danke Motzi. Die Berechnung im vorherigen Posting von mir war übrigens fehlerhaft. es gibt eine virtual address für die Rawdata der Section, das ist der Beginnpunkt.

hab den Dreh mit den Sections jetzt raus und weiß jetzt zu 90% wie der Virus arbeitet. Jaja.. der Programmierer war ein ganz gewitzter. Die Virusdll hat zwei Einstiegspunkte. Ein Teil in jeder infizierten Exe wird nicht verschlüsselt. Das ist die Section der Dll die als Loader funktioniert. Wird die Exe gestartet und die Dll ausgeführt, wie sie ganz normal wie eine Dll gestartet mit dem Unterschied, dass der Einstiegspunkt jetzt ein anderer ist, der jedoch vorher in der exe verschlüsselt war. Falls ihr das nicht blickt, :freak: ich werd nächste Woche mal ne kleine Page ins Netz stelln. Dann kriegt ihr die Infos :mrgreen:

Ansonsten hab ich den Dreh jetzt glaub ich 2/3 mit dem Exe-Format raus. Ich muss nurnoch den ursprünglichen Einstiegspunkt der Exe ermitteln und das dürfte nicht allzu schwer werden (muss ja nur in der infizierten Section danach suchen) und ihn in den PE-Header schreiben. Ansonsten hab ich gestern in ner Exe die virusinfizierte Sektion entfernt und das bei jeder infizierten Exe erfolgreich. Noch ein paar kleinere (jedoch schwierigere) Änderungen und wolla ich hab einen Remover :)

danke nochmal.. ich denke (ich hoffe) ich werd jetzt allein klar kommen. :chat: