Jim Rockford

CCleaner 5.33 mit Malware ausgeliefert

Recommended Posts

Hallo,

wie inzwischen bekannt ist (siehe: http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html) wurde Version 5.53 des CCleaner von avast/Piriform mit Malware ausgeliefert. Aktuell ist inzwischen Version 5.54.

Ich nutze die stets aktuelle Version des CCleaner zur Bereinigung temporärer Dateien (Firefox usw. Bevor gemeckert wird: Die Registry lasse ich unangetastet.). Ich hatte also auch Version 5.53 in Gebrauch, auf einem Windows 8.1 64-bit-System. Installer zu sämtlicher Software lade ich immer von der offiziellen Herstellerseite herunter, dort, wenn vorhanden, immer direkt, nicht über Mirrors. Hier also von der offiziellen Piriform-Seite.

Ich habe mittels Registry-Editor geprüft, ob ich unter HKLM\SOFTWARE\Piriform\ einen Ordner namens "Agomo" finde. Zusätzlich habe ich NirSoft's RegScanner nach "Agomo" suchen lassen. Halbwegs erleichtert stellte ich fest, dass sich ein solcher Ordner unter diesem Pfad nicht finden lässt. RegScanner findet auch nichts.

Dennoch habe ich ein ungutes Gefühl und möchte mich vergewissern, dass die angesprochene Malware meinen PC nicht doch "heimgesucht" hat.

Was kann ich tun, um zu prüfen, ob mein PC mit besagter Malware infiziert ist oder war? War evtl. nur Windows 32-bit gefährdet bzw. betroffen (so lese ich das zumindest aus dem Blog-Eintrag von Talos - nichtsdestotrotz habe ich aber die Installation für 64-bit über denselben Installer gestartet)?

Scans mit EAM und Malwarebytes Free sowie AdwCleaner verliefen ergebnislos, nichts gefunden. Darf ich beruhigt sein oder kann/sollte ich noch intensiver suchen?

Share this post


Link to post
Share on other sites

Deswegen wurde ich vor einigen Tagen belächelt hier im Forum, man hat es als völligen Quatsch gesehen. Das bestätigt mein Post. ;-) Das passiert beim Download von dem  Programm wenn es den DL abschließen möchte, versucht er etwas nach zu installieren. 

In das Verzeichnis c:/windows/system32/????? ab hier, lass ich mal die Profis weiter machen ;-) 

aber...ich kann dir sagen, alles gut ;-) wenn du alle Tool´s durchlaufen lassen hast, und alles sauber ist, solltest Du auch keine Probleme haben. ;-)

Share this post


Link to post
Share on other sites

Nachdem ich das hier gelesen hatte, habe ich mein PC gescannt, und siehe da, bei mir hatte sich das blöde Ding eingenistet - hatte zwar zwischenzeitlich auf den neuesten Stand upgedatet. Nun ist alles gelöscht und der PC läuft, was er allerdings auch vorher tat denn mein Scanner von KAS hat das Teil ausgefiltert und in Quarantäne gestellt - aber nun  ist das ja gelöscht und auch nicht mehr im Quarantäneordner vorhanden

BEDANKT Mister Rockford

moin moin : o )) :rolleyes:

Share this post


Link to post
Share on other sites

Na, gern geschehen, wenn ich damit schon helfen konnte. Kurze Frage, fresinet: Die Abkürzung KAS sagt mir nichts. Was ist das für ein Scanner?

Wäre schön, wenn jemand von Emsisoft noch was zu der CCleaner-Problematik sagen könnte. Besten Dank!

Share this post


Link to post
Share on other sites

KAS, das ist der Scanner von Kaspersky Internetsecurity..............den ich neben EMSI live laufen lasse.......................das funktioniert sehr sehr gut auch wenn einige mir einreden möchten das es falsch ist 2 Programme nebeneinander laufen zu lassen..........

moin moin

Asche auf mein Haupt, in einem anderen Beitrag moniere ich Abkürzungen und nun mache ich es selbst.........Sorry

Share this post


Link to post
Share on other sites

Guten Tag,


@fresinet

Kaspersky und Emsisoft bekriegen sich in regelmäßigen Abständen, da wir leider zu ähnliche Methoden benutzen. Dann erhält man beim ausführen jeder Datei nur noch die Fehlermeldung "Zugriff verweigert" und kann nichts mehr machen. Wenn das bei Ihnen noch nicht aufgetreten ist, so freut mich das. Das Risiko bleibt jedoch, dass sich das schon morgen ändert. Deswegen raten wir allgemein davon ab mehr als ein Antivirenprogramm zu nutzen.

 

@Jim Rockford

Es war in der Tat nur die 32bit Version von CCleaner betroffen. Emsisoft Anti-Malware erkennt die betroffene Datei von CCleaner auch als bedenklich. Wenn Sie also die 64bit Version installiert haben, die entsprechenden Registryeinträge nicht vorhanden sind und Emsisoft Anti-Malware nichts erkennt, sollten Sie auf der sicheren Seite sein.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

@kathrin

als ich vor 5 Jahren zu Emsisoft kam habe ich den Häuptling Christian Mairoll gefragt und bekam die Antwort das DIE BEIDEN sich nicht bekriegen und so läuft seitdem beides, ohne Geräusche, nebeneinander...aber jeder so wie er will..........heute mag das ja so sein wie Kathrin schreibt.............

Wo würde denn die Meldung  "Zugriff verweigert" auftreten ??

moin moin

Gerhard

Share this post


Link to post
Share on other sites

Hallo,

 

@fresinet


Emsisoft Anti-Malware war ursprünglich entwickelt wurde um zusammen mit einem Antivirusprogramm genutzt zu werden.Das ursprüngliche Konzept Emsisoft parallel zu Antivirenprogrammen laufen zu lassen hat die Fähigkeiten des Programms leider beschränkt. Da wir heutzutage zu den besten Antivirenprogrammen auf dem Markt gehören, liegt der Fokus mittlerweile weniger auf der Kompatibilität als auf der Schutzleistung. Wir versuchen natürlich weiterhin, so gut wie möglich mit anderen Antivirenprogrammen kompatibel zu sein, wir können diese nur nicht garantieren.
Emsisoft Anti-Malware bietet heute zahlreiche Schutzfunktionen, wie etwa eine Antivirus und Antimalwarekomponente, aber auch einen Surfschutz, eine Blockierung auf Basis von Verhaltensanalysis, eine Anti-Exploit, Antirootkit sowie Antikeylogger, sodass ein weitere Antivirenrpogramm nicht notwendig ist. Die "Zugriff verweigert" Meldung tritt auf, wenn beide Antivirenprogramme zuerst etwas kontrollieren wollen und so keiner Zugriff erhält, weil sich die Programme gegenseitig blockieren. Wenn das Auftritt, so kann nichts mehr aufgerufen werden.  In diesem Thread by Kaspersky gibt es einen Screenshot wie die Fehlermeldung aussieht: https://forum.kaspersky.com/index.php?/topic/349983-no-non-microsoft-programs-run-after-kis-2016-install/ Es kommt letztenendes bei jedem Doppelklick die Fehlermeldung 0x000005 und das gewünschte Programm kann nicht ausgeführt werden. (Die Fehlermeldungen verschwinden sobald der User Emsisoft Anti-Malware deinstalliert)

Wir können dies nicht verhindern und auch nicht genau vorhersagen, wann es auftritt, daher empfehlen wir allgemein nicht mehr als ein Antivirenprogramm installiert zu haben.

Share this post


Link to post
Share on other sites

Im Prinzip kann man sein System mit den Boardmitteln schon gut absichern, zum Beispiel nicht mit einem Administrator Konto zu arbeiten, allen Konto ein Kennwort zuweisen und die Benutzerkontensteuerung ganz scharf stellen! Sich mit einem AV Programm in 100%er Sicherheit zu wiegen ist leider immer ein schwerer Fehler, Brain.exe sollte hierbei auch immer eingeschaltet sein! EAM sollte mit seiner Technik in der Lage sein, derartige Manipulationen zu erkennen, dass ist zumindest mein Anspruch.

Share this post


Link to post
Share on other sites

Ich habe den Titel mal editiert, damit die Versionsnummer stimmt.

 

@icewolf In diesem speziellen Fall hat Emsisoft die Datei erst nach Bekanntwerden der Kompromittierung erkannt. Das liegt daran, dass das Programm mit einem bekannten guten Zertifikat signiert ist. Eigentlich eine Garantie dafür, dass die Datei gutartig ist. Hätte die Malware in CCleaner etwas nachgeladen, hätten wir diese Malware jedoch erkannt und blockiert. Sobald die Kompromittierung bekannt wurde haben wir natürich unsere Signaturen aktualisiert, sodass die Datei korrekt als bösartig erkannt wurde.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Falsch Katrin, EMSISOFT hat es nicht erkannt. Da muss ich Dir leider widersprechen. ;-) die Toolbar erkennt Emsisoft nicht, und zwar bis jetzt nicht. ;-)

