ComputerBase Menü
Aktuelles

News CCleaner: Hacker haben Software auf Firmen-Server manipuliert

nja mag sein wies ist hatte früher auf alten pcs also einige jahre her immer tuneup genutzt mit registry optimierung und alem quark und das über jahre und der pc hatte nie probleme gemacht also übertreiben muss man nicht herr reprivat93 was es effektiv gebracht hat ist ne andere sache aber zerschossen hab ich mir damals nie was und das ohne registry und sonstige backups
 
997 schrieb:
Na toll, da installier ist einmal ein neues Windows und was wird mitinstalliert, die CCleaner Version 5.33, erkannt auch von Avira heute.
Ist es Ratsam das Windows jetzt nochmal zu installieren ?
Zum Vergrößern anklicken....

https://blog.avast.com/progress-on-ccleaner-investigation
Avast rückst hier nähere Infos raus, mit dem man überprüfen könnte, ob ein update auf die nächste Version von ccleaner reicht, wer ccleaner dann überhaupt noch einsetzen möchte.
Normalerweise bei Malwarebefall Windows immer neu installieren. In speziellen Fällen kann man sich eine Neuinstallation sparen, nämlich dann, wenn genügend Wissen vorhanden ist, denn genau das macht ja einen Experten aus, eine richtige Entscheidung treffen.

Fragen bleiben trotzdem, was ist wenn man die unten genannten Dateien gar nicht hat und hatte (aus Corel-WinZip-Pakets, Symantec-Produkts).

... Der zweite Teil der Nutzlast ist für die Beharrlichkeit verantwortlich. Hier wird ein anderer Mechanismus auf Windows 7+ als auf Windows XP verwendet.
Unter Windows 7+ wird die Binärdatei in eine Datei mit dem Namen
"C: \ Windows \ system32 \ lTSMSISrv.dll" geladen und das automatische Laden der Bibliothek wird durch die Ausführung des NT-Dienstes "SessionEnv" (der RDP-Dienst) gewährleistet. Bei XP wird die Binärdatei als "C: \ Windows \ system32 \ spool \ prtprocs \ w32x86 \ localspl.dll" gespeichert und der Code verwendet den "Spooler" -Dienst zum Laden.

Strukturell sind die DLLs sehr interessant, weil sie den Code der anderen Anbieter durch die Injektion der bösartigen Funktionalität in legitime DLLs husten. Der 32-Bit-Code wird durch eine gepatchte Version von VirtCDRDrv32.dll (Teil des Corel-WinZip-Pakets) aktiviert, während das 64-Bit EFACli64.dll - Teil eines Symantec-Produkts verwendet. Der Großteil des bösartigen Codes wird aus der Registry ausgeliefert (der Binärcode wird direkt in der Registry unter den Tasten "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ WbemPerf \ 00 [1-4]" gespeichert. Wiederum zeigen alle diese Techniken die hohe Raffinesse des Angreifers. ...
Zum Vergrößern anklicken....

Und Nachtrag, ohne admin. Rechte wäre gar nichts passiert!
 
Zuletzt bearbeitet:
Da ich CCleaner schon seit lange Zeit für die Computerwartung benutze, mich würde interessieren ob es eine Alternative für dieses Programm gib? Es kann auch Premium sein.
 
Hi,

@marko85

ich sehe keinen Grund überhaupt irgendeine Software zu benutzen. Was verstehst du bitte unter "Computerwartung"?

VG,
Mad
 
@marko85
Es gibt keine empfehlenswerte Alternative für eine Wartungssoftware. Die Zeiten von Windows XP sind vorbei. Windows tut, was zu tun ist, automatisch. Für alles Weitere sind die passenden Werkzeuge bereits an Bord. Das Einzige, was man tun kann oder muss, um Windows "sauber und frisch" zu halten: nicht jeden Mist aus dem Web installieren, der einem irgendeine Optimierung verspricht, Datenträgerbereinigung von Zeit zu Zeit ausführen, im Tastmanager die Autostartelemente anpassen, generell aufpassen, was an Zusatzsoftware zu Freeware installiert wird...

@Madman1209
+1
 
Ich finden aus dme Avast blog das hier am interessantesten:
"The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product."
Wenn die Malware doch nur über die 32 Version von CCleaner aktiviert wurde, warum ist da 64-bit Code drin?
Greift doch gar nicht auf einem 32er System oder?
Ausprobiert habe ich es nicht aber läuft die 32er Version vom CCleaner überhaupt auf einem 64er System?

@engine
Statt neu installieren sollte doch ein weit genug zurück liegendes Backup reichen oder meinst du nicht?
 
die 64Bit Version ist jedenfalls nicht betroffen, habs auch selber auf Virustotal geprüft.
Ja, ein Restore von vor dem 15. August soll auch reichen.
 
Ich glaube die 64Bit Version war durchaus betroffen. Als ich besagtes Tool öffnete, meldete sich gleich der Windows Defender und schlug Alarm. Habe dann die neue Version installiert (geschieht seit dem Vorfall neuerdings in der Software, nicht mehr auf der Seite) und dann war Stille, scheint normal zu laufen.
 
Wenn im Paket ccleaner64.exe (64 Bit) und ccleaner.exe (32 Bit) ausgeliefert werden, aber nur die ccleaner64.exe gestartet wird, dann ist man nicht betroffen. Man kann aber persönlich betroffen sein, wenn man davon erfährt, dass man inaktive Malware auf der Festplatte lagert. Das mögen die wenigsten.
 
Ich hatte nur die 64Bit-ccleaner Version gestartet und die Reg-Keys habe ich nicht, nirgends in der Reg.
Das mit den Dateien ist immer noch unklar, hatte nie solche auf dem System, wie sollen die dann gepacht werden durch die 32Bit-ccleaner Version?
Naja, ich lasse alles wie es war.
 
ChromeBeauty schrieb:
... aber läuft die 32er Version vom CCleaner überhaupt auf einem 64er System?
Zum Vergrößern anklicken....
Was Windows angeht, ja sicher. Dank dem WOW64 ist das kein Problem.
 
Ich bin kein Freund von solchen Aufräum-Programmen.
Früher hab ich es auch mal benutzt, aber so ein wirklichen Nutzen hab ich nicht gesehen.
Lieber weniger Müll installieren und wieder runterschmeißen :D
 
Jetzt werden sogar schon Cleanup-Tools gehackt; ich werd bekloppt. Anscheinend kann man sich auch gar nichts mehr installieren ohne vorher ne Recherche machen zu müssen.
 
Hi,

@anexX

man sollte so oder so nichts installieren, ohne vorher eine Recherche zu machen. Hat man auch noch nie sollen. Von daher: nichts Neues.

VG,
Mad
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mr E
E-Mail-Server auf NAS (nur zum Abruf)? - Empfehlung
Antworten
5
Aufrufe
3.015
Mr E
Mr E
David7
Wie effektiv vor Malware schützen?
2
Antworten
20
Aufrufe
10.104
sandreas
S
Arjab
[Erfahrungsbericht] Virtualisierung mit PCI-Passthrough auf Manjaro Linux
2 3
Antworten
59
Aufrufe
24.630
Xenophon61
X
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
158.452
Boogeyman
Boogeyman
derMutant
  • Gesperrt
Ist das Internet kaputt?
2
Antworten
23
Aufrufe
6.638
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz