ComputerBase Menü
Aktuelles

Verrücktes Script im Windows Ordner

C

CED999

Lieutenant
Registriert
Juni 2011
Beiträge
950
Hallo Leute,

ich habe ein Problem mit einer Datei namens Utilman.exe. Sie ist eine Windowssystemdatei. Der Windowsfilecheck beschwert sich andauernd über diese Datei. Ich habe bereits die Datei von der Original DVD in den entsprechenden Ordner (bei mir Win7 64-bit = C:\Windows\SysWOW64) kopiert. Wenn ich Windows neu starte passiert etwas total crankes: Die Datei ist gelöscht

Da Utilman.exe nicht ganz harmlos ist habe ich zunächst nach Viren gescannt - Kasperky keine Funde. Als ich dann mich im Ordner Syswow64 umschaute stockte mir dann etwas der Atem - ich fand dort 2 sehr mekrwürdige Dinge:

  1. Ein Script namens utilman.bat mit folgendem Inhalt:
    Code: 
    echo j|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo y|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Jeder:F
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Everyone:F
echo j|copy C:\Windows\system32\utilman.exe C:\Windows\system32\utilman.ex_
del C:\Windows\system32\utilman.exe
  2. Die Datei Utilman.exe fehlte es fand sich nur eine Datei namens utilman.ex_

Kann damit jemand was anfangen was da passiert? Doch noch ein Virus trotz SCan? Oder was anderes?

Ich habe schon probiert das mit Google zu verstehen, aber komme einfach nicht weiter...
 
echo j|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo y|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Jeder:F
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Everyone:F
echo j|copy C:\Windows\system32\utilman.exe C:\Windows\system32\utilman.ex_
del C:\Windows\system32\utilman.exe
Zum Vergrößern anklicken....

1.Zeile: Takeown = Gib mir Zugriffsrechte als Besitzer auf "Utilman.exe" // Echo j wartet auf eine Eingabe die davor erfolgen soll. (Könnte auf einen Keylogger hinweisen.)

2.Zeile: Fast das selbe wie in der 1.Zeile, nur dass mit Echo y eine Abfrage provoziert wird, eine Art "Notfall-Start" damit das Script läuft.

3.Zeile: Cacls.exe = Die Rechteverteilung für Windows auf Kommandozeilenebene -> Befehl sagt "Gib JEDEM Zugriff auf die utilman.exe"

4.Zeile: Das selbe wie in Zeile 3, nur für englishe Windows-Versionen.

5.Zeile: Kopiert die geänderte Datei (mit geändert sind die Rechte gemeint) in den Ordner und benennt sie in "utilman.ex_" um.

6.Zeile: Löscht deine utilman.exe


Tipp: Autostart und Dienste prüfen. Irgendwas muss die "utilman.bat"-Datei bei dir ja öffnen !!!
Vielleicht reicht auch schon die Datei umzubenennen und dann ggf zu löschen.


Sollte das nicht helfen/ausreichen:
würde ich an deiner Stelle mit mehreren Virenscannern (nacheinander, nicht gleichzeitig!) scannen und prüfen. Gegebenfalls mit einer Boot-CD. Nicht dass du da was hast das sich im RAM versteckt. Im schlimmsten Fall kanns ein Rootkit sein.



EDIT-Grund: Formatierung.
 
Zuletzt bearbeitet von einem Moderator:
Kazuro schrieb:
1.Zeile: Takeown = Gib mir Zugriffsrechte als Besitzer auf "Utilman.exe" // Echo j wartet auf eine Eingabe die davor erfolgen soll. (Könnte auf einen Keylogger hinweisen.)
Zum Vergrößern anklicken....

ECHO j übergibt ein j an den darauffolgenden Befehl (nach dem Pipesymbol | ), d.h. die Sicherheitsabfrage des aufgerufenen Programms (in diesem Fall takeown) wird pauschal mit j beantwortet, ohne dass der Anwender gefragt wird.