Share this post


Link to post
Share on other sites

Guten Tag Herr Gerhardt,

 

Falls Emsisoft die Datei bei Ihnen immer noch nicht als bösartig erkennt würde ich Sie bitte einmal Ihre Signaturen zu aktualisieren, dann sollte Sie erkannt werden. Es ist auch nur die 64bit version betroffen.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Guten Tag,

 

Mit der Datei bezog ich mich auf den kompromittierten Installer. Könnten Sie mir die Datei zukommen lassen, die installiert wird? Dann kann ich Ihnen mit Sicherheit sagen ob die Datei noch installiert wird oder nicht.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Nein kann ich leider nicht. Wenn Du nicht weißt welche Datei ich meine macht es leider keinen Sinn. Damit ist für mich die Frage schon beantwortet. Es wird nicht erkannt :-(  schade

  • Downvote 1

Share this post


Link to post
Share on other sites

Solange ich nicht weiß um welche Datei es sich handelt kann ich Ihnen leider nicht sagen ob es sich um eine Toolbar, die infizierte Version von CCleaner oder um einen Fehlalarm handelt. Es tut mir Leid, dass ich Ihnen da nicht weiterhelfen kann.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

also in c/:Windows/Sytem32/GoogleToolbar wird diese runtergeladen, dies schon vor 4 Wochen, bevor es die Meldung des Virus kam. Das ist das, was ich Ihnen jetzt sagen kann. Das war mein Tip. Jetzt ist es euer Part, es zu finden ;-)

Ich möchte ja nur sehen ob ihr es wisst, was da reingeladen wird, ach ich sehe, wieder ein Downvote bekommen weil ich nicht gleich alles zu Verfügung stelle. Also wirklich schön ist es hier nicht, und die User sind nicht in der Lage sich vernünftig zu verhalten

Share this post


Link to post
Share on other sites

Guten Tag,

Die Googletoolbar wird von uns in der Tat nicht erkannt, da sie einfach zu entfernen ist und im Programm während der Installation abgewählt werden kann.

Als ähnliches Beispiel: Avast installiert in seiner kostenlosen Version auch automatisch Chrome mit, dennoch erkennen wir das Programm nicht als PUP, weil es viele Leute als nützlich empfinden und es ohne große Schwierigkeiten deinstalliert werden kann.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Außerdem stellen die Beiden genannten Programme keine ernsthafte Bedrohung da und können niemanden schädigen, es gibt halt User die diese Programme Super nützlich finden, ääähhmm..... hust hust..... na ja

Und ja, bevor man hier voreilig Downvotet, sollte man sich überlegen, ob das auch wirklich gerechtfertigt ist. Nur mal so als Gedankenanstoß.

  • Upvote 1

Share this post


Link to post
Share on other sites

Vielen Dank für den Input. Ich kann mich nur anschließen: Bitte nicht blind einfach alles downvoten.

In diesem speziellen Fall liegt jedoch für den Beitrag soweit ich das einsehen kann, kein Downvote (mehr?) vor.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Zeit;Prüfung;Objekttyp;Objekt;Bedrohung;Aktion;Benutzer;Informationen;Hash;Zuerst gesehen
26.09.2017 22:44:49;

HTTP-Prüfung;Datei;http://download.piriform.com/ccsetup535.exe;Win32/Bundled.Toolbar.Google.D

potenziell unsichere Anwendung;Verbindung getrennt;Ga..\Ga..;Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: 

hmmmm...komisch..warum möchte das Tool da was nach laden???

 

Doch habe ja schon 5...als würde ich hier jemanden beleidigen wollen. Eine normale Unterhaltung ist schon ganz nett ohne Downvotes.
 

Share this post


Link to post
Share on other sites

Guten Tag,

Das sieht nach Avira's Erkennung aus, stimmt das? Unterschiedliche Antivirenprogramme werden unterschiedliche Programme als potentiell unerwünscht werten. Wir erkennen die Googletoolbar nicht als unerwünscht. Falls das die Erkennung von Avira ist, sind die offenbar anderer Meinung.

