Zitat von
Luckie:
Zitat von
Reddog:
Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt,
Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.
Es gibt einen Single-Byte-Patch um die Windows-Sicherheit auszuschalten (Kernelmode natürlich).
Zitat von
Reddog:
Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90.
Das ist NOP - No Operation - und damit dürfte der Virus den Darwin-Award verdienen. Allerdings ist das Dritte Byte das erste nach MZ und alle hier sollten wissen was das heißt. Dein Virus ist keiner ...
0x90 steht sehr oft hinterm MZ.
Zitat von
Reddog:
Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt.
Häh?
Zitat von
Reddog:
So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen).
Du willst uns alle hier verarschen, oder? April ist aber schon vorbei und noch haben wir nicht die närrische Jahreszeit.
Zitat von
Reddog:
zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott?
), aber er tut's.
Virus und Virus ist nicht Einerlei. Es gibt Viren welche Dateien infizieren und solche die es nicht tun. Einer der das 3. Byte ändert klingt sehr spezifisch und - wenn er es zu 0x90 ändert - nicht sehr effizient
Zitat von
Reddog:
Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm,
Kann ich nicht bestätigen ...
Zitat von
Reddog:
ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.
Soso. Was NAV (oder andere AVs) findet, ist noch lange nicht ein Virus oder Malware.
Zitat von
alcaeus:
ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden.
IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.
Er sagte, der "Virus" ändere das 3. Byte, nicht jedes 3. Byte
Aber das 3. Byte tut noch garnix ... zur Erinnerung:
Code:
WORD e_cblp; // Bytes on last page of file
(3. und 4. Byte als WORD)
Zitat von
JCH2k:
ein spezielles programm kann ja schon vor windows ausgeführt werden... ich denke da an partitionmagic oder den guten alten scandisk (oder wie der inzwischen heißt). mit delphi wird das aber nicht möglich sein.
Das liefe aber nicht vor Windows und ist mit Delphi allemal schwer zu erstellen. Viel Erfolg.
Zitat von
scp:
JCH2k meint wohl eher dieses kleine Programm, das wie Chkdisk im "Konsolenbetrieb" vor Windows läuft.
Auch das läuft nicht vor Windows sondern im "Native mode". Also ohne Subsystem (wie bspw.
Win32).
Das ist echt bitter, daß hier die restlichen Folgeposts von
"vor Windows" sprechen. Bitter bitter. Leute lernt bloß mal das System kennen für das ihr angeblich programmiert. Von Programmieren kann man nämlich nicht reden solange ihr es nicht kennt.
Vor Windows wird NTLDR geladen. Vor Windows wird der Bootsektor geladen. Das BIOS/EFI läuft vor Windows. ABER SICHER NICHT CHKDSK ODER PARTITION MAGIC (und ähnliche).