Programm vor Windows starten
 

Hallo,

ich habe wieder mal eine Frage. Ich habe die Such-Funktion bemüht, aber bin doch zu Nichts gekommen. Vielleicht find ich ja einfach nicht die passenden Suchworte.

Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt, allerdings will Norton Antivirus oder sonstige aus dem Bunde nichts mit dem svchost anfangen). Diese ist aber nach dem Start von Windows verständlicherweise gestartet und kann nicht verändert werden. Hat jemand eine Idee, wie das funktionieren könnte. Also wenn nix geht, dann muss ich wohl Windows wieder mal neu draufmachen. Ist aber ärgerlich und hoffentlich nicht unabwendbar.

Kann mich zwar erinnern so etwas in der Art hier im Forum schon gesehen zu haben, kann es aber überhaupt nicht mehr finden.

Tja, Danke für jede Hilfe.
Reddog.

Re: Programm vor Windows starten
 

Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.

Was sollte Norton AntiVirus damit auch anfangen wollen? Wenn die Exe wirklich von einem Virus befallen sein sollte, wird Norton AntiVirus da auch nichts machen können von wegen reparieren oder so.

Logisch, ist ja auch der Hostprozess für die Dienste.

Lass den QWuatsch mit dem selber-patchen und führ eine Raparaturinstalltion aus.

Eigentlich schon unabwendbar, du sagst ja selber, dass du einen Virus hast. Somit ist das komplette System nicht mehr vertrauenswürdig, weil es kompromitiert wurde. Was du jetzt zu tun hast, kannst du hier: http://oschad.de/wiki/index.php/Kompromittierung und hier: http://www.microsoft.com/technet/com...mt/sm0504.mspx nachlesen.

Re: Programm vor Windows starten
 

OK, so eine Antwort habe ich erwartet.

Ich will's dennoch versuchen weil SCHLIMMER machen kann ich's nicht. Also warum nicht? Ich hab's schon mit anderen infizierten Dateien ausprobiert. Zunächst habe ich mir das Virus genauer angekuckt. Das scheint ziemlich seltsam aufgebaut zu sein und sich nicht am Dateiende anzuhängen sondern in mehreren Fetzen hineinzuschreiben. Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90. Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt. So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen). Ich weiß zwar nicht worauf es beruht, aber die Datei ist danach echt sauber. Das sagt der Norton auch. So hab ich bis jetzt alle Dateien gesäubert bis auf svchost.exe . Wie gesagt ich lass es auf einen Versuch ankommen, wenn mir jemand einen Tipp gibt, wie man an diese rankommt. Ich würd's ja mit ner Win98 StartDiskette machen, aber geht net, da diese kein NTFS liest.

Wenn's letzendlich nicht klappt ok, dann kann ich ja immer noch Windows neu installieren.

Reddog.

Re: Programm vor Windows starten
 

Stimmt neuinstallieren solltest du sowieso.

Und was soll den Virus aus der Exe-Datei entfernen? Der liebe Gott wird es wohl nicht sein.

Logisch, du hast ja auch signifikante Bytefolge, die den Virus kennzeichnet, verändert. Somit entspricht sie keiner Norton bekannten Virensignatur und darum wiederum, wird er auch den Virus in der Datei nicht finden.

Das glaube ich eher nicht. Aber auch wenn es funktioniert haben sollte und du zumindest den Virencode lahmgelegt hast, würde ich mich doch mal fragen, wo du ihn überhaupt her hast. Die Ursachen bekämpfen ist immer besser asl, wie du, an dem Symnptomenrumzudoktorn.

Es gibt für DOS Treiber, damit man von DOS lesend und schreibend auf NTFS zugreifen kann. Treiber zu finden für nur lesenden Zugriff ist kein Problem, welche die schreiben können findet man auch, nur wirst du dafür bezahlen müssen. Ich habe bisher noch keinen kostenlosen gefunden - und ich habe echt lange gesucht, um einen für meine Boot CD zu finden.
Alternativ könnte man Linux booten. Im neusten Kernel ist die NTFS Unterstützung drinne, allerdings erst noch on der Erprobungsphase.

Auch wenn es klappt, würde ich dir das dringend empfehlen. Du brauchst nur eine infizierte datei übersehen zu haben und schon hast du den Virus wieder in deinem System verbreitet.

Re: Programm vor Windows starten
 

Also ich sehe es ein, dass ich das System eh neu installieren sollte. :(

Aber eine Sache weiß ich sicher:
zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott? :mrgreen:), aber er tut's. Vielleicht war er ja so programmiert, oder weiß der Geier was. Zu der Quelle, ich weiß mittlerweile sicher, wo ich ihn her habe. War eine CD von einm Freund(argh). Da muss man ja auch erst eine infizierte Datei starten, um den zu aktivieren. Naja letztendlich habe ich nichts auf dem PC, was sooooo wichtig wäre, und nicht gesichert ist. Deswegen würd ich das System so lassen, wenn's wieder geht.

Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm, ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.

Also Linux booten muss ich mal ausprobieren. Weißt du welches Linux NTFS schreiben kann?
Danke für die Antworten. Außerdem gibt's da doch so Programme, die vor dem Windows Start noch was machen, so wie Partition Magic. Ist das zu kompliziert?

PS: Ich mach doch sicher das System platt(nach reiflicher Überlegung), aber zuerst will ich ausprobieren, ob's klappt mit dem Virus-Entfernen. Vielleicht stellt mich dann Symantec ein :-D.

Reddog.

Re: Programm vor Windows starten
 

1. Variante:
geh in die Systemsteierung > Dienste und deaktiviere ainfach alle Dienste, welche svchost verwenden (das sind ja nur fast alle -.-''), dann ist die datei frei und du kannst sie ändern.
allerdings wird nach 'ner weile die windowswiederherstellung kommen und beim nächsten Neustart die Datei wiederherstellen und deine änderung ist futsch.

2. Variante:
mach 'ne kopie von der Datei - verändere diese - beende Windows - Windows-CE, oder Boot-Diskette rein - 'n reparaturmodus starten und die Dateien austauschen.
allerdings wird hier dann auch die Wiederherstellung ansprechen und deine Änderungen sind schonwieder umsonst.

Lösung für 1 & 2:
verändere ebenfalls die Sicherungskopie, welche Windows davon hat, dann sollte bei der nächsten wiederherstellung ja das gepatche von Windows installiert werden.
allerdngs geht das auch nicht, da windows das bei der nächsten wiederherstellung merkt und die CD verlangt und sich die Datei von dort holt ... ergebnis: änderingen ebenfalls umsonst :P

Re: Programm vor Windows starten
 

Hi Reddog,

ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden. IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.

Greetz
alcaeus

Re: Programm vor Windows starten
 

was ich mir denk, ist es das sich der virus nur infiziert hat [ als ein thread ] in die svhost.exe, das mit dem 3 bytes ändern kann ich mir nicht vorstellen weil die svhost.exe ja läuft, und solang sie läuft kann man sie nicht ändern

Re: Programm vor Windows starten
 

Hallo,

also irgendwie wurde ich falsch verstanden.

1. Der Virus ändert natürlich nicht jedes 3. Byte, sondern schreibt seine eigenen Fetzten in die infizierte Datei hinein. Was es natürlich erschwert, den Virus zu löschen.

2. Wie der Virus die svchost.exe infiziert ist mir unklar, aber das schafft nicht nur er, sondern auch viele andere, siehe Symantec Viren-Glossar: eine Unmenge von Viren können das, also geht das schon.(Wenn ich nur wüsste wie :)). Der Virus heißt w32.Marak oder W32.Mrak, Inormationen gibt's über den nicht, der Name kommt daher, weil in der Datei dann String-Referenzen auf 'Mrak1.pack', 'MrakMainWndClass', u.s.w. auftauchen. Ich kann jedem Interessierten eine Kopie davon schicken, allerdings glaub ich, das wäre eine schlechte Idee :twisted:.

3. Meine Lösung sieht so aus, dass ich das 3. Byte der Datei(nur ein Byte) verändere, von $90 zu $00(die Bytes 3-4 geben die Anzahl der genutzten Bytes im letzten Sector der EXE an, oder so etwas in der Art). Beim nächsten Starten der Datei verschwindet der Virus von alleine, und zwar ganz(überprüft und bestätigt). Das es seltsam ist, weiß ich auch, aber wenn's funktioniert, ist es mir egal, wie genau.