@Topic:
Hier mein Versuch einer Erklärung: Die Batchdatei beseitigt das Programm utilman.exe und bahnt somit einen Weg, an diese Stelle erst noch ein gleichnamiges Schadprogramm zu installieren (es ist einfacher, eine neue Datei irgendwohin zu schreiben, als eine bestehende Datei zu überschreiben).
Der Antiviren-Scan geht ins Leere, da das Schadprogramm noch nicht an Ort und Stelle liegt. Also Vorsicht!
Ich schließe mich meinem Vorredner an, dass dringend gefunden werden muss, wo diese Datei aufgerufen wird. Als Hinweis: Wenn eine Datei ohne Endung aufgerufen wird, dann wird eine gleichnamige Batchdatei aufgerufen, nicht die EXE.
Als Hilfe hier das Programm Autoruns von Sysinternals.
 
Zuletzt bearbeitet:
hier sind die Autoruns:
autoruns.jpg

die Dienste:

dienste.jpg

DiensteII.JPG

DiensteIII.JPG

DiensteIV.JPG

DiensteVI.JPG

den Rest in Teil 2 mein Internet wird gleich aus sein, da hier Arbeiten an den Rohren vorgenommen werden.

Was mir nicht gefällt ist rpcnet da es in C liegt. Konnte noch nicht rausfinden ob Acer computrace installiert hat..

Danke euch soweit
 
Falls noch jemanden interessiert, hier die Lösung zu dem ganzen. Es war kein Virus, sondern ein Programm namens Kisi 2012 das ist eine Kindersicherung für den PC. Das Programm hat wohl zu dieser Methode gegriffen um zu verhindern, dass sich die Kiddies nach schauen eines YoutubeVideos sich so ein neues AdminKonto anlegen können. Krasse Sache hat mich viel Zeit gekostet, schöne Sch.....
 
NEAR TO TOPIC

@MistaJack
Bist du sicher, dass BAT vor EXE ausgelöst wird??? Im selben Verzeichnis müsste sogar noch COM vor EXE vor BAT kommen! Wenn die Path-Variable dazwischenfunkt kann natürlich alles passieren.

CN8
 
cumulonimbus8 schrieb:
NEAR TO TOPIC

@MistaJack
Bist du sicher, dass BAT vor EXE ausgelöst wird??? Im selben Verzeichnis müsste sogar noch COM vor EXE vor BAT kommen! Wenn die Path-Variable dazwischenfunkt kann natürlich alles passieren.

CN8
Zum Vergrößern anklicken....

Stimmt, Du hast recht - ich habs grad probiert. Die Exe kam vor der Bat an die Reihe.

@Topic:
Ok, dann wird wohl die Batch-Datei (Topic) die Maßnahme sein, die verhindern soll, dass ein User sich ein "Hintertürchen" lässt, um bei Angriffen von Trojanern etc. bessere Karten zu haben.

Unabhängig davon rate ich allen dringend, auch mit aktivierter UAC den alltäglichen Windows-User nicht als Administrator zu belassen. Vielmehr sollte ein eigener Administrator-User angelegt werden (nicht den User "Administrator" aktivieren!) Für die wenigen Anwendungsfälle, in denen Adminrechte gebraucht werden, kann man auch schnell das Passwort des Administrator-Users einklimpern. Es erspart echt ne Menge. Und natürlich immer Brain.exe als Hintergrundprozess laufen lassen. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Batch Datei um jpg in einem bestimmten Ordner ausdrucken
Antworten
5
Aufrufe
2.470
mae1cum77
mae1cum77
Llares
CSC-Ordner löschen
2
Antworten
23
Aufrufe
4.844
tollertyp
T
M
Dateien sortieren in Ordner BAT
2
Antworten
20
Aufrufe
5.405
Master-Chief
M
Cassius1985
Batch Ordner-Namen als Variable setzen
Antworten
9
Aufrufe
6.169
Cassius1985
Cassius1985
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.560
ibm9001
ibm9001

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz