Computerhilfe (PC-Abteilung) CCleaner kam mit Backdoor daher

hinterwaeldler
hinterwaeldler
Mitglied

CCleaner kam mit Backdoor daher
geschrieben von hinterwaeldler

Wer in den letzten Tagen vom Server des Schlangenöl-Verkäufers Avast einen CCleaner herunter geladen hat, dem wird dringend empfohlen ein Update auf die aktuelle Version des CCleaner 5.34 zu updaten. Diese versiffte Version des CCleaners ist seid dem 15. August unterwegs.
Die meisten Downloads kommen von dort. Nicht einmal die Server der Schlangenöl-Hersteller sind vor Kriminellen sicher.

Quelle: Heise.de: Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen

hinterwaeldler
hinterwaeldler
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von hinterwaeldler
als Antwort auf hinterwaeldler vom 18.09.2017, 20:30:45

Avast unternimmt in seiner Presseerklärung nicht einmal den Versuch zu erklären, wie es zu diesem Infekt, der offensichtlich und nach aktuellen Erkenntnissen von den Mitarbeitern der eigenen Firma eingeschleust wurde kommen konnte.

Quelle: https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

Der IM-Translator ist eine gute Lesehilfe für die User, die des englischen nur sparsam mächtig sind. Bemerkenswert ist das auf einigen Zeitungs-Downloadseiten sofort die Hersteller ihr eigenes Schlangenöl anbieten, obwohl die es vorher auch nicht gefunden haben. 

hinterwaeldler
hinterwaeldler
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von hinterwaeldler
als Antwort auf hinterwaeldler vom 18.09.2017, 21:33:20

Einige User scheinen die Warnung nicht für voll zu nehmen, denn noch immer sind lt Avast 730.000 User mit dem Dings im Internet unterwegs. Sicher sind da auch einige ST-Besucher darunter: http://www.pc-magazin.de/news/ccleaner-malware-avast-statement-3198388.html

In diesem Zusammenhang auch diesen Kommentar lesen
Laut Microsoft Windows 10: Warum Tuning- und Aufräum-Tools eher schaden sollen

Das schreibt M$ zu diesen Dingsern der Schlangenölerstellern:
Bekannte Tools wie beispielsweise CCleaner, TuneUp Utilities oder etwa Ashampoo WinOptimizer scannen einen Computer in der Regel auf potenzielle Performance-Bremsen und Sicherheitsrisiken. Nicht selten werden anschließend Hunderte oder gar Tausende scheinbare Problemfunde gelistet, die den Rechner ausbremsen oder ihn für Schädlinge empfänglicher machen sollen. Mit einem Klick lassen sich diese „Probleme“ lösen – dabei werden angeblich nicht mehr benötigte Dateien gelöscht und das System von Ballast befreit. Einstellungen im System werden verändert und Registry-Einträge angepasst oder gelöscht.

Microsoft betont, dass diese praktischen Tools nicht zwingend schädlich sein müssen, doch viele andere Vertreter entsprechender Software seien zu undurchsichtig, wenn es um Beschreibungen der angeblichen Probleme geht. Nicht selten würden sie eher für Panik als Aufklärung beim Nutzer sorgen.


Ich bin nicht der Freund von BG und viele werden wissen, das ich Linux bevorzuge. Aber wo er recht hat hat er recht.


Anzeige

digi
digi
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von digi
als Antwort auf hinterwaeldler vom 20.09.2017, 17:42:04

Ich hab es aufgegeben, seit Jahren versuchsweise aufklärend mir das Maul fusselig zu reden. Es hat keinen Zweck.

Wird bei mir um Hilfe nachgefragt, frage ich als erstes ob der CCleaner u.ä. benutzt wurde.
Ist die Antwort 'Ja', dann ist die Sitzung meistens zuende.

Die nächste Frage wäre noch, ob ein (System-)Backup existiert, und die Antwort ist 'Nein', dann ist auch diese Sitzung generell zuende.
Dann fehlt nur noch die Ansage, dass 'die Driver' updated wurden; was ein blanker Unsinn.

