killtec
10.06.2022, aktualisiert um 13:21:50 Uhr
view39588
view11
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Unbekannte Ordner WGUA.Bin

gelöstAllgemeinWindows 10Microsoft
Hallo,
mir ist aufgefallen, dass auf einigen Systemen mittlerweile Versteckte Ordner namens

!WGUA.Bin und ΩWGUA.Bin direkt auf C zu sehen sind.

Dies Betrifft Windows 10 / 11 und Server 2016.

Weiß jemand, was das für Ordner sind?

Schönes WE

Gruß
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 3039527811

Url: https://administrator.de/forum/unbekannte-ordner-wgua-bin-3039527811.html

Ausgedruckt am: 30.04.2025 um 23:04 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
3016726741
3016726741 10.06.2022 um 12:38:52 Uhr
Goto Top
was mir als Allererstes dazu einfällt - hast du eine bestimmte Software installiert, die irgendwie dazugehört?

weil die Ordnerbezeichnungen selbst ... sehr seltsam. Völlig unbekannt.
killtec
killtec 10.06.2022 um 13:12:26 Uhr
Goto Top
HI,
nicht wissentlich. Ich hätte jetzt auf ein Windows-Tool gedeutet.

Was mir evtl. dazu noch einfallen könnte ist die AV Lösung. Hier ist Panda AD360 im Einsatz.
Panda wurde vor kurzen von Watchguard übernommen. Evtl. kommt es daher? Ist aber nur Vermutung.
Anhand der Dateien in den Ordnern lässt es sich zumindest nicht erkennen.
heart1
3016726741
3016726741 10.06.2022 um 14:07:47 Uhr
Goto Top
hmmm, das klingt danach, könnte eine gute Herleitung sein. ist irgendwas in diesen Ordnern drin wonach man sich ausrichten könnte? Immerhin nennen die ja auch ihre Updates "WGUpdate" (laut Dr.Google)

Vielleicht lässt sich dadurch was herleiten.
killtec
killtec 10.06.2022 um 14:16:02 Uhr
Goto Top
nein, mehrere 1kB Dateien mit unterschiedlichsten Endungen von xlsx zu zip etc...
3016726741
3016726741 10.06.2022 um 14:17:27 Uhr
Goto Top
und was steht in den excel-dateien drin?
killtec
killtec 10.06.2022 um 14:40:44 Uhr
Goto Top
die Dateien lassen sich nicht öffnen. Das scheinen dummys zu sein.
PS C:\!WGUA.Bin> gci


    Verzeichnis: C:\!WGUA.Bin


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----        10.06.2022     12:04            243 wgua_critical_file.3g2
-a----        10.06.2022     12:04            243 wgua_critical_file.3gp
-a----        10.06.2022     12:04            243 wgua_critical_file.7z
-a----        10.06.2022     12:04            243 wgua_critical_file.accdb
-a----        10.06.2022     12:04            243 wgua_critical_file.aep
-a----        10.06.2022     12:04            243 wgua_critical_file.ai
-a----        10.06.2022     12:04            243 wgua_critical_file.aif
-a----        10.06.2022     12:04            243 wgua_critical_file.ait
-a----        10.06.2022     12:04            243 wgua_critical_file.asf
-a----        10.06.2022     12:04            243 wgua_critical_file.avi
-a----        10.06.2022     12:04            243 wgua_critical_file.backup
-a----        10.06.2022     12:04            243 wgua_critical_file.bak
-a----        10.06.2022     12:04            243 wgua_critical_file.bmp
-a----        10.06.2022     12:04            243 wgua_critical_file.c
-a----        10.06.2022     12:04            243 wgua_critical_file.cer
-a----        10.06.2022     12:04            243 wgua_critical_file.class
-a----        10.06.2022     12:04            243 wgua_critical_file.cpp
-a----        10.06.2022     12:04            243 wgua_critical_file.crt
-a----        10.06.2022     12:04            243 wgua_critical_file.cs
-a----        10.06.2022     12:04            243 wgua_critical_file.csv
-a----        10.06.2022     12:04            243 wgua_critical_file.dat
-a----        10.06.2022     12:04            243 wgua_critical_file.doc
-a----        10.06.2022     12:04            243 wgua_critical_file.docb
-a----        10.06.2022     12:04            243 wgua_critical_file.docm
-a----        10.06.2022     12:04            243 wgua_critical_file.docx
-a----        10.06.2022     12:04            243 wgua_critical_file.dotm
-a----        10.06.2022     12:04            243 wgua_critical_file.dotx
-a----        10.06.2022     12:04            243 wgua_critical_file.dwg
-a----        10.06.2022     12:04            243 wgua_critical_file.eps
-a----        10.06.2022     12:04            243 wgua_critical_file.exif
-a----        10.06.2022     12:04            243 wgua_critical_file.flv
-a----        10.06.2022     12:04            243 wgua_critical_file.gif
-a----        10.06.2022     12:04            243 wgua_critical_file.java
-a----        10.06.2022     12:04            243 wgua_critical_file.jpe
-a----        10.06.2022     12:04            243 wgua_critical_file.jpeg
-a----        10.06.2022     12:04            243 wgua_critical_file.jpg
-a----        10.06.2022     12:04            243 wgua_critical_file.mp4
-a----        10.06.2022     12:04            243 wgua_critical_file.mpeg
-a----        10.06.2022     12:04            243 wgua_critical_file.mpg
-a----        10.06.2022     12:04            243 wgua_critical_file.odt
-a----        10.06.2022     12:04            243 wgua_critical_file.p12
-a----        10.06.2022     12:04            243 wgua_critical_file.pdf
-a----        10.06.2022     12:04            243 wgua_critical_file.pem
-a----        10.06.2022     12:04            243 wgua_critical_file.pfx
-a----        10.06.2022     12:04            243 wgua_critical_file.png
-a----        10.06.2022     12:04            243 wgua_critical_file.potm
-a----        10.06.2022     12:04            243 wgua_critical_file.potx
-a----        10.06.2022     12:04            243 wgua_critical_file.ppam
-a----        10.06.2022     12:04            243 wgua_critical_file.ppsm
-a----        10.06.2022     12:04            243 wgua_critical_file.ppsx
-a----        10.06.2022     12:04            243 wgua_critical_file.pptm
-a----        10.06.2022     12:04            243 wgua_critical_file.pptx
-a----        10.06.2022     12:04            243 wgua_critical_file.rtf
-a----        10.06.2022     12:04            243 wgua_critical_file.sql
-a----        10.06.2022     12:04            243 wgua_critical_file.text
-a----        10.06.2022     12:04            243 wgua_critical_file.txt
-a----        10.06.2022     12:04            243 wgua_critical_file.vmdk
-a----        10.06.2022     12:04            243 wgua_critical_file.wma
-a----        10.06.2022     12:04            243 wgua_critical_file.wmv
-a----        10.06.2022     12:04            243 wgua_critical_file.wps
-a----        10.06.2022     12:04            243 wgua_critical_file.xlsb
-a----        10.06.2022     12:04            243 wgua_critical_file.xlsm
-a----        10.06.2022     12:04            243 wgua_critical_file.xlsx
-a----        10.06.2022     12:04            243 wgua_critical_file.xltm
-a----        10.06.2022     12:04            243 wgua_critical_file.xltx
-a----        10.06.2022     12:04            243 wgua_critical_file.zip

Interessanter Fakt...
Ich habe mal einen MD5 Hash von den Dateien erzeugt. Es sind alles die gleichen Dateien.
heart1
3016726741
3016726741 10.06.2022 um 15:13:48 Uhr
Goto Top
sieht irgendwie nach Logfiles aus... klingt wirklich nach einer Software. Dennoch seltsam.
Über die Microsoft-Suche "bing" kam tatsächlich als Zweites ein Eintrag von "watchguard"...

Es bleibt rätselhaft.
Crusher79
Crusher79 10.06.2022 um 17:01:45 Uhr
Goto Top
Merkwürdig. Trojaner?

Sind auch allles die Endungen, die gerne als 1. verschlüsselt werden. Exotische Software wie Magci uniPaaS/ XPA nutzt ecf Endung. Die findet man meist nicht.

Hatte mal vor Jahren Kunden wo Tronajer zugeschlagen hat. Magic Anwendungen waren noch da, aber Bilder etc nicht.

Wie ist denn der Inhalt? Ich meine auf Binäre ebene. Mal bei virustotal - auch wenn nicht so schöne wegen DSGVO etc. - eingereicht?

Malware Scan? Sieht komisch aus. Oder Testlauf, ob man alles verschlüsseln kann face-big-smile

Hmm gefällt mir nicht. Besonders weil diese Datei Endungen alle Ziele sind.....
colinardo
Lösung colinardo 10.06.2022 aktualisiert um 19:55:35 Uhr
Goto Top
Servus.

So wie ich das sehe müssten das die Ordner sein die der Watchguard-Agent für die Ransomware Protection verwendet. Der Agent erstellt diese in zahlreichen Ordnern im System.
https://community.watchguard.com/watchguard-community/discussion/110/wg- ...

Wenn du ganz sicher sein willst, benenne einen Ordner mal testweise um, die Software die diese braucht wird sie sich sicher neu erstellen, das kannst du ausnutzen und das per Process Monitor zu überwachen. Dann filterst du auf den Pfad der Ordner und findest so den Prozess welcher die Ordner/Dateien verwendet.

Grüße Uwe
killtec
killtec 15.06.2022 um 09:35:34 Uhr
Goto Top
So, der ProcMon brachte hilfe face-smile
Kommt vom AV (Panda / Watchguard).

Danke face-smile
lars3107
lars3107 19.09.2022 um 15:44:16 Uhr
Goto Top
In den Dateien steht nebenbei bemerkt auch "This is a critical resource file used by WatchGuard Universal Agent for detection and prevention of active malware. Please do not delete, modify, or create any new files within this directory. Doing so may cause your system to become unstable."
gelöstAllgemeinWindows 10Microsoft
Mehr von killteckilltecRichtige Positionierung Adguard in Domainkilltec - 5 KommentarekilltecRDP Verbindung wird nicht aufgebaut 0xc06killtec - 7 KommentarekilltecHomematic IP Rasperry PI Umziehen - findet keine Gerätekilltec - 8 KommentarekilltecWindows Remotedesktop (RST, ACK)killtec - 15 Kommentare
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 32 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 30 Kommentareopc123Kostenloser Hypervisoropc123 - 28 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 22 KommentareAssassinServer 2025 HCI S2D Cluster mit aktuellen AMD Epyc?Assassin - 21 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareAbstrackterSystemimperatorWindows Key vom Recyclinghof nutzbar?AbstrackterSystemimperator - 17 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 17 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 13 KommentarekreuzbergerRDP auf dem iPadkreuzberger - 12 KommentareKauzigUser wird immer mit Temporären Profil angemeldetKauzig - 12 Kommentare