Ich hatte einen Dropper erwischt, der von Zeit zu Zeit eine Datei (wina.exe) ins System32-Verzeichnis schreibt und sporadisch startete. Nach Bereinigung wollte ich eine Art Detektivprogramm gegen Malware bauen, indem ich im Windows-Verzeichnis die Verzeichnisinhalte von System und System32 auf "Datum jünger als das letzte legitime Update" überwache. Nun stellt sich heraus, daß der direxists(path$)-Befehl dort anstandslos funktioniert, aber der fileexists("C:\\Windows\\System32\\test.txt") nicht. Es gibt auch keine Fehlermeldung. Liegt test.txt dagegen woanders, z.B. am Desktop, findet Xprofan die Datei sofort. Die Xprofan.exe wurde "als Admin" gestartet, das ändert das Verhalten aber nicht. Welchen Grund könnte das haben? Die Systemverzeichnisse sind lediglich schreibgeschützt, was bei anderen Verzeichnissen kein Erkennungshindernis von enthaltenen Dateien darstellt. Hat jemand eine Erklärung?
If Fileexists("C:\\.......")
-
-
-
Die Xprofan.exe wurde "als Admin" gestartet
was Dich aber z.B. noch nicht als Benutzer "system" macht. Es gibt höheres als den Administrator.
Ich vermute mal, das die FindFirstFileExA funktion der Api genutzt wird, kann mich da aber auch täuschen
Kleiner Auszug aus der Hilfe, der Dir andeutet, welches Schwierigkeiten da vorliegen könnten:If the underlying file system does not support the specified type of filtering, other than directory filtering, FindFirstFileEx fails with the error ERROR_NOT_SUPPORTED. The application must use FINDEX_SEARCH_OPS type FileExSearchNameMatch and perform its own filtering
Hat jemand eine Erklärung?
Der einzige, der IMHO hier infrage kommen würde, wäre Andreas (AHT).
-
Danke für die rasche Antwort. Hab´s auf Grund deiner Hinweise mal mit dem Findfirst$( ... ) und FindNext$()-Schleife probiert. Ergebnis: Es wird zwar das gewünschte Dir C:\Windows\system32\ ausgewiesen - aber die Inhalte kommen offenbar von woanders her. Ich vermute, daß 32-bit-Anwendungen einfach etwas vorgegaukelt wird, denn vom CMD.exe (64 bit) wird alles korrekt dargestellt. Ich werde die Sache per Bat-file angehen. Gute Infos hier, danke!
Gruss -
Je nach verwendeten FileManager, wird auch die System32 genutzt! D.h., wie Du bereits richtig festgestellt hast, nutzt die CMD.exe als 64-Bit Version auch diesen Ordner. Wenn Du mit dieser CMD.exe 32-Bit-Dateien öffnest, wird der "SysWOW64" Ordner verwendet.
Nutzt Du allerdings eine 32-Bit CMD.exe wird die anderen Ordner verwendet, aber unter dem anderen Namen .
Also, um es mal genau auszudrücken:
Mit 32-Bit Dateimanager, heißt der Ordner "System32" und der 64-Bit Ordner dann "SysWOW64".
Mit 64-Bit Dateimanager heißt der Ordner "System32" und der 32-Bit Ordner dann "SysWOW64"
Man muß also immer von der Bittigkeit des verwendeten Dateimanagers ausgehen. Das ist die "einfache" Logik des Betriebssystems -
Jetzt wird mir klarer, was da los ist. Wenn Du ein 64-Bit-Windows hast, bist Du mit XProfan total verkehrt. Es gibt gelinde gesagt zwei Windows-Versionen, die parallel laufen, ein 32-Bit und ein 64-Bit. Nunja, das ist stark vereinfacht dargestellt, das System ist kompllizierter. Aber XProfan ist nun mal 32-bittig und sieht nur das 32-Bit-Subsystem und dessen Ordner. Was im 64-Bit-System passiert, kannst du so nie feststellen. AHT hatte dazu auch mal hier Genaueres geschrieben.
Gruß Volkmar
-
Ich probier´s mal mit dem experimentellen XProfan64. Werde berichten ...
