Tweaks in batch datei nicht lesbar

[Der_Markus]

Hallo miteinander;!
Ich war mir nicht sicher, ob mein Beitrag nun zu Customizing oder zu Tweaks & Tuning gehört.

Nun zu meinem Problem..
Ich nutze gerne "gemoddete isos" hoffe man schreibt es so aber genauso gerne möchte ich sehen können, welche Tweaks angewendet werden.
Leider ist es mir bei einer ISO nicht möglich.
Ich öffne die .batch Datei mit (Notepad++ & UltraEdit) und zum Vorschein kommen nur seltsame Zeichen "Screenshot1"
Nachdem ich den Ländercode geändert habe, sieht es aus wie auf "Screenshot2"


Ist die .batch datei verschlüsselt? benutze ich nicht den richtigen editor? oder warum bekomme ich sie nicht zum lesen?

Im voraus danke für eure antworten.
mfg

 

[Wolf.J]

Die Datei ist sicher nicht verschlüsselt.
Die richtige Codepage hast Du wohl schon erwischt.
Wenn ich den Screenshot richtig interpretiere, wird ja zuerst die eingestellte Konsolencodepage ermittelt.

Ich vermute, dass es noch an der Art der Kodierung hapert.

Der Anweisungsteil wird ja lesbar dargestellt, das sind aber auch Zeichen, deren Kodierung in den verschiedenen Darstellungen noch gleich sind, also Zahlen und Buchstaben.
Andere Zeichen, die in den höheren Bereich der Codetabellen gehören, sind nicht lesbar oder falsch dargestellt, vergleiche nur die unterschiedliche Darstellung von % in Zeile 45.
Da müsste man also wissen, welche Zeichencodierung zugrundeliegt, zum Beispiel ASCII, Ansi, utf8, utf16 usw.
Das kannst Du in beiden benutzen Editoren einstellen, also am Editor liegt es nicht.
Wenn Du die Batch-Datei als Text-Datei anhängst, kann ich mir das gerne mal ansehen.

Von der Vorstellung, die Tweaks im Klartext lesen zu können, würde ich mich aber trotzdem verabschieden, das sind ja nur Wertzuweisungen, die da gemacht werden.

 

[Der_Markus]

Wenn Du die Batch-Datei als Text-Datei anhängst, kann ich mir das gerne mal ansehen.

Das wäre sehr nett, danke...denn ich komme da einfach nicht weiter..

 

[Wolf.J]

Beim Download schlägt der Defender zu!
Irgendeine Idee dazu?

 

[Der_Markus]

Leider nein! ich hatte das bei mir aber auch schon....
Wenn es nicht geht, dann geht es nicht aber trotzdem danke.
Sollte ich es schaffen, werde ich sagen woran es lag

 

[IT-SK]

Und Du meinst nicht,
es wäre sinnvoll UND eine Frage der Höflichkeit,
so etwas mitzuteilen, bevor Du es in ein Forum hochlädst??

 

[Wolf.J]

Nachdem ich die Dateien auf Virus Total habe überprüfen lassen und zwei Meldungen positiv waren, habe ich die Dateien hier auch gelöscht.

ich hatte das bei mir aber auch schon....

Da kann ich mich nur @IT-SK anschließen, bei einem neuen User macht das nicht gerade den besten Eindruck!
Falls die erste hochgeladene Datei das Original war, die war in UTF16 mit BOM codiert.
Das ist für eine unter Windows ausführbare Datei schon sehr ungewöhnlich.

 

[Der_Markus]

Und Du meinst nicht,
es wäre sinnvoll UND eine Frage der Höflichkeit,
so etwas mitzuteilen, bevor Du es in ein Forum hochlädst??

Da gebe ich euch beiden natürlich recht, sorry dafür......

Nachdem ich die Dateien auf Virus Total habe überprüfen lassen und zwei Meldungen positiv waren, habe ich die Dateien hier auch gelöscht.

Okay ist in diesem Fall dann besser.
Aber wie gesagt, trotzdem danke fürs nachschauen...
Ich hatte die ISO mal per VirtualBox installiert und es lief ja alles sowie es sollte, vielleicht habe ich mir deswegen keine weiteren Gedanken gemacht.
Entschuldigung

 

[runit]

Ich denke, das ist vielleicht eine false Blockierung. denn die Datei enthält ausführbaren Code, der etwas verändert, weil es eben ein Tweak ist. Da springt der Defender halt per se an. Wenn man weiß, dass der Code oder der Tweak garantiert keine Bedrohung enthält, kann man die Datei zur Ausnahme hinzufügen.

