Verrücktes Script im Windows Ordner

CED999

Lieutenant
Dabei seit
Juni 2011
Beiträge
852
Hallo Leute,

ich habe ein Problem mit einer Datei namens Utilman.exe. Sie ist eine Windowssystemdatei. Der Windowsfilecheck beschwert sich andauernd über diese Datei. Ich habe bereits die Datei von der Original DVD in den entsprechenden Ordner (bei mir Win7 64-bit = C:\Windows\SysWOW64) kopiert. Wenn ich Windows neu starte passiert etwas total crankes: Die Datei ist gelöscht

Da Utilman.exe nicht ganz harmlos ist habe ich zunächst nach Viren gescannt - Kasperky keine Funde. Als ich dann mich im Ordner Syswow64 umschaute stockte mir dann etwas der Atem - ich fand dort 2 sehr mekrwürdige Dinge:

  1. Ein Script namens utilman.bat mit folgendem Inhalt:
    Code:
    echo j|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
    echo y|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
    echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Jeder:F
    echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Everyone:F
    echo j|copy C:\Windows\system32\utilman.exe C:\Windows\system32\utilman.ex_
    del C:\Windows\system32\utilman.exe
  2. Die Datei Utilman.exe fehlte es fand sich nur eine Datei namens utilman.ex_

Kann damit jemand was anfangen was da passiert? Doch noch ein Virus trotz SCan? Oder was anderes?

Ich habe schon probiert das mit Google zu verstehen, aber komme einfach nicht weiter...
 

Kazuro

Lt. Junior Grade
Dabei seit
Juli 2010
Beiträge
266
echo j|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo y|C:\Windows\system32\takeown /f C:\Windows\system32\utilman.exe
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Jeder:F
echo j|C:\Windows\system32\cacls.exe C:\Windows\system32\utilman.exe /G Everyone:F
echo j|copy C:\Windows\system32\utilman.exe C:\Windows\system32\utilman.ex_
del C:\Windows\system32\utilman.exe
1.Zeile: Takeown = Gib mir Zugriffsrechte als Besitzer auf "Utilman.exe" // Echo j wartet auf eine Eingabe die davor erfolgen soll. (Könnte auf einen Keylogger hinweisen.)

2.Zeile: Fast das selbe wie in der 1.Zeile, nur dass mit Echo y eine Abfrage provoziert wird, eine Art "Notfall-Start" damit das Script läuft.

3.Zeile: Cacls.exe = Die Rechteverteilung für Windows auf Kommandozeilenebene -> Befehl sagt "Gib JEDEM Zugriff auf die utilman.exe"

4.Zeile: Das selbe wie in Zeile 3, nur für englishe Windows-Versionen.

5.Zeile: Kopiert die geänderte Datei (mit geändert sind die Rechte gemeint) in den Ordner und benennt sie in "utilman.ex_" um.

6.Zeile: Löscht deine utilman.exe


Tipp: Autostart und Dienste prüfen. Irgendwas muss die "utilman.bat"-Datei bei dir ja öffnen !!!
Vielleicht reicht auch schon die Datei umzubenennen und dann ggf zu löschen.


Sollte das nicht helfen/ausreichen:
würde ich an deiner Stelle mit mehreren Virenscannern (nacheinander, nicht gleichzeitig!) scannen und prüfen. Gegebenfalls mit einer Boot-CD. Nicht dass du da was hast das sich im RAM versteckt. Im schlimmsten Fall kanns ein Rootkit sein.



EDIT-Grund: Formatierung.
 
Zuletzt bearbeitet:
M

Mumpitzelchen

Gast

MistaJack

Ensign
Dabei seit
März 2010
Beiträge
249
1.Zeile: Takeown = Gib mir Zugriffsrechte als Besitzer auf "Utilman.exe" // Echo j wartet auf eine Eingabe die davor erfolgen soll. (Könnte auf einen Keylogger hinweisen.)
ECHO j übergibt ein j an den darauffolgenden Befehl (nach dem Pipesymbol | ), d.h. die Sicherheitsabfrage des aufgerufenen Programms (in diesem Fall takeown) wird pauschal mit j beantwortet, ohne dass der Anwender gefragt wird.

