Programm vor Windows starten
 

Hallo,

ich habe wieder mal eine Frage. Ich habe die Such-Funktion bemüht, aber bin doch zu Nichts gekommen. Vielleicht find ich ja einfach nicht die passenden Suchworte.

Also, ich möchte ein Byte an der svchost.exe verändern (ja, ich will das echt, weil ich ein Virus habe, das sich dadurch beheben lässt, allerdings will Norton Antivirus oder sonstige aus dem Bunde nichts mit dem svchost anfangen). Diese ist aber nach dem Start von Windows verständlicherweise gestartet und kann nicht verändert werden. Hat jemand eine Idee, wie das funktionieren könnte. Also wenn nix geht, dann muss ich wohl Windows wieder mal neu draufmachen. Ist aber ärgerlich und hoffentlich nicht unabwendbar.

Kann mich zwar erinnern so etwas in der Art hier im Forum schon gesehen zu haben, kann es aber überhaupt nicht mehr finden.

Tja, Danke für jede Hilfe.
Reddog.

Re: Programm vor Windows starten
 

Das halte ich für ein Gerücht, dass man mit einem Byte in der svchost.exe was ändern kann.

Was sollte Norton AntiVirus damit auch anfangen wollen? Wenn die Exe wirklich von einem Virus befallen sein sollte, wird Norton AntiVirus da auch nichts machen können von wegen reparieren oder so.

Logisch, ist ja auch der Hostprozess für die Dienste.

Lass den QWuatsch mit dem selber-patchen und führ eine Raparaturinstalltion aus.

Eigentlich schon unabwendbar, du sagst ja selber, dass du einen Virus hast. Somit ist das komplette System nicht mehr vertrauenswürdig, weil es kompromitiert wurde. Was du jetzt zu tun hast, kannst du hier: http://oschad.de/wiki/index.php/Kompromittierung und hier: http://www.microsoft.com/technet/com...mt/sm0504.mspx nachlesen.

Re: Programm vor Windows starten
 

OK, so eine Antwort habe ich erwartet.

Ich will's dennoch versuchen weil SCHLIMMER machen kann ich's nicht. Also warum nicht? Ich hab's schon mit anderen infizierten Dateien ausprobiert. Zunächst habe ich mir das Virus genauer angekuckt. Das scheint ziemlich seltsam aufgebaut zu sein und sich nicht am Dateiende anzuhängen sondern in mehreren Fetzen hineinzuschreiben. Dann ist mir aufgefallen, dass das Virus immer das 3. Byte der exe verändert zu $90. Hab mal nachgelesen, dass das irgendwie die Anzahl der verwendeten Bytes im letzten Block des Programms angibt. So verändere ich nun diese Anzahl zu dem normalen $00 oder $50(haben seltsamerweise alle Delphi Programme) dann verschwindet der Virus, wie von selbst(nach einem Ausführen der exe scheint er sich echt zu löschen). Ich weiß zwar nicht worauf es beruht, aber die Datei ist danach echt sauber. Das sagt der Norton auch. So hab ich bis jetzt alle Dateien gesäubert bis auf svchost.exe . Wie gesagt ich lass es auf einen Versuch ankommen, wenn mir jemand einen Tipp gibt, wie man an diese rankommt. Ich würd's ja mit ner Win98 StartDiskette machen, aber geht net, da diese kein NTFS liest.

Wenn's letzendlich nicht klappt ok, dann kann ich ja immer noch Windows neu installieren.

Reddog.

Re: Programm vor Windows starten
 

Stimmt neuinstallieren solltest du sowieso.

Und was soll den Virus aus der Exe-Datei entfernen? Der liebe Gott wird es wohl nicht sein.

Logisch, du hast ja auch signifikante Bytefolge, die den Virus kennzeichnet, verändert. Somit entspricht sie keiner Norton bekannten Virensignatur und darum wiederum, wird er auch den Virus in der Datei nicht finden.