4. Kann man die Windowswiederherstellung nicht davon überzeugen nix zu unternehmen?

Also, ich hoffe ich hab jetzt alles klargestellt.

@himitsu Dank für die Hilfe, vielleicht wird's ja was, ich werd's mal ausprobieren.
Reddog.

Re: Programm vor Windows starten
 

Hi Reddog,

im Internet finde ich jedenfalls keine Informationen zu Marak oder Mrak. Schick die Datei mal auf https://www.webimmune.net/default.asp ein, dort kannst du die Dateien sofort prüfen lassen. Ich kenne aber immer noch keinen Weg, die Datei während des Ausführens zu bearbeiten.
Nenne mir doch mal bitte mal die Unmenge an Viren, die dies tun. Ich weiß jedenfalls keinen einzigen.

Und was meinst du mit Greetz
alcaeus

Re: Programm vor Windows starten
 

nur mal objektiv ;)

...

man könnte aus dem ganzen zusammenreimen:

"du weißt das wenn man diesen code in ne datei gibt es ein virus is"

"du willst dies verhinder in dem du diesen code umänderst"

"dazu brauchst du die Befehle zum Bytes ändern/schreiben"

"dann kannst aus den informationen nen eigenen virus bauen " :mrgreen: :mrgreen: sorry ;) war nur so witzig zu lesen ;)

Re: Programm vor Windows starten
 

:lol: , so habe ich das noch gar nicht gesehen. Aber nee eigentlich nicht, ich wusste ja leider nicht wirklich, welche Bereiche genau zum Virus gehören, ich habe nur einige wenige identifizieren können. Sonst hätte ich versucht diese Code-Stücke zu löschen(hätte wahrscheinlich eh nicht funktioniert, da so ein Virus ja auch Code ändern kann).

Übrigens, juhuu, ich hab's endlich geschafft. Dazu habe ich die bestehende svchost in 'Scheisse.exe' umbenannt(das geht :wink:). Und eine andere nicht infezierte Version reinkopiert(Betroffen war übrigens nur die svchost in Windows\System32\Drivers). Nach einem Neustart lief dann die saubere Version, und die Scheisse habe ich gnadenlos gelöscht(hab noch eine doppelt verpackte Kopie, da kommt sie hoffentlich nicht raus :gruebel:). Naja jetzt erkennt Norton Antivirus nichts mehr, als Virus, damit gebe ich mich wahrscheinlich erstmal zufrieden. Irgendwann kommt sowieso ein Moment, wo ich Windows neu installieren muss. Dann ist auch der, unter Umständen, vorhandene Rest auch noch weg.

Also für Eure Beteiligung und Hilfe danke ich nochmals.

Reddog.

Re: Programm vor Windows starten
 

ganze diskussion um sinn/unsinn hin oder her. wenn du ein byte an einer datei ändern willst, die unter windows definitiv nicht schreibbar ist, hau knoppix ins laufwerk, boote, mounte die platte & hol dir schreibzugriff -> los gehts

Re: Programm vor Windows starten
 

Ich gratuliere, du hast dir die Mühe umsonst gemacht. Die "richtige" svchost.exe liegt in Windows\System32, falls du eine svchost.exe im Drivers-Verzeichnis hast, dann lösche die und entferne evtl. Autorun-Schlüssel in der Registry, die auf die Datei zeigen. Die Datei ist ein Virus, der eine falsche svchost.exe in einem anderen Verzeichnis ablegt, eben genau weil die richtige Datei nicht verändert werden kann. Wie gesagt, Datei löschen, und dein Problem ist erledigt.

Greetz
alcaeus

Re: Programm vor Windows starten
 

Mir fällt gerade mal der Titel (Programm vor Windows starten) auf ... dazu gab es hier auch mal 'ne Diskusion ... und das Ergebnis: es ist nicht möglich ein Delphiprogramm (um was es hier wohl ging) vor Windows zu starten, da es ja Windows braucht, um ausgeführt zu werden ^^

Re: Programm vor Windows starten
 

ein spezielles programm kann ja schon vor windows ausgeführt werden... ich denke da an partitionmagic oder den guten alten scandisk (oder wie der inzwischen heißt). mit delphi wird das aber nicht möglich sein.

wenn jemand mal wieder so ein problem haben sollte... von suse gibt es eine sogenannte "live-evaluation"-cd. das ist linux auf einer cd, von der es komplett gestartet werden kann. man kan sogar dateien speichern - es legt auf einer windows-partition eine datei an, die es als platte reinmountet! damit sollte es möglich sein, eine ntfs-datei zu ändern die von windows gebraucht wird.

Re: Programm vor Windows starten
 

...oder für alle, die es immernoch nicht wissen: Barts PE erstellt eine komplett von CD laufende Windows-Version, die natürlich dann auch echte NTFS-Unterstützung und alles mögliche andere hat.

Re: Programm vor Windows starten
 

Nö, die werden nicht vor Windows gestartet, sondern Partition Magic bootet DR DOS.

Re: Programm vor Windows starten
 

JCH2k meint wohl eher dieses kleine Programm, das wie Chkdisk im "Konsolenbetrieb" vor Windows läuft.

Re: Programm vor Windows starten
 

Stimmt,
das mit WinPE hätte ich auch bedenken können. Das sollte funktionieren. Das Problemm habe ich aber bereits gelöst, und habe im Moment keine Lust den Virus nochmal auszusetzen, um'S anders lösen zu können. :D

Ich hab übrigens auch an ChkDsk gedacht, das sich vor Windows in dieser seltsamen Konsole startet. Aber es könnte sein, dass es auch irgendwas vorbootet. Jedenfalls ist es wahrscheinlich nur für ChkDsk von Microsoft gemacht und nicht für andere Programme verwendbar.

Reddog.

Re: Programm vor Windows starten
 

Es sind dort auch andere Programme möglich (z.B. kann sich PartitionMagic auch dort reinwurschteln) aber natürlich wird Windows davor Teilweise geladen.

Re: Programm vor Windows starten
 

Aber es gibt doch durchaus andere Programme, die während des Bootens geladen werden. Denkt mal an die Defragmentierung. Wenn ich meine Systempartition defragmentieren will, tut er das erst beim nächsten Booten. Dabei gibts dann diese Konsolenausgabe, wo z.B. steht, wieviele Sektoren meine Partition hat, etc. Also etwa die Ausgabe von CHKDSK.

Wie machen denn solche Programme das?

Re: Programm vor Windows starten
 

schau mal hier:

http://www.delphipraxis.net/internal...840&highlight=

da gibts ein Beispielprogramm.

Re: Programm vor Windows starten
 

Es gibt einen Single-Byte-Patch um die Windows-Sicherheit auszuschalten (Kernelmode natürlich).

Das ist NOP - No Operation - und damit dürfte der Virus den Darwin-Award verdienen. Allerdings ist das Dritte Byte das erste nach MZ und alle hier sollten wissen was das heißt. Dein Virus ist keiner ...

0x90 steht sehr oft hinterm MZ.

Häh?

Du willst uns alle hier verarschen, oder? April ist aber schon vorbei und noch haben wir nicht die närrische Jahreszeit.

Virus und Virus ist nicht Einerlei. Es gibt Viren welche Dateien infizieren und solche die es nicht tun. Einer der das 3. Byte ändert klingt sehr spezifisch und - wenn er es zu 0x90 ändert - nicht sehr effizient :mrgreen:

Kann ich nicht bestätigen ...

Soso. Was NAV (oder andere AVs) findet, ist noch lange nicht ein Virus oder Malware.

Er sagte, der "Virus" ändere das 3. Byte, nicht jedes 3. Byte ;)
Aber das 3. Byte tut noch garnix ... zur Erinnerung:

(3. und 4. Byte als WORD)

Das liefe aber nicht vor Windows und ist mit Delphi allemal schwer zu erstellen. Viel Erfolg.

Auch das läuft nicht vor Windows sondern im "Native mode". Also ohne Subsystem (wie bspw. Win32).

Das ist echt bitter, daß hier die restlichen Folgeposts von "vor Windows" sprechen. Bitter bitter. Leute lernt bloß mal das System kennen für das ihr angeblich programmiert. Von Programmieren kann man nämlich nicht reden solange ihr es nicht kennt.

Vor Windows wird NTLDR geladen. Vor Windows wird der Bootsektor geladen. Das BIOS/EFI läuft vor Windows. ABER SICHER NICHT CHKDSK ODER PARTITION MAGIC (und ähnliche).