Nur ganz persönlich bekannten Mitgliedern versuche ich dann trotzdem noch zu helfen. Das ist dann meistens sehr mühsam und kann schon mal eine Handvoll Stunden oder auch Tage dauern. Ein unbekanntes System ist nämlich schwierig zu durchflöhen. Dieser Zeitvergeudung versuche ich aus dem Wege zu gehen.
Ich habe auch schon erlebt, dass nach zwei Tagen Durchflöhens und Wiederhinbiegens die Ansage kam, man hätte sich nun doch einen neuen PC gekauft. So welche merke ich mir sehr sehr lange.

Sämtliche 'Reinigungsarbeiten' können durchaus mit Bordmitteln durchgeführt werden - falls sie überhaupt nötig sein sollten.

Ja, ich weiß, daß auch dieser Beitrag auf Widerstand und Unverständnis stößt, aber das ist mir egal.
Klickt ruhig alles fröhlich an.
Und lügt mir nicht die Hucke voll; ich finde sowieso heraus was als letztes gemacht wurde. emoji_astonished

Sebastian
Sebastian
Administrator

RE: CCleaner kam mit Backdoor daher
geschrieben von Sebastian
als Antwort auf digi vom 20.09.2017, 21:20:24

Ich sollte mal bei einer Freundin von meinem Bruder den Laptop anschauen, weil dort immer Pop-Ups aufgetaucht sind und jeder Link irgendeine Werbeseite geöffnet hat.

In den installierten Programmen hab ich drei Toolbars und zwei 'Performance Boost' Programme gefunden... Anstatt Performance zu steigern wurd der Laptop enorm verlangsamt wegen der ganzen Werbung. 

Also als erstes Virenscanner und Maleware-Scanner drüber laufen lassen und nach ein paar Stunden die ca 13.000 schädlichen Dateien gelöscht. 
Hat ein paar Tage gedauert den PC per Fernwartung wieder ordentlich zum Laufen zu bekommen, Neu aufsetzen war so leider nicht möglich, vorallem wegen mangelnder Datensicherung... 

Ich persönlich halte mich von sämtlichen 'Performance' Programmen fern, da ein PC sowas eigentlich gar nicht braucht. 
Vorallem bei Downloads von kostenlosen Programmen muss man heutzutage eh aufpassen, dass man nicht noch zwanzig weitere Programme mit installiert :D

Wobei ich früher auf den CCCleaner geschworen habe und diesen so eigentlich auch ganz gut fand. 

hinterwaeldler
hinterwaeldler
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von hinterwaeldler
als Antwort auf Sebastian vom 21.09.2017, 22:13:28

Was verstehst du unter schädlichen Dateien? Du darfst nicht glauben, was dir die Hersteller von Schlangelöl erzählen. Das ist reiner Kommerz. Es gab schon vor Jahren eine Stellungnahme von M$ in den Medien. http://www.pc-magazin.de/news/ccleaner-windows-aufraeumen-registry-saeubern-microsoft-warnung-3195120.html  Wohlgemerkt, ich bin kein Freund von Bill Gates und benutze Winseln nur für Programme, bei denen es keine Alternative gibt. Bsw. für meine Eisenbahnsimulation von Steam: http://www.rail-sim.de/

Die Registry ist eine Datenbank im Textformat. Wieviel Einträge sich darin befinden ist völlig wurscht, denn es existiert kein Suchalgorytmus, der die Suche verlangsamen könnte. Jedes Programm und jedes Teil des Betriebssystems weiss genau, welche Adresse der Eintrag haben muss. Das ist wie die Wohnadresse in einer Großstadt. Der Briefträger rennt auch nicht erst durch die ganze Stadt von Tür zu Tür und fragt ob dort der Empfänger des Briefes wohnt. Ein sg. verweister Eintrag ist wie eine Wohnung, in der niemand mehr wohnt. Die wird nicht mehr aufgesucht!