Das glaube ich eher nicht. Aber auch wenn es funktioniert haben sollte und du zumindest den Virencode lahmgelegt hast, würde ich mich doch mal fragen, wo du ihn überhaupt her hast. Die Ursachen bekämpfen ist immer besser asl, wie du, an dem Symnptomenrumzudoktorn.

Es gibt für DOS Treiber, damit man von DOS lesend und schreibend auf NTFS zugreifen kann. Treiber zu finden für nur lesenden Zugriff ist kein Problem, welche die schreiben können findet man auch, nur wirst du dafür bezahlen müssen. Ich habe bisher noch keinen kostenlosen gefunden - und ich habe echt lange gesucht, um einen für meine Boot CD zu finden.
Alternativ könnte man Linux booten. Im neusten Kernel ist die NTFS Unterstützung drinne, allerdings erst noch on der Erprobungsphase.

Auch wenn es klappt, würde ich dir das dringend empfehlen. Du brauchst nur eine infizierte datei übersehen zu haben und schon hast du den Virus wieder in deinem System verbreitet.

Re: Programm vor Windows starten
 

Also ich sehe es ein, dass ich das System eh neu installieren sollte. :(

Aber eine Sache weiß ich sicher:
zumindestens eine datei ist vollständig sauber geworden, weil das ein Programm von mir war und ich es nochmal neu kompiliert hab zu vergleichzwecken. Nach der oben beschriebenen "Säuberung"(oder was auch immer) waren die beiden Dateien identisch. Also muss es ja vollständig weg sein. Wie er sich entfernt weiß ich nicht(vielleicht ja doch der liebe Gott? :mrgreen:), aber er tut's. Vielleicht war er ja so programmiert, oder weiß der Geier was. Zu der Quelle, ich weiß mittlerweile sicher, wo ich ihn her habe. War eine CD von einm Freund(argh). Da muss man ja auch erst eine infizierte Datei starten, um den zu aktivieren. Naja letztendlich habe ich nichts auf dem PC, was sooooo wichtig wäre, und nicht gesichert ist. Deswegen würd ich das System so lassen, wenn's wieder geht.

Zu der Anmerkung mit dem Norton Antivirus. Das Programm ist nicht dumm, ich hab vorher versucht große Teile des Virus manuell zu löschen(die waren sicherlich signifikant, z.B Referenzen an den Namen des Virus, die auch immer an der gleichen Stelle zu finden waren), da hat Norton aber immer noch den Virus erkannt.

Also Linux booten muss ich mal ausprobieren. Weißt du welches Linux NTFS schreiben kann?
Danke für die Antworten. Außerdem gibt's da doch so Programme, die vor dem Windows Start noch was machen, so wie Partition Magic. Ist das zu kompliziert?

PS: Ich mach doch sicher das System platt(nach reiflicher Überlegung), aber zuerst will ich ausprobieren, ob's klappt mit dem Virus-Entfernen. Vielleicht stellt mich dann Symantec ein :-D.

Reddog.

Re: Programm vor Windows starten
 

1. Variante:
geh in die Systemsteierung > Dienste und deaktiviere ainfach alle Dienste, welche svchost verwenden (das sind ja nur fast alle -.-''), dann ist die datei frei und du kannst sie ändern.
allerdings wird nach 'ner weile die windowswiederherstellung kommen und beim nächsten Neustart die Datei wiederherstellen und deine änderung ist futsch.

2. Variante:
mach 'ne kopie von der Datei - verändere diese - beende Windows - Windows-CE, oder Boot-Diskette rein - 'n reparaturmodus starten und die Dateien austauschen.
allerdings wird hier dann auch die Wiederherstellung ansprechen und deine Änderungen sind schonwieder umsonst.

Lösung für 1 & 2:
verändere ebenfalls die Sicherungskopie, welche Windows davon hat, dann sollte bei der nächsten wiederherstellung ja das gepatche von Windows installiert werden.
allerdngs geht das auch nicht, da windows das bei der nächsten wiederherstellung merkt und die CD verlangt und sich die Datei von dort holt ... ergebnis: änderingen ebenfalls umsonst :P

Re: Programm vor Windows starten
 

Hi Reddog,

ich frage mich immer noch, welcher Virus deine svchost.exe kompromittieren kann. Wie du richtig erkannt hast, kannst du nicht auf die svchost.exe zugreifen, während sie läuft. Wie soll das dann ein Virus können? Sobald die exe läuft, kann die Datei nicht verändert werden, das hast du selbst erkannt. Ich kenne zwar einige Viren, die eine falsche svchost.exe in ein anderes Verzeichnis stellen und anschließend ausführen, aber nicht Viren, die die Datei verändern. AFAIK wird svchost.exe nämlich ausgeführt, bevor Autorun-Keys der Registry oder der Autostart-Ordner im Startmenü ausgeführt werden. IMHO ist dies nicht unbedingt möglich. Weiters denke ich mir, dass die Datei nicht unbedingt lauffähig ist wenn jedes 3. Byte verändert wird, und noch dazu alles auf $90.
Sag uns mal den Namen des Virus, ich hab nämlich keinen gefunden, der die von dir genannten Symptome aufzeigt.

Greetz
alcaeus

Re: Programm vor Windows starten
 

was ich mir denk, ist es das sich der virus nur infiziert hat [ als ein thread ] in die svhost.exe, das mit dem 3 bytes ändern kann ich mir nicht vorstellen weil die svhost.exe ja läuft, und solang sie läuft kann man sie nicht ändern

Re: Programm vor Windows starten
 

Hallo,

also irgendwie wurde ich falsch verstanden.

1. Der Virus ändert natürlich nicht jedes 3. Byte, sondern schreibt seine eigenen Fetzten in die infizierte Datei hinein. Was es natürlich erschwert, den Virus zu löschen.

2. Wie der Virus die svchost.exe infiziert ist mir unklar, aber das schafft nicht nur er, sondern auch viele andere, siehe Symantec Viren-Glossar: eine Unmenge von Viren können das, also geht das schon.(Wenn ich nur wüsste wie :)). Der Virus heißt w32.Marak oder W32.Mrak, Inormationen gibt's über den nicht, der Name kommt daher, weil in der Datei dann String-Referenzen auf 'Mrak1.pack', 'MrakMainWndClass', u.s.w. auftauchen. Ich kann jedem Interessierten eine Kopie davon schicken, allerdings glaub ich, das wäre eine schlechte Idee :twisted:.

3. Meine Lösung sieht so aus, dass ich das 3. Byte der Datei(nur ein Byte) verändere, von $90 zu $00(die Bytes 3-4 geben die Anzahl der genutzten Bytes im letzten Sector der EXE an, oder so etwas in der Art). Beim nächsten Starten der Datei verschwindet der Virus von alleine, und zwar ganz(überprüft und bestätigt). Das es seltsam ist, weiß ich auch, aber wenn's funktioniert, ist es mir egal, wie genau.

4. Kann man die Windowswiederherstellung nicht davon überzeugen nix zu unternehmen?

Also, ich hoffe ich hab jetzt alles klargestellt.

@himitsu Dank für die Hilfe, vielleicht wird's ja was, ich werd's mal ausprobieren.
Reddog.

Re: Programm vor Windows starten
 

Hi Reddog,

im Internet finde ich jedenfalls keine Informationen zu Marak oder Mrak. Schick die Datei mal auf https://www.webimmune.net/default.asp ein, dort kannst du die Dateien sofort prüfen lassen. Ich kenne aber immer noch keinen Weg, die Datei während des Ausführens zu bearbeiten.
Nenne mir doch mal bitte mal die Unmenge an Viren, die dies tun. Ich weiß jedenfalls keinen einzigen.

Und was meinst du mit Greetz
alcaeus