code store database
-
Hi
ich hab grad nen erotischen dialer von dem PC meines freundes entfernt und bin dabei auf was gestoßen. Der dialer war in einer DLL versteckt aber diese Dll hat nicht existiert (wurde über die rundell32.exe aufgerufen). mir fiehlen aber 2 Active-X controlls auf nach deren ID ich die registry durchsucht habe und dann wurde ich fündig:
ind einem Key der Registry (....\code store database) befanden sich subkeys mit den Class-IDs der Controlls diese hatten wiederum subKeys mit dem namen Contains dann darin Files also etwa so:....\code store database\{CLASS-ID}\Contains\Files\
in dem Ordner befiand sich ein string key mit dem Wert: "C:\Windows\dialup.dll"
diese dll wurde von der rundell32.exe ausgeführt über eine verknüpfung und jetzt meine Frage wie funktioniert dass, weiß die rundell32.exe dass die dll in nem Active-X controll verborgen ist und kann man solche controlls auch selber erstellen weiß da jemand was allgemeines drüber?
Will keinen Dialer programmieren will nur verstehen wie der von mir entfernte funktionierte.
Würde mich über antworten freuen hab auch schon versucht selber was zu finden aber es gab nur Funktionen wie CreateVolumeDatabase in der MSDN
MFG
Olaf
-
Vielleicht sollte dein Freund einfach nicht allzu oft OK in ein Textfeld eingeben, wenn er schon auf ...-Seiten rumsurft

inwiefern hat diese dll nicht existiert? War sie nicht vorhandern, oder nur nicht im Windows registriert? Warum nennst du das dialer.dll, aber rundell.exe? :p

Im Allergrößten Zweifelsfalle kann ich mit ActiveX nen paar Bytes in ne Datei schreiben und diese irgendwas.dll nennen. Denk aber mal, daß so ein control da auch noch komfortabler agieren kann..
Das Control wird nix anderes getan haben - so wie ich jetzt deinen Text verstanden hab..
-
Du kannst auch eine dll ins system bringen und diese immerwieder
-mittels richtiger platzierung in der registry- ausführen lassen, wenn
du eine anwendung startest.stellst du dich da besonders geschickt an kannst
du dir windows optimal versauen, so, dass entweder nur noch etwas geht wenn du
im reparaturmodus genau diese dll löschst, oder aber du deine platte formatierst.

-
hi
nein die datei existiert wirklich nicht also ich kann sie nicht mit dem explorer sehen sagen wir so.Die dll ist in der registry registriert und befindet sich da:
C:\Windows\Downloaded Program Files\sponsoradulto.dllder dialer wird über eine verknüpfung aufgerufen, die die sponsoradulto.dll über die rundll32.exe aufruft.
Wenn ich knoppix boote und mir den den Ordner C:\Windows\Downloaded Prog..\ anschau existiert auch eine Sponsoradulto.dll aber wenn ich den ordner unter win anschaue existiert die datei nicht, ich kann sie aber trotzdem aufrufen, hab schon versteckte datein anzeigen lassen, gibt es vll irgenteinen trick die zu verstecken ich kann sie ja nicht löschen das ist das problem.
MFG
Olaf
-
Ist vielleicht Rootkit?
-
hi
nein die datei existiert wirklich nicht also ich kann sie nicht mit dem explorer sehen sagen wir so.Die dll ist in der registry registriert und befindet sich da:
C:\Windows\Downloaded Program Files\sponsoradulto.dllder dialer wird über eine verknüpfung aufgerufen, die die sponsoradulto.dll über die rundll32.exe aufruft.
Wenn ich knoppix boote und mir den den Ordner C:\Windows\Downloaded Prog..\ anschau existiert auch eine Sponsoradulto.dll aber wenn ich den ordner unter win anschaue existiert die datei nicht, ich kann sie aber trotzdem aufrufen, hab schon versteckte datein anzeigen lassen, gibt es vll irgenteinen trick die zu verstecken ich kann sie ja nicht löschen das ist das problem.
MFG
Olaf
-
-
aber mit deinem knoppix könntest du sie löschen
falls die windows parition ntfs
ist musst du halt http://linux-ntfs.sourceforge.net/ oder http://www.jankratochvil.net/project/captive/ benutzen.
-
hi
also erstmal danke für die antworten hab die dll nicht entfernt, weil ich den Laptop eh net brauch und mein freund(der existiert wirklich nicht dass ihr denkt ich würde euch schmarn erzählen und selber mir so einen müll einhandeln (: ) wahrscheinlich ne Rechnung über viel Geld bekommt irgentwoaus südost asien.
wird natürlivh nicht bezahlt, dachte mir da schadet der Laptop net als beweis es braucht ihn ja eh keiner aber ich könnte die dll von knoppix her löschen, mich interessiert nur warum ich die dll net im explorer sehen kann des ist doch abnormalMFG
Olaf
-
hast du denn jetzt mal den RootkitRevealer drüber laufen lassen?
-
nee hab ich net weil ich ja den zustand des rechners als beweismittel für einen nicht registrierten sich kriminell verhaltenden dialer aufheben will bis klar ist ob man die rechnung bezahlen muss dann wird die win98 partition eh platt gemacht und was gescheites installed damit diese unfähigen trampel sich net wieder so leicht son shit einfangen und mir ärger machen
MFG
Olaf
-
Das ist nur ein Revealer, kein Entferner.