 

[Wolf.J]

TrojanDropper:BAT/Startpage.A​

Detected by Microsoft Defender Antivirus
Aliases: Trojan.BAT.StartPage.ie (Kaspersky) VBS/StartPage.6910 (Avira) Trojan-Dropper.BAT.Startpage (Ikarus) Trojan.Script.BAT.StartPage.ee (Rising AV)

Summary​

TrojanDropper:BAT/Startpage.A is the detection for a batch file that changes Internet Explorer settings and deletes certain files.

Dann achte mal besser auf den den.

 

[runit]

@Der_Markus

Welches ist denn die Quelle dieser modifizierten Iso? Man muss da selber einschätzen, ob die Quelle vertrauenswürdig ist. Leider werden solche Dateien ja auch gerne mal genutzt, um da solch einen Trojaner mit böser Absicht (Ändern der Startseite im Browser = Hijacker) einzuschleusen. Das ist ja die Bedrohung, die der Defender meldet. Wenn aber der Tweak genau da etwas gewollt "positiv" verändert, dann wäre das eben keine Bedrohung. Das kann der Defender aber nicht wissen, sondern nur der Nutzer oder Urheber der Batch-Datei.

 

[Wolf.J]

Wenn man etwas über die Quelle wissen würde, wäre die Einschätzung wohl auch etwas leichter.
Mich macht eben die Art der Datei schon stutzig, bzw. die Codierung in UTF16, das ist eben keine Dateicodierung, die für Windows geeignet wäre.

Die erste Anweisung, die ausgeführt wird, ist zuerst mal die Codepage auf arabisch umzustellen.

chcp 708

Kann man im Screenshot noch ganz gut nachlesen.

 

[Der_Markus]

Von ihm/ihr ist die ISO und hatte sie aus dem Discord Channel.
https://twitter.com/kernelpan1c5750/

 

[runit]

Bei Twitter ist der User seit 2013. Das macht ihn bedingt vertrauenswürdig. Ich würde aber solche Quellen wie Twitter oder Discord nicht nutzen, es sei denn, ich kenne den Teilnehmer näher und länger.

Ich habe das mal etwas recherchiert. Auf Discord unterhält der Nutzer einen öffentlichen Channel. Die Sprache (wie auch auf Twitter) ist vorrangig Spanisch. Es geht da um das Projekt KernelOS, welches schon recht weit entwickelt und lauffähig ist, unter Beteiligung noch weiterer Nutzer und Verweisen zu github. Meinem Eindruck nach sind das keine bösen Buben, sondern bestenfalls interessierte Nerds.

Wenn ich das richtig interpretiert habe, geht das KernelOS auf Win 10 ein. Wo Du da jetzt die Iso her hast, die Stelle habe ich nicht gefunden. Ich würde aber nun meinem Eindruck nach vom Bauchgefühl her nicht unterstellen, dass diese Entwickler Irgendwem einen Trojaner unterschieben wollen.

Mache ein wiederherstellfähiges System-Backup (falls die Iso was schrottet) und füge die Iso dann als Ausnahme im Defender hinzu und probiere die Iso aus, würde ich sagen. Dann siehst Du ja, was die ändert. Da gibt es aber auch von den Entwicklern bestimmt eine nähere Beschreibung bzw. einen Changelog zu. Das habe ich beim Querlesen der Stränge auf Twitter und Discord zu den einzelnen KernelOS-Versionen stichwortartig aufgenommen.

Du solltest aber wissen, wenn Du solche modifizierten Isos nutzt, kann es sein, dass Du Sicherheitslücken in das System reißt und irgendwann vielleicht Win-Update-Probleme bekommen kannst. Ich würde Sowas allenfalls auf einen Testrechner loslassen, nie auf mein Produktiv-System.

Ansonsten spreche die Entwickler doch einfach mal auf Discord in ihrem Channel an und stelle ihnen die Fragen, die Du dazu hast.

 

[Der_Markus]

Ansonsten spreche die Entwickler doch einfach mal auf Discord in ihrem Channel an und stelle ihnen die Fragen, die Du dazu hast.

Dank dir, denke das werde ich mal machen.
Die ISO hatte ich per VirtualBox ja schonmal installiert und diese Datei um die es mir ging, lief nach der Installation einmal durch und hat sich selbst gelöscht.
Joa, danach war das System aber recht schnell und daher hat es mich interessiert, was da so für Tweaks zum Einsatz kommen.