PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WinRoot32.exe & a.bat


Gast
2007-11-19, 13:51:24
Nach 8 Jahren Virenabstinenz war es heute wieder mal so weit. ;)

Ich kann euch nur davor warnen, denn diese Methode ist wirklich fieß.
Ich habe gestern Abend versucht ein Programm zu installieren. Vorher ließ ich alle Inhalte mit maximaler Archivtiefe nach Schädlingen scannen - wie immer (AntiVir mit aktuellster Definition = nix gefunden).
Die Installation lief ganz normal an (sogar mit richtigem Programmsymbol), er fragte nach der Sprache und nach drücken auf OK ... nichts.

Als Kenner weiß man nun: Könnte abgestürzt sein. Also gleich mal Taskmanager öffnen und gucken. Da war eine WinRoot32.exe & sofort gekillt.
Kurz vor dem Ausschalten noch eine AutoRun.exe in C:\ entdeckt und gelöscht. Gehört dort ja nicht hin. Hätte von meiner letzten Gameinstallation gewesen sein können, wer weiß.
Heute morgen startet dann alles wie gehabt, aber erst hier meldet AntiVir einen Fund in C:\a.bat & C:\Windows\System32\WinRoot32.exe.
Um meine Neugierde zu befriedigen den Virenscanner gleich mal abgestellt ;) und in die bat Datei gesehen. Registry-Zeugs. Sah aber mehr wie ein TCP-Optimizer aus, als wie ein Schädling... z.B. wurden maximale Anzahl an IE-Downloads erhöht (von 10 auf knapp 50). Datei danach gelöscht, wurde noch nicht ausgeführt.

Zur BAT gabs leider keine großartigen Informationen, AntiVir meldete lediglich:
Worm/Rbot.210944 & BAT/REG.Zapchast.

Angeblich sei (1) ein Keylogger gewesen, der bekannte Lücken ausnutze und sich übers "lokale Netzwerk verbreitet", ahja.
Also alles manuell gelöscht, msconfig aufgerufen und dann die Registriy von den "RunOne" & RunService Einträgen entfernt. Alles bestens (wofür brauch ich eigentlich noch den Virenscanner? Der geht ja nicht mal so weit)

Direkt danach kompletter Virencheck & Neustart um zu testen, ob noch was da ist. ;)
(das ist auf jeden Fall ganz wichtig: Nach dem Virusfund erstmal alle Dateien entfernen und erst dann neustarten, sonst werden die meistens erneut geladen - falls noch vorhanden!)

Ok, war alles wie immer. Nix mehr da. Nun stelle ich mir natürlich die Frage: Wenn es ein Keylogger gewesen sein soll, wo hat er seine Daten denn abgelegt?
Gibts nicht irgendwo ne Textdatei oder sowas? Gesendet hat er nämlich nichts, hätte er auch gar nicht gekonnt, da ich nur wenigen Programmen den Zugriff überhaupt gestattete und deren DLL und Programmdateien etc. bei Veränderungen den Zugriff hätte blockieren können.

Google hat leider nicht viel ausgespuckt. Gehe ich recht der Annahme, das sich dieser Schädling gerne selbst verschlüsselt oder per Passwort vor Virenscanner verstecken? Eigentlich hätte ja schon bei der Ausführung was gemeldet werden müssen... war aber nichts.

Gast
2007-11-19, 14:00:02
Nur mal so am Rande: Hatte gestern abend (fast zur gleichen Zeit) die Titan Quest Gold-Edition installiert (von Amazon für 20€).

Warum verlangte denn diese Installation (das Addon) einen Neustart? Als Hintergedanken käme mir da gleich ein Rootkit in den Sinn, aber das wäre ja aufgefallen, also scheints eher Zufall gewesen zu sein?

Scream
2007-11-19, 14:05:21
evtl hat es ein directX uddate durchgeführt
sonst fällt mir nichts ein was nen neustart rechtfertigt

Gast
2007-11-19, 14:20:42
Naja, der DirectX Ordner auf der DVD hat Ende Januar als Datum eingetragen, ich hat aber schon das Feb2007 Update drauf gehabt. ;)
Gibts eigentlich nichts zu aktualisieren...

Wie gesagt, kann auch nur Zufall gewesen sein.