 

Die Datei, die heruntergeladen wird ist der neueste Installer von CCleaner. Sollten Sie die Pro-Version haben, werden diese automatisch heruntergeladen und installiert.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Nein es ist nicht Avira. Wie kommste denn darauf????? und nein es ist nicht die Pro Version. Warum wird es geladen? und wieso soll ich das installieren lassen?, dass möchte ich doch nicht. Reden wir aneinander vorbei. Es ist ESET und nicht AVIRA

 

Vermutungen bringen hier nix. Wissen ist gefragt ;-)

  • Downvote 1

Share this post


Link to post
Share on other sites

@Galaxy

Hast Du den ESET Online Scanner angewand oder das ESET AV-Programm?

- was ist den jetzt überhaupt dein Problem?

- das Emsi die Toolbar nicht als PUP erkennt?

- das eine verstecket Verbindung von diesem Programm nicht erkannt aufgebaut wird?

- willst Du die Google Toolbar aktiv nutzen?

Share this post


Link to post
Share on other sites

 ESET AV-Programm ...ja

das Emsi die Toolbar nicht als PUP erkennt? Richtig

 das eine verstecket Verbindung von diesem Programm nicht erkannt aufgebaut wird? Ja  auch richtig

willst Du die Google Toolbar aktiv nutzen? Nein

Share this post


Link to post
Share on other sites

Guten Tag,

 

Der Installer ist die neueste Version von CCleaner, da die vorherige kompromitiert war, ist es eigentlich wünschenswert dieses zu deinstallieren. Die Erkennungsnamen sind nicht immer individuell und unter dem Namen, den Sie gepostet hatten waren vor allem von Avira.

Wenn Sie die Googletoolbar nicht möchten, dann können Sie diese während der installation von CCleaner abwählen und Sie wird dann nicht installiert.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Das kann man nicht abwählen. Ich merke das ihr es noch nicht wirklich bemerkt habt, ist ja nicht schlimm,,,. Ich habe mich jetzt doch für etwas anderes entschieden. Besser ist das ;-)....vielen Dank für eure  Hilfe, Support war immer klasse, aber auch andere Anbieter bieten ein Hammer Service.

Danke für alles

Share this post


Link to post
Share on other sites

Guten Tag,

 

Während der installation erscheint normalerweise folgender Screen. Wenn man erst den Haken bei der Google Toolbar entfernt und dann auf weiter klickt wird diese nicht installiert:

step-6-how-to-install-ccleaner-free-on-w

 

Mit freundlichen Grüßen

Kathrin

 

Share this post


Link to post
Share on other sites

Wo genau hast Du den CCleaner runtergeladen und welches AV-Programm nutzt Du jetzt? Bitte mal den Downloadlink hier einstellen, denn ich möchte das gerne mal nachstellen.

Share this post


Link to post
Share on other sites

Guten Tag,

 

Ich denke das Thema mit dem Downloads hatten wir schonmal besprochen. Wir greifen nicht in verschlüsselte Verbindungen ein und unterbrechen Downloads nicht, da unsere Verhaltensanalyse und der Dateiwächter beim ausführen aktiv werden. Ein Blockieren des Downloads bringt da keinne wirklichen Gewinn.

Da ESET sämtliche Updates von CCleaner zu blockieren scheint, würde ich Sie bitten zu kontrollieren welche Version von CCleaner Sie installiert haben. Sollte es die Version 5.34 (32bit) sein, ist diese mit einem Backdoor infiziert. Dann sollten Sie CCleaner deinstallieren.

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Die Version 5.33 wird jetzt nach dem Download mit Fund als "Backdoor.Agent.ABXS" erkannt.

Im Prinzip ist das Thema damit ja erledigt.

 

Emsisoft Anti-Malware - Version 2017.8
Quarantäne-Protokoll

Datum	Quelle	Vorgang	Fund	
30.09.2017 13:20:52	C:\Users\XXXXXX\Downloads\120244-CCleaner-5-33.exe Unter Quarantäne Backdoor.Agent.ABXS (B)	

 

Share this post


Link to post
Share on other sites
Am 9/30/2017 um 04:34 schrieb Jochen:

Hallo Kathrin ,

du meinst die 5.33 ( 32 bit ) oder ist auch die 5.34 ( 32 bit ) betroffen ?

Hallo Jochen,

 

Ich meinte in der Tat die 5.33, nicht die 5.34. Bei dem Update von 5.34 zu 5.35 ist meines Wissens nur das Zertifikat für die Signierung geändert worden.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Guten Tag,

@icewolf Es geht um die Google Toolbar die CCleaner mit installiert. DIe wird von Emsisoft nicht als PUP erkannt, von ESET (wenn ich mich recht entsinne) schon und bereits der Download wird blockiert.

