fennek11
Goto Top

Liste von URLs in wininet.dll

Hallo,

die Frage ist zugleich enrsthaft und Satire:

Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die Datei mit dem Suchkriterium ".de" zeigt ca 100 url's, z.B. Heinle-IT.de. Es sind große Firmen wie "Postbank", Universitäten (Halle), aber auch "de.der-fliesenzauberer" dabei.

Hat jemand eine Idee, warum Microsoft diese Liste in jedem Windows-System eingefügt hat?

Liste ---------

.de oder de. in wininet.dll

abm-energie.de
aproposgeschenk.de
chrysler.de
frankfurt-oder.de
ise.de
onlinebt.de
tuev-nord.de
uni-halle.de
uni-hohenheim.de
vincentz.de
andreasschulze.de
anonym-surfen.de
bbn.de
berliner-rundfunk.de
beschaffung.de
bic-iban.de
bundesnetzagentur.de
comfort-market.de
cyberport.de
das-rechtsportal.de
das.de
dhg.de
dkv-online.de
egroupware.de
einheiten-umrechnen.de
epicsoft.de
ergo-s-wirsindzukunft.de
ergo.de
eurocar.de
europ-car.de
europcar-interrent.de
europcar-umzug.de
europcar.de
europcarsecuritifleet.de
heinle-it.de
helmutschmidtjournalistenpreis.de
hms-wir-sind-zukunft.de
iw-hosting.de
kfw-formularsammlung.de
kfw.de
kissfm.de
landbw.de
makler-ergo.de
makler-hm.de
one.de
postbank.de
rs2.de
securitifleet.de
snapfish.de
stylite.de
t-mobile.de
telekom.de
topradio.de
tu-dortmund.de
unibw.de
com.yahoo.search.de

de.dentrassi
de.deftig-und-fein
de.de-servers
de.dementiapraecox
de.defrax
de.derstulle
de.der-fliesenzauberer
de.derkuki
de.despora
de.deadinsi
de.devjack
de.deutschland-dsl
de.dealbanana
de.dexalo
de.deusu
de.dehydrated
de.dewaard
de.der-gardinenmann
de.deinballon
de.deutsche-tageszeitungen
de.dersoundhunter
de.deutscher-rollenspielpreis
de.deviltraxxx
de.design-tooning
de.derhil
de.deutsche-seniorenbetreuung
de.dergeilstestammderwelt
de.de-rwa
de.decompiled
de.deutscher-bericht
de.dev-tek
de.dedimax
de.derbuntering
de.designhotel-kronjuwel
de.delta23
de.deinewebsite
de.deprecate
de.detroit-english
de.der-stein-fluesterer
de.devh
de.der-bank-blog
de.deude
de.dentallaborgeraeteservice
de.decstasy
de.depot-leipzig
de.dezet-ev
de.der-lan
de.dezshop24
de.degen-elektrotechnik
de.deinserverhost
de.despotika
Kommentar vom Moderator colinardo am 21.01.2022 um 13:28:46 Uhr
Titel angepasst

Content-ID: 1746336931

Url: https://administrator.de/forum/liste-von-urls-in-wininet-dll-1746336931.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

DerWoWusste
DerWoWusste 21.01.2022 um 10:29:07 Uhr
Goto Top
Moin. Gib doch zunächst mal Name und Pfad der dll an, sowie deren Version und Signatur.

Du hast zwei verschiedene Namen genannt, welcher ist es?
Trommel
Trommel 21.01.2022 aktualisiert um 10:34:20 Uhr
Goto Top
Tatsache, gute Frage. Die URLs sind bei mir ähnlich. Dachte ggf., dass es ein Cache ist aber das haut nicht hin.

Zitat von @DerWoWusste:

Moin. Gib doch zunächst mal Name und Pfad der dll an, sowie deren Version und Signatur.

Du hast zwei verschiedene Namen genannt, welcher ist es?

Pfad (bei mir zumindest) ist C:\Windows\System32\wininet.dll
Bei mir ab Zeile 16671 im Notepad++

EDIT:

Laut Google Recherche "file receives security updates from Microsoft"
Fennek11
Fennek11 21.01.2022 aktualisiert um 10:42:28 Uhr
Goto Top
Die Url's stammen bei meinem 32-bit-System aus dem genannten Ordner.

Bei 64-bit sollte der Ort sein:

C:\Windows\SysWOW64\wininet.dll

(ungeprüft)


Die Liste von oben stammt aus der Version

Dateiversion 11.0.19041.1320 vom 11.11.2021
150345
150345 21.01.2022 aktualisiert um 10:53:00 Uhr
Goto Top
Hallo,

hier wird erklärt was WinInet ist:
https://techcommunity.microsoft.com/t5/ask-the-performance-team/under-th ...