@Topic:
Hier mein Versuch einer Erklärung: Die Batchdatei beseitigt das Programm utilman.exe und bahnt somit einen Weg, an diese Stelle erst noch ein gleichnamiges Schadprogramm zu installieren (es ist einfacher, eine neue Datei irgendwohin zu schreiben, als eine bestehende Datei zu überschreiben).
Der Antiviren-Scan geht ins Leere, da das Schadprogramm noch nicht an Ort und Stelle liegt. Also Vorsicht!
Ich schließe mich meinem Vorredner an, dass dringend gefunden werden muss, wo diese Datei aufgerufen wird. Als Hinweis: Wenn eine Datei ohne Endung aufgerufen wird, dann wird eine gleichnamige Batchdatei aufgerufen, nicht die EXE.
Als Hilfe hier das Programm Autoruns von Sysinternals.
 
Zuletzt bearbeitet:

CED999

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2011
Beiträge
852
hier sind die Autoruns:
autoruns.jpg

die Dienste:

dienste.jpg

DiensteII.JPG

DiensteIII.JPG

DiensteIV.JPG

DiensteVI.JPG

den Rest in Teil 2 mein Internet wird gleich aus sein, da hier Arbeiten an den Rohren vorgenommen werden.

Was mir nicht gefällt ist rpcnet da es in C liegt. Konnte noch nicht rausfinden ob Acer computrace installiert hat..

Danke euch soweit
 

CED999

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2011
Beiträge
852
Falls noch jemanden interessiert, hier die Lösung zu dem ganzen. Es war kein Virus, sondern ein Programm namens Kisi 2012 das ist eine Kindersicherung für den PC. Das Programm hat wohl zu dieser Methode gegriffen um zu verhindern, dass sich die Kiddies nach schauen eines YoutubeVideos sich so ein neues AdminKonto anlegen können. Krasse Sache hat mich viel Zeit gekostet, schöne Sch.....
 

cumulonimbus8

Admiral
Dabei seit
Apr. 2012
Beiträge
9.510
NEAR TO TOPIC

@MistaJack
Bist du sicher, dass BAT vor EXE ausgelöst wird??? Im selben Verzeichnis müsste sogar noch COM vor EXE vor BAT kommen! Wenn die Path-Variable dazwischenfunkt kann natürlich alles passieren.

CN8
 

MistaJack

Ensign
Dabei seit
März 2010
Beiträge
249
NEAR TO TOPIC

@MistaJack
Bist du sicher, dass BAT vor EXE ausgelöst wird??? Im selben Verzeichnis müsste sogar noch COM vor EXE vor BAT kommen! Wenn die Path-Variable dazwischenfunkt kann natürlich alles passieren.

CN8
Stimmt, Du hast recht - ich habs grad probiert. Die Exe kam vor der Bat an die Reihe.

@Topic:
Ok, dann wird wohl die Batch-Datei (Topic) die Maßnahme sein, die verhindern soll, dass ein User sich ein "Hintertürchen" lässt, um bei Angriffen von Trojanern etc. bessere Karten zu haben.

Unabhängig davon rate ich allen dringend, auch mit aktivierter UAC den alltäglichen Windows-User nicht als Administrator zu belassen. Vielmehr sollte ein eigener Administrator-User angelegt werden (nicht den User "Administrator" aktivieren!) Für die wenigen Anwendungsfälle, in denen Adminrechte gebraucht werden, kann man auch schnell das Passwort des Administrator-Users einklimpern. Es erspart echt ne Menge. Und natürlich immer Brain.exe als Hintergrundprozess laufen lassen. :)
 
Top