-
PS: Dasselbe gilt auch für die Registry! Dort wird die Konstante "Wow6432Node" zur Unterscheidung genutzt, die dann entsprechend die gegenteilige Registry verwendet.
-
Für die Registry bietet XProfan eine Lösung. Ich zitiere aus der Hilfe:
In manchen Fällen benötigen 64-Bit-Programme andere Registry-Einträge als 32-Bit-Programme. Daher hat das 32-Bit-Subsystem unter 64-Bit-Windows eine eigene Registry. Damit aber nun nicht alle Programme für 64-Bit umgeschrieben werden müssen und im Programmcode die gleichen Pfade verwenden können, leitet Windows64 die Schreib- und Lesezugriffe von 32Bit-Programmen automatisch auf die 32-Bit-Kompatibilitätseinträge um. Für die allermeisten Programme ist dies auch genau richtig.
Wenn man aber systemnahe Programme schreibt, möchte man vielleicht auch auf die tatsächliche Windows64-Registry zugreifen können. Dafür gibt es ab XProfan X2.1 eine neue Set-Funktion:
Set("Reg64",n)
n = 0: Defaultmäßg wird die Umleitung zugelassen, die in den allermeisten Fällen für 32-Bit-Programme richtig ist
n = 1: Keine Umleitung: Schreiben und Lesen der 64-Bit-RegistryAber ansonsten ist es tatsächlich so, dass ein 32-Bit-Programm unter Windows/System32 ein physikalisch anderes Verzeichnis sieht, als ein 64-Bit-Programm, nämlich Windows/SysWOW64. fileexists("C:\\Windows\\SysWOW64\\test.txt") sollte also zum Ziel führen.
Gruß
Roland -
Der experimentelle Profan64-Interpreter erlaubt Zugriff auf das "echte" System32, das eigentlich System64 heissen sollte. Das Testprogramm findet Test.txt auch nach mehrfachem Löschen und wieder reinkopieren, und meldet anstandslos. Danke für die erhellenden Kommentare!
Gruss
-
Man hat den Ordner nicht System64 genannt, um bestehende Programme nicht ändern zu müssen. Nur mit einem 64-Bit-Compiler ohne jede Änderung nochmal durchlaufen lassen ergibt dann eine 64-Bit-Version. Und das System selbst entscheidet dann, wohin der System32-Aufruf gelenkt werden soll. Es gibt eben immer unterschiedliche Wege und jeder hat irgendwo einen Haken
Gruß Volkmar
-
Ganz genau. Von 16 auf 32 Bit ist man damals einen anderen Weg gegangen. Da kam halt zu Widows/System halt Windows/System32 hinzu und die System-DLLs erhielten als Anhängsel auch die 32. Auch einige API-Funktionen wurden verändert, was in einer Dokumentation von Microsoft aber nachzulesen war. Eine automatische "Umleitung" gab es nicht, sodass Einiges umgeschrieben werden musste. (Ja, das galt auch für Profan², wie es damals noch hieß.)
Bei der Umstellung auf 65 Bit wurden die ganzen Namen beibehalten, sodass zum Beispiel eine der wichtigsten System-DLLs immer noch USER32.DLL heißt. Der Vorteil: Die Umstellung von 32 auf 64 Bit war sowohl für Entwickler als auch Anwender deutlich einfacher.
Gruß
Roland -
Bei der Umstellung auf 65 Bit wurden die ganzen Namen beibehalten, [..]
oO, da habe ich wohl was verpasst.
-
Die besch..eidene wina.exe ist schon wieder da - und zwar mit Systemrechten gestartet! Avira fand nix. Auf Verdacht habe ich Winamp deinstalliert und dachte, das war es - offenbar ist es aber doch die wina-"Banktransaktionsspionagemalware". Kann mir bitte jemand erklären, wie ein Programm SYSTEM-Rechte bekommen kann, ohne daß Microsoft dazu seinen Segen gab? Ein Staatstrojaner?
-
Habe von Avira auf AVG gewechselt. Mich irritiert ein wenig, daß AVG kein Setup-Icon auf den Desktop geschrieben hat. Scheint aber zu funktionieren: Bisher ist der wina.exe-Prozess nicht mehr aufgetaucht. Der kam bisher auch nur selten, wenn der Taskmanager offen war, meist auch erst wenn längere Zeit kein Tastendruck oder Mousemove erfolgte. Werde berichten ...
