Bug oder Virus? Passportanmeldung im TC

[calios]

UPDATE vorweg:

ES IST KEIN VIRUS ODER ÄHNLICHES, WIE ICH INZWISCHEN HERAUSGEFUNDEN HABE - ALLERDINGS EIN SONDERBARES VERHALTEN DES TC

Heute ist mir etwas sehr sonderbares passiert:
beim Start des Total Commanders (v.6.54a) öffnete sich plötzlich ein Fenster, welches zur MS-Passport Anmeldung aufgefordert hat.

Eine nähere Betrachtung mit "process explorer" (sysinternals.com) zeigte, dass das Fenster vom Prozess totalcmd.exe aus gestartet wurde.

Image: http://1qwert.de/suspekt.gif

Neben dem abgeschnittenen Logo un der etwas seltsamen deutschen Formulierung, stelle ich mir die Frage, was der Total Commander mit MS-Passport zu tun hat?

Ich habe testweise einmal falsche Daten in die Eingabemaske eingegeben - daraufhin wurde eine TCP-Verbindung zu 65.54.179.248 aktiviert (diese IP ist laut nic.com auf Microsoft registriert).

Ich bin etwas ratlos - ist dies ein Bug oder ein Trojaner?

[SanskritFritz]

Das kommt auf keien fall vom TC, sowas wurde nie im leben eingebaut. Welche plugins hast du installiert? Webdav, u.a. kommt in frage. Trojaner kanns auch sein, aber TC hat eine eingebaute CRC abfrage das bei jedem starten abläuft.

[calios]

Das ist ja der Haken daran: KEINE PLUGINS installiert !

Bemerkenswert ist vielleicht noch, dass das Fenster aufpoppte, als ich einige Bilder in der Thumbnail-Ansicht des TC (welche ich sonst nicht so oft nutze) anzeigen habe lassen.

Ich erinnere mich noch gut an die WMF-Lücke in Windows - frage mich, welche Module der TC zum Bilder anzeigen benutzt - hoffentlich die von Windows und keine eigenen, welche sich durch manipulierte Bilder Code unterschieben lassen.

Da mein Windows auf aktuellem Patchlevel ist und mein Virenscanner mit den neuesten Definitionen auch nichts findet, mache ich mir langsam richtig Sorgen :/

WebDAV nutze ich nicht - Fakt ist, dass der Host-Prozess dieses Fensters die totalcmd.exe ist.

Image: http://1qwert.de/suspekt2.gif

Habe das System in dem Zustand gelassen wie es grade ist, um einiges an Forensik durchlaufen zu lassen.

[SanskritFritz]

Na dann probier mal TC mit parameter /i=test.ini zu starten. Dann hast du keine thumbnails. Kommt das problem immer noch?

[Lefteous]

2calios
Hallo,

schon bei deinem ersten Beitrag hatte ich die Miniaturansicht im Verdacht. Bitte schreibe mal (am Besten ein Bildschirmfoto) was du unter Konfigurieren/Miniaturansicht eingestellt hast.
Ich vermute, dass hier im weitesten Sinn die "Explorer-Methode" schuld ist. Ich selbst hatte schon ähnliche Probleme - übrigens auch im Windows-Explorer in dessen Miniaturansicht. Solche Probleme treten auf, wenn Komponenten für die Miniaturansicht nicht richtig funktionieren. In meinem Fall war dies eine Komponente von Microsoft Visio.
Eine weitere Frage noch: Kannst du das Problem zumindest in einem bestimmten Verzeichnis reproduzieren?

[calios]

Ich versuche es mal - das Prob zu reproduzieren - allerdings geht dann der Zustand des Speichers verloren - derzeit ist das Fenster noch so geöffnet wie es zuerst aufgepoppt ist - wenn ich es nun schließe verliere ich die Möglichkeit eines Dump.

[calios]

Ich konnte den Zustand nun reproduzieren.

Vielleicht hilft diese info:

Image: http://1qwert.de/suspekt3.gif
Image: http://1qwert.de/suspekt4.gif

Ich habe folgendes gemacht:

-----------------------------------

links: Laufwerk C:\Dokumente und Einstellungen\Administrator\Desktop

ansicht: Thumnails

Ich habe auf dem Desktop ein paar Ordner in denen ich Webseiten mit Bildern und html mittels IE Webseite speichern komplett abgelegt habe (um einige willkürliche Bilder zu bekommen).

-----------------------------------

rechts: E:\

ansicht: full

Vielleicht von Bedeutung: auf E:\ liegt im Root eine lnk zu einer lokalen Netzwerkressource, welche derzeit offline ist - also eine lnk auf \\192.168.0.1\e$

-----------------------------------

bringt uns das weiter?

