Das Fehlerbild ist mir jetzt ein paar Mal in Foren unter die Augen gekommen: Alle Programme sind per Desktop, Startmenü oder Taskleiste nur noch über den Kontextmenübefehl Als Administrator ausführen startbar. Mit normalen Benutzerrechten tut sich nix.
Anzeige
Dass einzelne Programme zwingend das Ausführen im Administratorkontext erfordern, war mir ja bekannt. Manche Anwendungen funktionieren im Benutzermodus nicht, weil sie Zugriff auf Systemfunktionen (z. B. eine .ini-Datei im Installationsordner Programme, die bei jedem Aufruf aktualisiert wird) benötigen. In den meisten Fällen gilt: Weg damit, da veraltet bzw. unsauber programmiert! Manche Anwendungen, wie systemnahe Tools oder Setup-Programme benötigen aber (nachvollzieh- und begründbar) Administratorprivilegien. Auf Windows Vista/Windows 7 abgestimmte .exe-Dateien enthalten dann ein entsprechendes Manifest, welches beim Start die entsprechenden Privilegien anfordert und die Benutzerkontensteuerung auslöst. Aber normale Anwenderprogramme sollten grundsätzlich mit Standardrechten laufen! Andernfalls würde ich diese entfernen. Dumm nur, wenn plötzlich alle Anwendungen betroffen sind? Was ist da los?
Die Ursache ist?
Der Casus Knacktus (casus belli) ist mit hoher Wahrscheinlichkeit eine Infektion mit Malware, einem Virus oder einem Trojaner. Alle Aufrufe von .exe-Dateien werden dann über ein Modul des Schadprogramms umgeleitet, welches beim Start Administratorprivilegien erzwingt. Im Vordergrund wird die vom Anwender gewünschte Anwendung gestartet, im Hintergrund führt die Schadsoftware weitere Modifikationen am System durch.
Unter [1] findet sich eine Diskussion rund um das Fehlerbild – und der Hinweis des Benutzers "Seni_Kirsche", dass die Schadsoftware "Win 7 Antispyware 2011" genau dieses Verhalten bewirkt, scheint zuzutreffen. Unter [3] gibt es einen Hintergrundartikel samt Hinweisen, wie man die Schadsoftware ggf. entfernt. Es muss aber nicht unbedingt die Schadsoftware "Win 7 Antispyware 2011" sein, sondern andere Schädlinge zeigen ein ähnliches Verhalten.
Anzeige
Unter [2] wird ein ähnliches Problem beschrieben und die Schadsoftware nennt sich da "Win 7 Home Security 2011". Erneut "ein Gruß unserer kreativen Freunde östlich des Don", der ähnliche Ziele verfolgt. Unter [4] findet sich ebenfalls eine Anleitung, wie man das "Goodie" wieder los wird. Im wesentlichen läuft es darauf hinaus, die Registrierungseinträge zu bereinigen.
Krieg ich das Goodie weg – oder was hilft wirklich?
Die unter [3] und [4] verlinkten Anleitungen beschreiben die Schadsoftware und skizzieren auch, wie man diese entfernen könnte. Wer aber einen genauen Blick in die Anleitung unter [3] wirft, liest so was:
Wenn diese Scareware sich auf dem PC einnistet, wird als erstes die Prozessdatei pw.exe installierte, welche Sie stoppen müssen, um diese Malware zu deinstallieren. Nach dieser und einigen anderen Änderungen ist Win 7 Antispyware 2011 stark genug, um jedem Mal zu starten, wenn Sie den Computer hochfahren. Außerdem beginnen ständige Unterbrechungen durch gefälschte Warnungen, erfundene Virenscanner und viele Mitteilungen – das ist der Effekt dieser Malware.
Und, schon vergessen? Alle Programme wurden zwischenzeitlich unter dem Kontext eines Administrator-Sicherheitstoken ausgeführt – sprich: Zugriff auf alle Systemdateien. Auch wer die Registrierung bereinigt, hat den Schadcode nicht entfernt. Wer zusätzlich die Schaddateien entfernt, kann nie sicher sein, dass er wirklich alles erwischt hat – es könnte ja eine modifizierte Variante der oben genannten Schadprogramme unter neuem Namen auf dem System vorhanden sein. Oder Programmdateien wurden modifiziert, so dass bei deren Start die Schadsoftware wieder aktiviert wird. Solche Modifikationen sind in den von mir verlinkten Beiträgen mit "Reparaturhinweisen" nicht beschrieben. Das System ist kompromittiert!
Es hilft in meinen Augen nur eine Radikalkur: Das System herunterfahren und mit einer Windows PE-Umgebung starten (dann ist der Schädling nicht mehr aktiv). Anschließend sind die wichtigsten Dokumente auf einem Wechselmedium zu sichern. Wie dies alles geht, habe ich unter [5] beschrieben. Unter [6] sind noch Techniken skizziert, wie man ggf. den Windows-Editor als Notnagel zum Kopieren verwenden kann.
Nach der Sicherung der Datendateien (bitte keine Programme sichern, diese könnten infiziert sein), ist das System über die Recovery-Partition oder –Medien auf Werkseinstellungen zurückzusetzen. Die Schritte dazu sind meist in den Handbüchern des Systems beschrieben (oft ist eine Funktionstaste wie F3, F11 etc. beim Rechnerstart zu drücken). Existiert eine Systemabbildsicherung, die nicht befallen ist, kann auch diese zurückgelesen werden.
Falls Sie Windows 7 aber von der Setup-DVD neu installieren müssen, achten Sie darauf, die Systempartition vor der Installation zu formatieren. Wie dies funktioniert, habe ich unter [7] beschrieben. Achten Sie auch darauf, dass Programme, die ggf. auf anderen Partitionen installiert oder gespeichert wurden, infiziert sein können – also löschen.
Wer noch mehr tun will, sollte vor und nach der Windows-Installation einen Standalone-Virenscanner booten und das System auf Schadsoftware überprüfen lassen. Unter [8] und [9] gehe ich auf entsprechende Lösungen von Microsoft und Avira ein. Vor der Windows-Neuinstallation sollte der Schädling erkannt werden – sonst taugt der Virenscanner nix. Nach der Neuinstallation sollte kein Befall mehr feststellbar sein.
Das ist alles unbequem, aber die einzige Möglichkeit, zu einem sauberen System zurückzukehren. Im Anschluss sollten Sie zudem nachdenken, wie es der Schädling auf das System schaffen konnte. Kein oder nicht aktueller Virenscanner? Software kam im Beipack mit was anderem, was mal schnell ausprobiert wurde? Gibt viele Wege.
Links:
1: Forendiskussion bei Windows 7 Board
2: MS-Forendiskussion (Deutsch)
3: Win 7 Antispyware 2011 (Removal-Anleitung)
4: Win 7 Home Security 2011 (Removal-Anleitung)
5: First Aid: Datenrettung, wenn Windows 7 versagt
6: SP1-Installation hängt, Error C0000034/C000009A
7: Festplatte bei der Installation formatieren
8: Live-Virenscanner: MS Standalone Sweeper
9: Kostenloser und portabler Microsoft Virenscanner
Anzeige
Danke!
Habe seit einiger Zeit folgendes Problem. Nach dem update diverser Programme muss ich diese unter Windows 7 als Administrator starten da sie sonst nicht starten. Dann funktioniert leider Drag & Drop von Ordnern in das Programm aber leider nicht mehr.
Dann habe ich über die ,,Benutzerkontensteuerung´´ auf die unterste stufe gestellt dann funktioniert zwar Drag & Drop bei allen Programmen nur leider starten einige Programme garnicht mehr. Was kann ich in so einem Fall tun. Vielleicht habt ihr ja spontan eine Idee. Habe schon das halbe Netz nach Hilfe durchsucht ;) Schonmal vielen Dank.