-
Kein Erfolg. Nach dem AVG nach Installation alles in Orndnung gebracht hatte (wina.exe aus dem Windows/System32-Verzeichnis gelöscht), blitzen nach Systemstart kurz zwei cmd.exe-Fenster auf, und schon hat man den Salat wieder im Verzeichnis sitzen. So einfach geht´s also nicht, AVG packt das auch nicht. Einzige Auffälligkeit: Startet man einen Browser, kommt erst mal eine about:blank-Seite statt der immer noch korrekt eingetragenen Startseite. Zum Haare-raufen...
-
Schau mal, was ich zu dem Namen WINA.EXE gefunden habe. Klick Eventuell solltest Du mal Hilfe von @Oldi-40 oder @meierkurt in Anspruch nehmen.
Gruß Volkmar
-
Ich bin am Datensammeln: Eine Datei mit Chinesischem Schriftzeichen und zwei Punkten in SysWOW64 gehört dort sicher nicht hin. Die angegebene Größe von wina.exe stimmt auch nicht, und die angegebenen Zusatzfiles sind nirgendwo zu finden. Offenbar ein Rootkit. Das kleine Icon von wina.exe verrät es als komprimiertes, selbstentpackendes File - wahrscheinlich wird es deshalb von der Antivirensoftware nicht gefunden. Da ich kein Internetbanking auf diesem Computer betreibe, teste ich mal weiter ...
-
Hallo p. specht,
wenn Du Malware an Bord hast, dich mit dem PPF-Scanner auskennst, dann würde ich den Scanner mal starten.
Dann in der Textwüste den Autostart und die laufenden Programme nach suspekten Sachen durchsuchen.
Wenn die fragliche "wina.exe" da ist, kann man diese Datei bei Virustotal prüfen lassen.
Oder man verwendet Autoruns und schaut sich alle automatisch gestarteten Programme an.
Nach dem AVG nach Installation alles in Orndnung gebracht hatte (wina.exe aus dem Windows/System32-Verzeichnis gelöscht), blitzen nach Systemstart kurz zwei cmd.exe-Fenster auf, und schon hat man den Salat wieder im Verzeichnis sitzen. So einfach geht´s also nicht, AVG packt das auch nicht.
Warum sollen "Virenklingeln" etwas Neues erkennen?
Der alte Kammerad "Conficker" wird z.Z. auch nicht mehr erkannt.Offenbar ein Rootkit.
Dann sollte man von außen auf das System schauen. Mit einem USB-Stick mit dem man Windows 10 installieren kann, lässt sich auch Autoruns starten.
Tschau
-
Danke euch für eure Bemühungen. Bin jetzt mit dem Laptop hier, der imho nicht befallen ist.
Das traditionell-chinesische Schriftzeichen im Filenamen bedeutet gem. Google-Translate "Verhandeln oder schneiden". Pfff.
Keine der bisher im Net gefundenen Angaben bzgl Ort und Dateigröße sowie Begleitfiles stimmt mit den Daten auf meinem befallenen Rechner überein. Da hab ich wohl eine allerletzte Version "geerbt". Als Ziel werden Bankaccounts oder Persönlichkeitsdiebstahl angeführt - die Sache ist also ernst, und ich werde b.a.w. mit dem Teil nicht mehr ins Internet gehen.
Im Internet werden von obskuren Firmen Speziallösungen angeboten. Die Gefahr, daß die einen neue Malware in den Pelz setzen ist mir zu hoch. Als nächstes werde ich mal die Autostarts prüfen,
Bericht folgt. -
Ja, da sind im Internet immer schnell irgendwelche Leute zur Hand, die "nur helfen wollen", da sollte man vorsichtig sein. Insbesondere, wenn da was zum Download angeboten wird. Aber es ist gut, daß Du noch einen anderen Rechner zuer Verfügung hast, da kannst Du dann ja ohne Netz etwas an der Kiste basteln.
Gruß Volkmar
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!