Hier noch ausführlicher:
https://docs.microsoft.com/en-us/windows/win32/wininet/about-wininet?red ...

Für mich sieht das auf den ersten Blick nach einem Cache aus.
Ich kenne mich damit allerdings nicht aus und habe mir nur einen groben Überblick über diese DLL gemacht. Ob das der Grund ist, warum es diese Liste gibt, kann ich daher nicht genau sagen. Ich nutze derzeit auch kein Windows um selbst mal ein Blick drauf zu werfen.

MfG
aqui
aqui 21.01.2022 aktualisiert um 10:56:43 Uhr
Goto Top
C:\Windows\SysWOW64\wininet.dll
Und oben redet der TO dann von wininit.dll
Verwirrung komplett. face-sad
Der TO sollte vielleicht, auch wenn's Freitag ist, einmal seine Brille aufsetzen und Korrektur lesen bevor man solch verwirrenden Mist auf die (Winblows) Menschheit loslässt... face-sad
Eine wininit.dll gib es auf einem sauberen 21H2 System nicht und die wininet.dll ist keine ASCII Text Datei.
Der TO hat sich vermutlich Malware eingefangen...oder was auch immer ?!
Remotedesktopverbindung
Remotedesktopverbindung 21.01.2022 um 11:35:25 Uhr
Goto Top
Wem auch immer Heinle-It.de gehört, sollte mal seine Zertifikate erneuern face-smile
Xaero1982
Xaero1982 21.01.2022 um 11:42:27 Uhr
Goto Top
Die Datei heißt: wininet.dll

In der Tat sind dort irgendwelche Webseitenamen enthalten.

Die lässt sich mit dem Notepad öffnen und dann mal nach .de suchen. Da findet man so einiges.
DerWoWusste
DerWoWusste 21.01.2022 um 11:58:15 Uhr
Goto Top
Ok, wir haben nun inklusive mir 4 Leute hier, die Adressen finden, aber keiner schafft es zu benennen:

C:\Windows\System32\wininet.dll
Dateiversion 10.0.22000.282
Signatur: ‎Thursday, ‎October ‎7, ‎2021 5:20:18 AM (Microsoft)
Betriebssystembuild: 10.0.22000.434 (Win11)

Ok, wer macht ein Ticket bei MS auf und fragt nach, warum die eigene Domain da nicht drinsteht, wo doch sonst die halbe Welt drin ist?
sk
sk 21.01.2022 um 12:18:51 Uhr
Goto Top
C:\Windows\System32\wininet.dll
Dateiversion 11.0.19041.1420
Betriebssystembuild: 10.0.19044.1466 (Win10 pro 21H1)

Sieht für mich aus, als ob während des Entwicklungsprozesses ein Snapshotverfahren zum Einsatz kam und deshalb der IE-Cache mit in die Datei gewandert ist.

Gruß
sk
Lochkartenstanzer
Lochkartenstanzer 21.01.2022 um 12:30:32 Uhr
Goto Top
Moin,

ein
locate -i "wininet.dll | xargs srings -l1 -t 

auf einer backup-Ablage brachte mehrere Dateien aus verschiedenen Windows-Systemen zum Vorschein, die so eine Liste von domainname sowohl enthielten, als auch welche, die diese nicht enthielten zutage.

Es scheint als normal zu sein, daß diese Namen un dieser Bibliiothek stehen.

Welchen Zweck das hat, ist noch zu eruieren.

lks
colinardo
colinardo 21.01.2022 aktualisiert um 13:25:07 Uhr
Goto Top
Servus.
Welchen Zweck das hat, ist noch zu eruieren.
Hab die DLL mal interessehalber durch einen Disassembler gejagt und mal grob drüber geschaut. So wie es aussieht ist das eine zufällige Auswahl an URLs die in einer Array-Variablen stehen und die zum Testen mit einer intern genutzten Funktion dient. Zumindest konnte ich keine Referenzen/Sprungpunkte zu den von der DLL Exportierten Funktionen finden. Da haben die Programmierer wohl vergessen aufzuräumen face-wink.

Grüße Uwe
Trommel
Trommel 21.01.2022 aktualisiert um 14:00:15 Uhr
Goto Top
Zitat von @sk:
Sieht für mich aus, als ob während des Entwicklungsprozesses ein Snapshotverfahren zum Einsatz kam und deshalb der IE-Cache mit in die Datei gewandert ist.

Tja schade, hätten wir doch mal einen Einblick in die Pornovorlieben der Entwickler erhalten, stattdessen werden wir mit europcar und dem helmutschmidtjournalistenpreis abgespeist.
C.R.S.
C.R.S. 22.01.2022 um 19:44:25 Uhr
Goto Top
https://isc.sans.edu/diary/rss/28262

Die vielen sonstigen Strings neben den Domains sind aus dem Brotli-Dictionary, das weiter unten eingebettet ist.