ping.exe kompromitiert

  • Themenstarter Themenstarter IsNull
  • Beginndatum Beginndatum
I

IsNull

Guest
Hallo,

System: Win XP Home Sp2
Folgendes ist passiert:
Beim pingen über ne Batchdatei kam immer der "Read failed" Error.(Das Logfile wird zwar erstellt, bis auf die Ping-Statistik)
Über die Cmd ging es ohne Probleme.
Batch Datei:
Code: 
ping www.google.ch > C:\scvs_log\log.log

Um zu testen, woran es liegt hab ich die *.bat Datei auf meinen Xp Prof Sp2 Rechner kopiert und ausgeführt. ->Da funzte alles.

Schlussfolgerung: Die Ping.exe ist entweder defekt, oder in der Home-Version ist eine Andere Version von ihr.

Im System32 hab ich dann Kurzerhand die 16KB grosse ping.exe gelöscht. Kurzdarauf wurde sie natürlich durch die "Windows File Protection" wieder hergestellt. Nun ist sie aber 19KB gross! (Und funktioniert wieder einwandfrei)

Meine Frage ist ganz einfach, was ist/war los? Ich befürchte ein Virus teibt sein Unwesen :rolleyes:

Gruss
IsNull
 
Hi,

bei meinem WinXP Home SP1 ist ping.exe 17kB (17408 Byte) groß. Falls du noch beide Versionen der Datei hast, wäre es interessant, die mal zu vergleichen. Du kannst mir die gerne per Mail schicken. (ed: auch, wenn du nur eine hast, wär das mal interessant)

mfG,
Thyrael.
 
Ich hab nur noch die "cleane". Hatte Virenbefall, wie befürchtet. (Schon verdammt lange her, dass ich einen Virus eingefangen habe.) :rolleyes:

"rlvknlg.exe"

Aber dass die Ping.exe'n immer noch nicht gleich gross sind ist dann doch seltsam. Ich häng Sie mal an:

Lösche deine ping.exe doch mal, und schau wie gross dann die "neue" ist. Falls deine dann auch "grösser" wird, liegt der Verdacht nahe, dass du auch unter Virenbefall leidest (oder gelitten hast).
Edit:/ Liegt wahrscheinlich am SP1... Willst du nicht mal updaten?

Aber die angehängt sollte eigentlich die normale Ping.exe sein...
/Edit


####################
Achtchtung:
####################
Dieser Dateianhang enhällt unter Umständen Malware. Nur in ner VM ausführen/debuggen!!
 
Tut mir leid, ausprobieren (mit löschen und so) kann ich das gerade nicht. Mein dedicated Server ist tot und ich sitze hier quasi vor meinem Webserver. Neustart und WinXP booten geht im Moment gar nicht, ausserdem hat Windows bei mir generell Internetverbot. Ich hab mir meine Version und deine mal etwas genauer mit objdump angesehen. Meine nenn ich mal ping-A und deine ping-B:

Code: 
ping-A Größe.............. 17408
ping-B Größe.............. 18944

ping-A Erstellungszeit.... 29-AUG-2002 10:37:39
ping-B Erstellungszeit.... 04-AUG-2004 08:07:21

Der einzige echte Unterschied liegt in der Verwendung von KERNEL32.DLL.

ping-A Externes in KERNEL32.DLL:
        2956      580  LocalFree        77e560a0
        2974      823  Sleep    77e41bea
        297c      724  SetConsoleCtrlHandler    77e58195
        2994      576  LocalAlloc       77e5a682
        29a2      353  GetLastError     77f41502
        29b2      366  GetModuleHandleA 77e5ad86
        2a3a      808  SetThreadUILanguage      77e61e64
        2962      228  FormatMessageA   77e5827e

ping-B Externes in KERNEL32.DLL:
        2e2e      360  GetLastError     7c920331
        2e20      583  LocalAlloc       7c8099bd
        2e3e      657  QueryPerformanceCounter  7c80a417
        2e00      830  Sleep    7c802442
        2dee      235  FormatMessageA   7c825f62
        2de2      587  LocalFree        7c80995d
        2e68      318  GetCurrentThreadId       7c809737
        2e7e      316  GetCurrentProcessId      7c80994e
        2e08      731  SetConsoleCtrlHandler    7c81b25b
        2e58      465  GetTickCount     7c8092ac
        2f98      815  SetThreadUILanguage      7c81af28
        2f10      373  GetModuleHandleA 7c80b529
        2ef2      818  SetUnhandledExceptionFilter      7c810386
        2ed6      855  UnhandledExceptionFilter 7c862b8a
        2ec2      315  GetCurrentProcess        7c80e00d
        2eae      838  TerminateProcess 7c801e16
        2e94      445  GetSystemTimeAsFileTime  7c8017e5

Ich bin mir nicht so ganz sicher, wozu ping.exe TerminateProcess benötigt... vll. weiß jemand mehr.

Ed: Man erkennt, dass deine Version gegenüber meiner gepatcht wurde. Der Maschinencode ist fast identisch, nur in meiner Ausgabe fehlen Fragmente. Ich glaube, deine Version ist korrekt.
 
die ping b habe ich hier bei allen meinen rechnern mit xp pro sp2 ebenfalls und da ich ein system grad neu installiert habe, dürfte dies also eine korrekte version sein
 
moin,
Ja, ich hab auch damit gerechnet dass diese Version clean ist. ->Aber die andere mal unter die Lupe zu nehmen wäre sehr interessant gewesen...Aber mein Linux-Clean-Live System lässt Malware nicht lange am Leben :)

thx für eure Hilfe,
Gruss
IsNull
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben