Laden...

Programme laden dlls von seltsamen orten (z.B. desktop)

Erstellt von Floste vor 13 Jahren Letzter Beitrag vor 13 Jahren 1.749 Views
Floste Themenstarter:in
1.130 Beiträge seit 2007
vor 13 Jahren
Programme laden dlls von seltsamen orten (z.B. desktop)

Ich habe festgestellt, dass viele programme dll von orten laden, von denen man dies nicht erwartet.

Die meisten programme laden vom desktop:
Internetexplorer 8 (32bit) lädt bei mir (win7, 64bit) z.B. alles, was peerdist.dll heißt und sich auf dem desktop befidet
Ziemlich viele programme, die sich mit dem internet verbinden tun das selbe. (auch wenn man in einem "öffnen mit"-dialog eine httpaddresse eingibt)

gimp lädt, wenn man ein bild über rechtsklick -> "edit with gimp" öffnet wintab32.dll aus dem ordner des bildes.

Ich habe das gefühl, das es noch vile mehr dergleichen gibt.

Projekte:Jade, HttpSaver
Zum Rechtschreiben gibts doch schon die Politiker. Aber die bauen auch nur mist!

771 Beiträge seit 2009
vor 13 Jahren

Die "peerdist.dll" sollte eigentlich in deinem System32-Verzeichnis sein und nicht auf dem Desktop, s.a. http://www.win7dll.info/peerdist_dll.html

1.361 Beiträge seit 2007
vor 13 Jahren

Hi Floste,

ist deine PATH-Variable irgendwie "verstellt" ?
Vor kurzem hab ich etwas ähnliches gelesen:
Neue Windows-Schwachstelle: Anwendungen laden Schadcode aus dem Netz nach

Zwar nicht 1:1 das Selbe, aber auch interessant.

Womit hast du das Verhalten beobachtet? Sysinternals Process Monitor? (ehemals File Monitor)

beste Grüße
zommi

Floste Themenstarter:in
1.130 Beiträge seit 2007
vor 13 Jahren

Die "peerdist.dll" sollte eigentlich in deinem System32-Verzeichnis sein

ist sie aber nicht: weder in system32 noch in syswow! Und ich habe sie auch nicht gelöscht!

ist deine PATH-Variable irgendwie "verstellt" ?

alles standardeinstellung

Womit hast du das Verhalten beobachtet? Sysinternals Process Monitor? (ehemals File Monitor)

mit c++ eine dll erstellt, die einen aus der dllmain heraus abmeldet, und diese mit entsprechendem namen auf meinen desktop gepackt^^

Projekte:Jade, HttpSaver
Zum Rechtschreiben gibts doch schon die Politiker. Aber die bauen auch nur mist!

771 Beiträge seit 2009
vor 13 Jahren

Hallo floste,

könntest du deinen letzten Satz noch mal genauer erläutern? Verstehe nur Bahnhof?

795 Beiträge seit 2006
vor 13 Jahren

Er meint wohl, dass er eine Dll erstellt hat, die in ihrer Main-Methode einen Windows-Logout auslöst. Diese hat er peerdist.dll oder so genannt und auf den Desktop gelegt.
Wenn man dann den IExplore lädt, wird die "Virus"-Dll geladen und man wird abgemeldet.

Ich habe dieses Verhalten auch schon mal nachgestellt, aber mein Virenscanner (damals Avira Antivir) hat das erkannt.

Gruß, Christian.

`There are 10 types of people in the world: Those, who think they understand the binary system Those who don't even have heard about it And those who understand "Every base is base 10"`