Das Einzige was eine Registry in einem solchen Fall verbraucht, sind ein paar 100KByte mehr Speicherplatz auf der HDD und sonst nichts. Moderne PC+Laptops haben wenigsten 250 GByte und mehr zur Verfügung. Das ist also wie ein Staubkörnchen auf einer polierten Tischplatte. Ok? Hast du das wenigstens bis hierher verstanden? Es gibt sogar Fachleute und Fachjournalisten, die verstehen das nicht und schreiben immer wieder den gleichen Müll.

Wie hätte ich mich in deinem Fall verhalten?
Zuerst würde ich die Freundin auffordern, alle wichtigen Dateien und persönlichen Daten auf einem Stick zu sichern. Den knn man später auch noch benutzen. Moderne TVs können .mkv-Filme direkt vom Stick lesen.

Dies kann mit einem stinknormalen Dateimanager in Zweifenstertechnik geschehen (für Privatanwender kostenlos). Danach auf dem Laptop den Herstellerzustand wieder hergestellt und mit einem Deinstaller (BC oder Revo) alle die Programme entfernt, die entweder nicht gebraucht oder veraltet sind. Nun hast du alle Werbung raus, denn die meisten Programme wurden vom Händler mitgeliefert, der will ja auch was verdienen. 

Die ersten Programme sollten wieder ein richtiger Dateimanager sowie ein Browser und ein Mailclient sein. Am Besten von Mozilla. Die C: wird mit einem dafür brauchbaren Partitionsmanager von Paragon oder Aomei soweit verkleinert werden, das sie die Größenordnung des vorher verbrauchten Platzes hat. Richtwert: 50 GByte.

Der freigewordene nicht partitionerte Platz erhält eine weitere Partition. Auch die versteckte Partition für das Recovery wird nun gelöscht und neu partitioniert. Letztere wird später als Backup-Partition genutzt. Sie wird nicht wieder versteckt. Das erleichtert den Umgang mit ihr.
 
Wichtig: Die Daten auf der bisherigen Partition D: verbleiben dort. Sie gehen bei den Aktionen nicht verloren.

Zuerst installiert man nun ein kostenloses Backup-Programm von Paragon oder Aomei und installiert es. Beide sprechen Deutsch mit dir, welchen Hersteller du bevorzugst ist egal. Aomei ist ein wenig einfacher zu handhaben. Du kannst aber später auch zum jeweiligen anderen wechseln.

Jetzt werden alle Programme installiert, die bezahlt wurden und auf die Wert gelegt wird. Es werden keine zusätzlichen Programme gekauft. Dann besuchst du http://www.opensource-dvd.de/ und lädst dir alle die Programme herunter, die deine Freundin sonst noch baucht. Diese Webseite ist sicher und alle Programme sind kostenlos.

Alle Programme werden nach der Installation so eingerichtet, das sie ihre Daten und Profile auf der D: abspeichern. Wenn du bei den Mozillas nicht zurecht kommst, dann frage hier oder besuche deren Forum. Die Daten anderer Programme haben ebenfalls nichts auf der C: zu suchen. Microsofts "Eigene Dateien" sind war zwar gut gemeint, aber schwer zu finden.

Hast du alles installiert und eingerichtet machst du mit einem Backupprogramm von Paragon oder Aomei ein Systembackup der C: und nur der C:. und speicherst es auf der ehemaligen Recoverypartition ab. Das sollte die Partition F: sein. Wenn du alles richtig gemacht hast, kannst du im Anschluss auch gleich mal ein Restore versuchen. Hat alles geklappt, müsste alles wieder so sein und funktionieren, wie es vorher war.

Jetzt kannst du auch abschätzen wie schnell ein Restore der C: ist und Überlegungen anstellen, was schneller geht: Die Suche inkl. sicherer Entfernung einer Malware mit einem Scanner oder ein Restore mit einem Image-Tool, bei welcher die C: gelöscht, neu formatiert und wieder neu geschrieben wird. Hast du die D: als Arbeitspartition eingerichtet, so wie oben vorgeschlagen, kannst du nach einem Infekt und anschliesenden Restore an der Stelle weiter arbeiten, an welcher du geendet hast.

Ob du einen Scanner brauchst hängt davon ab, wie paranoid du oder deine Freundin ist. Ich brauche soetwas nicht. Ok!


Anzeige

RE: CCleaner kam mit Backdoor daher
geschrieben von Sebastian_K
als Antwort auf hinterwaeldler vom 22.09.2017, 13:41:55
Hast du das wenigstens bis hierher verstanden?
Danke, ich kenn mich in dem Thema bestens aus, deine "Anleitung" ist für viele dennoch bestimmt hilfreich.

Unter schädlichen Dateien verstehe ich Adware, Pornware, Riskware, Spyware, ...
z. B. Programme, die im Browser aus JEDEM Link einen Link machen, der auf eine Werbeseite verweist um dort einen "Virenscanner" zu installieren, der mir anzeigt, dass ich ja über 200 Infektionen auf meinem PC habe, die sofort entfernt werden müssen.

Eine Formatierung war mein erster Vorschlag, da ich das ganze jedoch per Fernwartung (Teamviewer) regeln musste habe ich dies auch garnicht machen können.
Die Ursache war, dass überhaupt kein Virenscanner installiert war und sämtliche Filme und Programme kostenlos aus dem Internet gezogen wurden. Dabei waren halt noch mehr Programme dabei als eigentlich gewünscht.

Ich brauche und habe jedoch auch keinen solcher Scanner wie den CCCleaner installiert und seitdem ich von einer HDD auf eine SSD umgestiegen bin, muss ich auch keine Festplatten mehr defragmentieren.
hinterwaeldler
hinterwaeldler
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von hinterwaeldler
als Antwort auf Sebastian_K vom 22.09.2017, 14:20:46

Das sind wir uns ja weitestgehend einig und unser Disput beschränkt sich auf einen echten Erfahrungsaustausch. Ich persönlich halte nicht viel vom Teamviewer. Das Thema wurde schon vor einigen Jahren hier im Forum diskutiert. Ich habe ihn abgelehnt, weil ich ahnte was da noch kommen kann. Einer der Teamviewer-Helfer wurde danach schwer angegangen und verließ den ST.

Ich verweise stets auf die Werkstatt im Kiez, weil dort eine Handwerkergarantie geboten wird. Auch in Selbsthilfewerkstätten wird unmittelbare Hilfe und Anleitung gegeben. Wer völlig ahnungslos ist und so etwas in seiner Wohngegend hat, sollte das auf alle Fälle nutzen.

Von Scannern halte ich nicht viel. Ich besitze auch keinen, weder im Desktop-PC noch im Laptop. Wenn man nicht ganz Taub ist, sollte man merken, ob sein Gerät einen Infekt hat. Nach deiner Beschreibung war es schon sehr heftig. Wichtig ist: Nach einem Infekt sollte der PC immer als kompromittiert betrachtet werden, denn man weiss nie was hinterlassen wurde.

Meine wichtigsten Werkzeuge für die Suche nach Malware sind die Sysinternals von MS. Lange bevor Mark Russinovich mit seinem Vortrag an die Öffentlichkeit ging, schrieb ich im Forum des PC-Magazins eine Anleitung zum Umgang mit diesen Tools. Daraufhin kam es zu Streit mit den dortigen Journalisten (Motto: Fachjournalismus lebt nicht allein von Fachbeiträgen) und ich schrieb nie wieder etwas für diese Zeitschrift.

Nochwas: Das BKA darf seinen Bundestrojaner nicht einsetzen. Trotz mehrerer Mio Entwicklungskosten ist er nach wie vor nicht beherrschbar. Golem.de - Remote forensics - BKA kann eigenen Staatstrojaner nicht einsetzen


 

digi
digi
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von digi
als Antwort auf hinterwaeldler vom 23.09.2017, 09:55:26
Einer der Teamviewer-Helfer wurde danach schwer angegangen
und verließ den ST.
geschrieben von hinterwaeldler
Der mir sehr wohl Bekannte -wir pflegen weiterhin Kontakt- ging aus anderen Gründen, die auch für mich plausibel sind. Aber ich habe ein dickeres Fell. Und zu verschwinden, wenn es hart wird? Das ficht mich zwar auch ganz kurz an, aber nach 10 Minuten ist die Luft wieder sauber. Deswegen gibt es aber auch für alles eine Grenze. Und überall reinhängen -besonders ins Politikbrett- muss ich mich ja nicht; beobachte aber schon wie dort manche auch einen 180° Sinneswandel zustandebringen.

Nun kann ich hier im ST nicht zu jedem Ort hinreisen und dort PCs flicken,
aber hin&wieder doch einen mehr oder weniger hilfreichen Tipp geben.
Und auch den PC entwanzen mit dem TeamViewer. Alles kann man damit auch nicht machen, aber doch eine Menge, eine große Menge an Unrat entfernen und die Kiste wieder zum Nurmi machen.
Mach ich im Grunde gern, weil dabei auch gelernt wird, wie man mit einem PC (nicht) umgehen kann.
Und damit ist schon mal eine Schadensquelle aus dem Internet entfernt - was wieder anderen zugute kommt. Auch habe ich mich als Helfer im ST bereit erklärt; und dann mache ich das auch.
Hin&wieder schreibe ich mal zum Thema PC und Sicherheit resp 'Verwanztem Kasten' einen deutlichen Kommentar. Es könnte ja sein, dass er gelesen wird - und daraus die richtigen Schlüsse gezogen werden.

Nein, ich erwarte dafür nichts zurück. Allerdings wurde mir aus dem Emsland mal eine Kiste feinsten Fisches geschickt. Danke! Ja, mir wurde auch mal eine Reise nach Andalusien zu dem Zwecke PCs gespendet; diese PCs 'pflege' ich heute gelegentlich noch - womit? Mit TeamViewer.

Ich beobachte aber auch, dass in letzter Zeit immer weniger Anfragen nach solchem Tun kommen.
Manchmal -lieber Manfred- wundere ich mich allerdings über Deine Beiträge hier; gehe aber jetzt nicht darauf ein.

Zum CCleaner:
Nicht dass ich den nicht unter meinen Fittichen hatte, ebenso den Revo.
Sie gaukeln eine effektive Hilfe vor, aber die Gründe für manche Unbill beseitigen sie eben nicht. Gelegentlich fehlt halt auch mal ein doch wichtiges Progrämmchen, was unbemerkt 'entsorgt' wurde. Und das ist schwieriger zu finden und zu beheben, als Unbill mit Bordmitteln zu entfernen.
Zu den MS-Essentials habe ich eine ganz andere Meinung; aber sie schaden wenigstens nicht.
Und diese SysInternals kann man OmaOttilieNormalo nun wirklich nicht ans Herz legen; sie sind allerdings ein sehr guter Zugang zu System - so man damit umzugehen weiss

So - genug palavert. Jetzt mal eben einen Server in 'Timbuktu'  auf Vordermann bringen, und dann noch fix ne Stunde aufs Fahrrad. Noch unterwegs mal eben in eine Konditorei einfallen. Und dann wirds in diesen lausigen Winterzeiten auch schon wieder finster: Zeit um weiter an einer neuen Website rumzuschnitzen, derjenige lebt davon.
gborn
gborn
Mitglied

RE: CCleaner kam mit Backdoor daher
geschrieben von gborn
als Antwort auf digi vom 23.09.2017, 13:41:16

Nun ja 'einfach mal die neue Version von CCleaner aktualisieren' ist bei einem kompromittierten System nich das, was man machen sollte. Denn kompromittiert heißt 'ich weiß nicht was passiert ist' und dann ist neu aufsetzen angesagt! 

AVAST musste daher auch zurück rudern. Nicht die Privatnutzer waren Angriffsziel, sondern gezielt einige Firmen. Ich habe einige Blog-Posts zum Thema - Einstieg hier

CCleaner Malware – weitere Analysen von AVAST


Anzeige