{"id":3613,"date":"2011-06-08T11:13:42","date_gmt":"2011-06-08T06:13:42","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/2011\/06\/08\/programme-nur-noch-als-administrator-ausfhrbar\/"},"modified":"2024-08-09T22:38:26","modified_gmt":"2024-08-09T20:38:26","slug":"programme-nur-noch-als-administrator-ausfhrbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2011\/06\/08\/programme-nur-noch-als-administrator-ausfhrbar\/","title":{"rendered":"Programme nur noch als Administrator ausführbar"},"content":{"rendered":"

Das Fehlerbild ist mir jetzt ein paar Mal in Foren unter die Augen gekommen: Alle Programme sind per Desktop, Startmen\u00fc oder Taskleiste nur noch \u00fcber den Kontextmen\u00fcbefehl Als Administrator ausf\u00fchren <\/em>startbar. Mit normalen Benutzerrechten tut sich nix.<\/p>\n

<\/p>\n

Dass einzelne Programme zwingend das Ausf\u00fchren im Administratorkontext erfordern, war mir ja bekannt. Manche Anwendungen funktionieren im Benutzermodus nicht, weil sie Zugriff auf Systemfunktionen (z. B. eine .ini-Datei im Installationsordner Programme<\/em>, die bei jedem Aufruf aktualisiert wird) ben\u00f6tigen. In den meisten F\u00e4llen gilt: Weg damit, da veraltet bzw. unsauber programmiert! Manche Anwendungen, wie systemnahe Tools oder Setup-Programme ben\u00f6tigen aber (nachvollzieh- und begr\u00fcndbar) Administratorprivilegien. Auf Windows Vista\/Windows 7 abgestimmte .exe-Dateien enthalten dann ein entsprechendes Manifest, welches beim Start die entsprechenden Privilegien anfordert und die Benutzerkontensteuerung ausl\u00f6st. Aber normale Anwenderprogramme sollten grunds\u00e4tzlich mit Standardrechten laufen! Andernfalls w\u00fcrde ich diese entfernen. Dumm nur, wenn pl\u00f6tzlich alle Anwendungen betroffen sind? Was ist da los?<\/p>\n

Die Ursache ist?<\/strong><\/p>\n

Der Casus Knacktus (casus belli) ist mit hoher Wahrscheinlichkeit eine Infektion mit Malware, einem Virus oder einem Trojaner. Alle Aufrufe von .exe-Dateien werden dann \u00fcber ein Modul des Schadprogramms umgeleitet, welches beim Start Administratorprivilegien erzwingt. Im Vordergrund wird die vom Anwender gew\u00fcnschte Anwendung gestartet, im Hintergrund f\u00fchrt die Schadsoftware weitere Modifikationen am System durch.<\/p>\n

Unter [1] findet sich eine Diskussion rund um das Fehlerbild \u2013 und der Hinweis des Benutzers \"Seni_Kirsche\", dass die Schadsoftware \"Win 7 Antispyware 2011\" genau dieses Verhalten bewirkt, scheint zuzutreffen. Unter [3<\/a>] gibt es einen Hintergrundartikel samt Hinweisen, wie man die Schadsoftware ggf. entfernt. Es muss aber nicht unbedingt die Schadsoftware \"Win 7 Antispyware 2011\" sein, sondern andere Sch\u00e4dlinge zeigen ein \u00e4hnliches Verhalten.<\/p>\n

Unter [2<\/a>] wird ein \u00e4hnliches Problem beschrieben und die Schadsoftware nennt sich da \"Win 7 Home Security 2011\". Erneut \"ein Gru\u00df unserer kreativen Freunde \u00f6stlich des Don\", der \u00e4hnliche Ziele verfolgt. Unter [4<\/a>] findet sich ebenfalls eine Anleitung, wie man das \"Goodie\" wieder los wird. Im wesentlichen l\u00e4uft es darauf hinaus, die Registrierungseintr\u00e4ge zu bereinigen.<\/p>\n

Krieg ich das Goodie weg \u2013 oder was hilft wirklich?<\/strong><\/p>\n

Die unter [3<\/a>] und [4<\/a>] verlinkten Anleitungen beschreiben die Schadsoftware und skizzieren auch, wie man diese entfernen k\u00f6nnte. Wer aber einen genauen Blick in die Anleitung unter [3<\/a>] wirft, liest so was:<\/p>\n

Wenn diese Scareware sich auf dem PC einnistet, wird als erstes die Prozessdatei pw.exe installierte, welche Sie stoppen m\u00fcssen, um diese Malware zu deinstallieren. Nach dieser und einigen anderen \u00c4nderungen ist Win 7 Antispyware 2011 stark genug, um jedem Mal zu starten, wenn Sie den Computer hochfahren. Au\u00dferdem beginnen st\u00e4ndige Unterbrechungen durch gef\u00e4lschte Warnungen, erfundene Virenscanner und viele Mitteilungen \u2013 das ist der Effekt dieser Malware.<\/p><\/blockquote>\n

Und, schon vergessen? Alle Programme wurden zwischenzeitlich unter dem Kontext eines Administrator-Sicherheitstoken ausgef\u00fchrt \u2013 sprich: Zugriff auf alle Systemdateien. Auch wer die Registrierung bereinigt, hat den Schadcode nicht entfernt. Wer zus\u00e4tzlich die Schaddateien entfernt, kann nie sicher sein, dass er wirklich alles erwischt hat \u2013 es k\u00f6nnte ja eine modifizierte Variante der oben genannten Schadprogramme unter neuem Namen auf dem System vorhanden sein. Oder Programmdateien wurden modifiziert, so dass bei deren Start die Schadsoftware wieder aktiviert wird. Solche Modifikationen sind in den von mir verlinkten Beitr\u00e4gen mit \"Reparaturhinweisen\" nicht beschrieben. Das System ist kompromittiert<\/a>!<\/p>\n

Es hilft in meinen Augen nur eine Radikalkur: Das System herunterfahren und mit einer Windows PE-Umgebung starten (dann ist der Sch\u00e4dling nicht mehr aktiv). Anschlie\u00dfend sind die wichtigsten Dokumente auf einem Wechselmedium zu sichern. Wie dies alles geht, habe ich unter [5<\/a>] beschrieben. Unter [6<\/a>] sind noch Techniken skizziert, wie man ggf. den Windows-Editor als Notnagel zum Kopieren verwenden kann.<\/p>\n

Nach der Sicherung der Datendateien (bitte keine Programme sichern, diese k\u00f6nnten infiziert sein), ist das System \u00fcber die Recovery-Partition oder \u2013Medien auf Werkseinstellungen zur\u00fcckzusetzen. Die Schritte dazu sind meist in den Handb\u00fcchern des Systems beschrieben (oft ist eine Funktionstaste wie F3, F11 etc. beim Rechnerstart zu dr\u00fccken). Existiert eine Systemabbildsicherung, die nicht befallen ist, kann auch diese zur\u00fcckgelesen werden.<\/p>\n

Falls Sie Windows 7 aber von der Setup-DVD neu installieren m\u00fcssen, achten Sie darauf, die Systempartition vor der Installation zu formatieren. Wie dies funktioniert, habe ich unter [7<\/a>] beschrieben. Achten Sie auch darauf, dass Programme, die ggf. auf anderen Partitionen installiert oder gespeichert wurden, infiziert sein k\u00f6nnen \u2013 also l\u00f6schen.<\/p>\n

Wer noch mehr tun will, sollte vor und nach der Windows-Installation einen Standalone-Virenscanner booten und das System auf Schadsoftware \u00fcberpr\u00fcfen lassen. Unter [8<\/a>] und [9<\/a>] gehe ich auf entsprechende L\u00f6sungen von Microsoft und Avira ein. Vor der Windows-Neuinstallation sollte der Sch\u00e4dling erkannt werden \u2013 sonst taugt der Virenscanner nix. Nach der Neuinstallation sollte kein Befall mehr feststellbar sein.<\/p>\n

Das ist alles unbequem, aber die einzige M\u00f6glichkeit, zu einem sauberen System zur\u00fcckzukehren. Im Anschluss sollten Sie zudem nachdenken, wie es der Sch\u00e4dling auf das System schaffen konnte. Kein oder nicht aktueller Virenscanner? Software kam im Beipack mit was anderem, was mal schnell ausprobiert wurde? Gibt viele Wege.<\/p>\n

Links:
\n<\/strong>1: Forendiskussion bei Windows 7 Board
\n2: MS-Forendiskussion<\/a> (Deutsch)
\n3: Win 7 Antispyware 2011<\/a> (Removal-Anleitung)
\n4: Win 7 Home Security 2011<\/a> (Removal-Anleitung)
\n5: First Aid: Datenrettung, wenn Windows 7 versagt<\/a>
\n6: SP1-Installation h\u00e4ngt, Error C0000034\/C000009A<\/a>
\n7: Festplatte bei der Installation formatieren<\/a>
\n8: Live-Virenscanner: MS Standalone Sweeper<\/a>
\n9: Kostenloser und portabler Microsoft Virenscanner<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Das Fehlerbild ist mir jetzt ein paar Mal in Foren unter die Augen gekommen: Alle Programme sind per Desktop, Startmen\u00fc oder Taskleiste nur noch \u00fcber den Kontextmen\u00fcbefehl Als Administrator ausf\u00fchren startbar. Mit normalen Benutzerrechten tut sich nix.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[242,11,161],"tags":[1120,1119,1123,1121,1122],"class_list":["post-3613","post","type-post","status-publish","format-standard","hentry","category-installation","category-problemlosung","category-virenschutz","tag-als-administrator-ausfuhren","tag-programm","tag-schadsoftware","tag-win-7-antispyware","tag-win-7-home-security"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/3613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=3613"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/3613\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=3613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=3613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=3613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}