UPDATE:
Die Datei MSONSEXT.DLL schein für den Dialog verantwortlich zu sein - und das ist in der Tat die DLL für WebDAV.

Die Datei schein soweit OK zu sein:

Image: http://1qwert.de/suspekt5.gif
Image: http://1qwert.de/suspekt6.gif

Allerdings frage ich mich wieso der TC sie aufruft?!?!!?

[Lefteous]

2calios
Probiere mal den gleichen Ordner im Explorer zu öffnen, natürlich auch in der Miniaturansicht.

[calios]

2calios
Probiere mal den gleichen Ordner im Explorer zu öffnen, natürlich auch in der Miniaturansicht.

Das hat keinerlei Auswirkungen.

Der Ordner bei dem es auftritt ist eindeutig der Desktop Folder des aktiven Users - ich habe nun alle Dateien vom Desktop entfernt (und auf einem anderen Laufwerk gesichert) - dennoch wenn ich den TC auf dem Desktop in den Thumbnail-Modus setze, kommt das Fenster aufgepoppt (es liegt rein gar nichts auf dem Desktop.

Ich versuche das Ding auf einem 2. PC nachzustellen.


UPDATE:

OK ich bekomme es mit TC 6.55 auf einem 2. Rechner reproduziert:

1.) TC starten und zum Desktop Folder des aktiven Users navigieren
2.) in den Thumbnail-Modus wechseln
3.) mit der Mouse Doppelklick eine Ebene höher und zurück - und voila das Fenster kommt

[Lefteous]

2calios
Ich habe es zwar oben schon mal geschrieben, aber ok man kann ja mal was überlesen:
Deine Miniaturnansicht-Konfiguration wäre mal sehr interessant.
Dort kannst du mal die "Explorer-Methode" deaktivieren, falls aktviert und dann testen, ob der Dialog weiterhin gezeigt wird.

[calios]

2calios
Ich habe es zwar oben schon mal geschrieben, aber ok man kann ja mal was überlesen:
Deine Miniaturnansicht-Konfiguration wäre mal sehr interessant.
Dort kannst du mal die "Explorer-Methode" deaktivieren, falls aktviert und dann testen, ob der Dialog weiterhin gezeigt wird.

Hier meine Config - da haben sich Posts überschnitten - hätte vor dem edit einmal aktualisieren sollen

Meine TC Thumbnail-config:

Image: http://1qwert.de/suspekt7.gif

[Hacker]

Deaktiviere mal probeweise die "Use Explorer method".

HTH
Roman

[calios]

Deaktiviere mal probeweise die "Use Explorer method".

HTH
Roman

@Lefteous hatte nicht genau verstanden, was du gemeint hast - nun ist es klar (lol@me) sry

lol und schon ist Ruhe im Karton:

"Use Explorer Method (OLE2) for:" ausschalten und das Popup kommt nicht mehr.

Wieder einschalten und es kommt wieder. Ok also ist irgendwas in der Explorer-Config dafür verantwortlich?

Interessanterweise bekomme ich das nur mit dem Administrator User reproduziert - in anderen Desktop-Ordnern geht es anscheinend nicht.

FRAGE: kann ich irgendwie dazu beitragen, den Fehler zu fixen? z.B. Registry-Dump der OLE-Verknüpfungen?

[Lefteous]

Dort kannst du mal die "Explorer-Methode" deaktivieren

Deaktiviere mal probeweise die "Use Explorer method".

Danke Roman. So ist das natürlich viel verständlicher

2calios

Wieder einschalten und es kommt wieder. Ok also ist irgendwas in der Explorer-Config dafür verantwortlich?

Ja es schaut so aus. Du kannst mal mit ShellExtView rumspielen. Hiermit kann man die sogenannten Shell-Extensions gezielt ein- und ausschalten.

[calios]

Danke Roman. So ist das natürlich viel verständlicher

LOL ;O

Sitz Du mal vor dem Rechner und hab P dass ein Trojan unterwegs sein könnte - sowas passiert, wenn man übervorsichtig ist - da kommt schnell mal ein wenig Irritation auf

Und überhaupt deutscher User und englische UI - das kann ja nur schiefgehen ...

Als ich auf meinem 2. Laptop den Screen der Thumbnail-Einstellungen in deutsch gesehen habe - ist mir dann auch ein Licht aufgegangen (besser spät als nie )

Habe mir mal shell Ext gezogen um die Extention auszumachen, die schuld ist.