmgelegt hast, würde ich mich doch mal fragen, wo du ihn überhaupt her hast. Die Ursachen bekämpfen ist immer besser asl, wie du, an dem Symnptomenrumzudoktorn.

Zitat:
Ich würd's ja mit ner Win98 StartDiskette machen, aber geht net, da diese kein NTFS liest.
Es gibt für DOS Treiber, damit man von DOS lesend und schreibend auf NTFS zugreifen kann. Treiber zu finden für nur lesenden Zugriff ist kein Problem, welche die schreiben können findet man auch, nur wirst du dafür bezahlen müssen. Ich habe bisher noch keinen kostenlosen gefunden - und ich habe echt lange gesucht, um einen für meine Boot CD zu finden.
Alternativ könnte man Linux booten. Im neusten Kernel ist die NTFS Unterstützung drinne, allerdings erst noch on der Erprobungsphase.

Zitat:
Wenn's letzendlich nicht klappt ok, dann kann ich ja immer noch Windows neu installieren.
Auch wenn es klappt, würde ich dir das dringend empfehlen. Du brauchst nur eine infizierte datei übersehen zu haben und schon hast du den Virus wieder in deinem System verbreitet.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Reddog
Reddog

Registriert seit: 18. Jul 2004
Ort: Würzburg
56 Beiträge
 
#5

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 05:33
Also ich sehe es ein, dass ich das System eh neu installieren sollte.

Aber eine Sache weiß ich sicher:
zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott? ), aber er tut's. Vielleicht war er ja so programmiert, oder weiß der Geier was. Zu der Quelle, ich weiß mittlerweile sicher, wo ich ihn her habe. War eine CD von einm Freund(argh). Da muss man ja auch erst eine infizierte Datei starten, um den zu aktivieren. Naja letztendlich habe ich nichts auf dem PC, was sooooo wichtig wäre, und nicht gesichert ist. Deswegen würd ich das System so lassen, wenn's wieder geht.

Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm, ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.

Also Linux booten muss ich mal ausprobieren. Weißt du welches Linux NTFS schreiben kann?
Danke für die Antworten. Außerdem gibt's da doch so Programme, die vor dem Windows Start noch was machen, so wie Partition Magic. Ist das zu kompliziert?

PS: Ich mach doch sicher das System platt(nach reiflicher Überlegung), aber zuerst will ich ausprobieren, ob's klappt mit dem Virus-Entfernen. Vielleicht stellt mich dann Symantec ein .

Reddog.
All prime numbers are odd with the exception of two, which is an odd prime
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#6

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 08:04
1. Variante:
geh in die Systemsteierung > Dienste und deaktiviere ainfach alle Dienste, welche svchost verwenden (das sind ja nur fast alle -.-''), dann ist die datei frei und du kannst sie ändern.
allerdings wird nach 'ner weile die windowswiederherstellung kommen und beim nächsten Neustart die Datei wiederherstellen und deine änderung ist futsch.

2. Variante:
mach 'ne kopie von der Datei - verändere diese - beende Windows - Windows-CE, oder Boot-Diskette rein - 'n reparaturmodus starten und die Dateien austauschen.
allerdings wird hier dann auch die Wiederherstellung ansprechen und deine Änderungen sind schonwieder umsonst.

Lösung für 1 & 2:
verändere ebenfalls die Sicherungskopie, welche Windows davon hat, dann sollte bei der nächsten wiederherstellung ja das gepatche von Windows installiert werden.
allerdngs geht das auch nicht, da windows das bei der nächsten wiederherstellung merkt und die CD verlangt und sich die Datei von dort holt ... ergebnis: änderingen ebenfalls umsonst
$2B or not $2B
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#7

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 09:22
Hi Reddog,

ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden. IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
_master_

Registriert seit: 13. Mär 2004
22 Beiträge
 
Delphi 6 Enterprise
 
#8

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 11:56
was ich mir denk, ist es das sich der virus nur infiziert hat [ als ein thread ] in die svhost.exe, das mit dem 3 bytes ändern kann ich mir nicht vorstellen weil die svhost.exe ja läuft, und solang sie läuft kann man sie nicht ändern
  Mit Zitat antworten Zitat
Benutzerbild von Reddog
Reddog

Registriert seit: 18. Jul 2004
Ort: Würzburg
56 Beiträge
 
#9

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 13:55
Hallo,

also irgendwie wurde ich falsch verstanden.

1. Der Virus ändert natürlich nicht jedes 3. Byte, sondern schreibt seine eigenen Fetzten in die infizierte Datei hinein. Was es natürlich erschwert, den Virus zu löschen.

2. Wie der Virus die svchost.exe infiziert ist mir unklar, aber das schafft nicht nur er, sondern auch viele andere, siehe Symantec Viren-Glossar: eine Unmenge von Viren können das, also geht das schon.(Wenn ich nur wüsste wie ). Der Virus heißt w32.Marak oder W32.Mrak, Inormationen gibt's über den nicht, der Name kommt daher, weil in der Datei dann String-Referenzen auf 'Mrak1.pack', 'MrakMainWndClass', u.s.w. auftauchen. Ich kann jedem Interessierten eine Kopie davon schicken, allerdings glaub ich, das wäre eine schlechte Idee .

3. Meine Lösung sieht so aus, dass ich das 3. Byte der Datei(nur ein Byte) verändere, von $90 zu $00(die Bytes 3-4 geben die Anzahl der genutzten Bytes im letzten Sector der EXE an, oder so etwas in der Art). Beim nächsten Starten der Datei verschwindet der Virus von alleine, und zwar ganz(überprüft und bestätigt). Das es seltsam ist, weiß ich auch, aber wenn's funktioniert, ist es mir egal, wie genau.

4. Kann man die Windowswiederherstellung nicht davon überzeugen nix zu unternehmen?

Also, ich hoffe ich hab jetzt alles klargestellt.

@himitsu Dank für die Hilfe, vielleicht wird's ja was, ich werd's mal ausprobieren.
Reddog.
All prime numbers are odd with the exception of two, which is an odd prime
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#10

Re: Programm vor Windows starten

  Alt 9. Okt 2004, 14:05
Hi Reddog,

im Internet finde ich jedenfalls keine Informationen zu Marak oder Mrak. Schick die Datei mal auf https://www.webimmune.net/default.asp ein, dort kannst du die Dateien sofort prüfen lassen. Ich kenne aber immer noch keinen Weg, die Datei während des Ausführens zu bearbeiten.
Nenne mir doch mal bitte mal die Unmenge an Viren, die dies tun. Ich weiß jedenfalls keinen einzigen.

Und was meinst du mit
Zitat:
Kann man die Windowswiederherstellung nicht davon überzeugen nix zu unternehmen?
Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:30 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz