Avira weghexxen mit AV Devil und Hex-Editor.

[WeightWatcher]

Hey,

erst einmal vielen Dank für das nette Tutorial, aber ich habe ein Problem.

Also fange ich mal vorne an:
Ich mache den Test mit AV Devil 2 und da kommt folgendes raus:



Okay dann gehe ich eben auf GoTo --> Offset --> Hex und dann gebe ich 45C0D ein und dann "erfolgt" das hier:



Leider nix von FF zu sehen (Keine Angst mein Server wird als Virus erkannt )

Weiss jemand weiter?

PS: Ich habe auch 45E00 mal eingegeben, aber auch leider nix gefunden siehe hier:

[<)annri.ca(>]

hm ich hatte das mit den offsets so verstanden das das die stelle von beginn bis ende is. in deinem fall also alle zahln von 45c0d-45e00
aba wärn ja immer noch nur nulln.
aba bei mir hat der bei manchen servern auch gesagt sie wärn ud obwohl sies gar nich warn Oo

[russian2007]

thx fürs tut , aso bei mir klappt alles aso größtenteils ,aso ich scanne ,dann bekomme ich die offsets,entferne die FF in dem angegebnen intervall ,nach einem erneuert av devil scan sind die offsets verschwunden ,man könnte denken perfekt

jedoch wenn ich es dann mit antivir scanne erkennt er den server sofort obwohl die offsets wegsind ,kann mir jmd weiterhelfen? :shock: :shock: :shock: :shock:

[whatwhat]

was soll man ändern wenn in den offsets kein ''FF'' vorkommt? sondern z.B.
sowas hier:
(...)F6F6 F6F6 F10D F7F6 F6F6(...)

hab schon versucht nur einzelne ''F's'' mit null zu ersetzen jedoch war der server danach geschrottet...

EDIT: hat sich erledigt habs hinbekommen

[Illuminatum]

whaaaaaaaaaa *Cry*

Hab das mit den Offsets nun kapiert...gehe also zu meinem Offset "BA76" und schaue mir die Zeile an, nix mit FF zu sehen ?!

Code:

BA76 | 696C 6564 0000 0000 6C6F 6361 6C20 6C69 7374 656E 2066 7578 6F72 6564 0000 0000

Seht ihr da etwa ein "FF" ?
Ich nicht.

Das selbe bei allen anderen 3 Offsets -.-

Bitte helft mir ma... (hab übrigens nun ne andere exe genommen^^)

MfG

[Perishand]

Hallo,

da viele das selbige Problem haben wie Illu, will ich euch mal was erklären:

Es kommt darauf an, welchen Crypter ihr benutzt. Wenn ihr irgendwelche non pubs benutzt sind das natürlich andere offsets als die alte "themida..." sache. Schaut euch mal in den Offsets die ihr bekommen habt alles genau an. Vergleicht ob irgendetwas in allen 3 Offsets vorkommt. Wenn ja -> ersetzen. Danach testen obs noch geht und wenn es noch geht dann müsste die .exe ud gegen Antivir sein.
Wenn nicht, dann einfach immer wieder das selbige machen.

Das müsste eure Probleme lösen.


EDIT: Sry für die späte Hilfe, hatte keine Zeit etwas zu schreiben SRY.

[veriotis]

thx mein freind

[blubberblubb]

Hi, echt vielen Dank für dein Tut.

Habe ein Problem gleich am Anfang .... mit dem AVDEVIL

Und zwar kommt bei mir:
File undetected

d.h. ich kann nicht weitermachen =( pff


Edit: so habs jez geschafft hatte 3 Offsets, 2 stück davon wegbekommen aber ich finde zum verrecken Offset 519-558 nicht :-/

Wenn ich rechtsklick offset suchen mache und z.B. 519 eingebe dann springt der auf nen feld mache ich das aber nochmal.... springt der auf ein anderes feld mache ich es wiederrum nochmal wieder n anderes feld *es ist zum heulen*

[Perishand]

Ich hab einen EDIT gemacht, da ich gerade etwas bemerkt hab. Der EDIT ist rot makiert und jeder sollte ihn bemerken :wink: ich hoffe das hilft ein paar leuten bei ihren Hexx Problemen.

[Perishand]

Jetzt ist die Frage, ob du es bei einer Seite wie www.virustotal.de hochgeladen hast, oder es bei dir selbst gemacht hast.

Wenn du es bei der Seite hochgeladen hast ist es einfach: Du benutzt die kostenlose Version, die Seite die Prem Version.

Wenn du es bei dir gemacht hast, hast du villeicht bei der Virenmeldung während des AvDevil scan Vorganges auf was falsches gedrückt? Du sollst da "Zugriff Verweigern" klicken!