@galaxy Solange das Update von CCleaner installiert werden kann (oder das Programm deinstalliert) ist alles gut. Ich finde es gefährlich, dass ESET versucht Updates von kompromittierten Produkten zu blockieren. Sie finden es gefährlich, dass wir die Googl-Toolbar nicht als PUP erkennen. Deswegen nutzen wir nun nicht mehr dasselbe Antivirenprogramm. Das beste Antivirenprogramm ist immer auch das mit dem man selbst am vertrautesten ist.

Ein Antivirenprogamm das man selber nicht versteht oder wie erwünscht konfigurieren kann, macht den Rechner weniger sicher.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites
vor 27 Minuten schrieb kathrin:

Guten Tag,

@icewolf Es geht um die Google Toolbar die CCleaner mit installiert. DIe wird von Emsisoft nicht als PUP erkannt, von ESET (wenn ich mich recht entsinne) schon und bereits der Download wird blockiert.

Ah sorry, jetzt verstehe ich was ich nicht richtig verstanden hatte. Danke fürs aufwecken ;-)

 

Ich habe das ganze Szenario jetzt mal mit Qihoo 360 nachgestellt, hier wird auch nichts beanstandet.

Share this post


Link to post
Share on other sites

Es besteht halt auch das Risiko, dass Leute die backdoor-infizierte Version von CCleaner behalten, weil ESET vor dem sauberen Update warnt und man es dann nicht installieren will.

Das Problem ist weniger bei den Leuten, die eh wissen was Google Toolbar ist und selbst entscheiden können welche Malware sie installieren und welche nicht, sondern mehr bei denen, die sich auf ihr Antivirus verlassen um nicht infiziert zu werden. In diesem Fall würde Google Toolbar, Google Chrome, etc für bösartig gehalten, weil ESET es erkennt.

Ich denke wir müssen hier einfach den Schlussstrich ziehen und akzeptieren, dass wir bei Google's Programmen unterschiedlicher Meinung sind in Bezug auf die Erkennung als PUP.

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Du Ich habe keinen Menschen Beleidigt oder ähnliches und bekomme für jeden post ein Downvote von irgendeinem User. Wie Traurig ist das eigentlich. Bin wirklich so unhöflich? Liegt das an meinen Meinungen oder meinem aussehen ? aber witzig finde ich das. Ist mir egal. 

Share this post


Link to post
Share on other sites

Hi,

 

Es ist mit Sicherheit nicht hilfreich selbst genauso zu reagieren und andere massiv down zu voten. Ich habe unsere Admins gebeten sich das mal anzusehen. Die Idee des Downvoten ist es sein Missfallen zu einzelnen Posts/Meinungen kundzutun. In keinem Fall ist es dazu gedacht, einzelne Benutzer auf Negativrekorde zu bringen, wir werden das in Zukunft genau beobachten.

Abgesehen von den Votes die in den letzten 10 Stunden dazugekommen sind, dürfte es sich eben um Leute handeln, die anderer Ansicht sind als Sie wenn es darum geht ob Google als Malware erkannt werden muss oder ob auswählbare Designs für ein AV wichtig sind. Unterschiedliche Meinungen zu haben ist jedermann's recht. Mal wird zugestimmt, mal abgelehnt. Das ist normal, Sie haben ja durchaus auch upvotes erhalten.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Ja ist mir doch auch egal, da ich weiß wer es ist. Aber...ich schei... drauf, es reicht mir mit dem Kindergarten. Und was ich gut finde und was nicht ist meine Sache. Ein hoch auf den Kindergarten hier.:lol: Meinungsfreiheit ist hier wohl nicht gerne gesehen.

Share this post


Link to post
Share on other sites

@Galaxy

Hallo Galaxy, da ich ja auch an den Auseinandersetzungen mit Dir beteiligt bin, möchte ich mich dazu mal äußern. Du hast Dich hier zu den Emsisoft-Produkten (anfangs noch unter einem anderen Nick) in sehr widersprüchlicher Weise geäußert. Erst werden die Emsisoft-Produkte bzw. Entscheidungen der Entwickler in einer manchmal nicht sehr höflichen bzw. anmaßenden Weise kritisiert. Einige Tage später folgen dann Jubelarien auf die Emsisoft Produkte, verbunden mit der Mitteilung, dass Du sie nicht mehr nutzen willst bzw. nutzt. Vielleicht kannst Du nachvollziehen, dass so ein Hin und Her auf Unverständnis bei einigen Mitgliedern dieses Forums stösst. Dabei gehen dann Deine Anregungen, die durchaus diskussionswürdig sein mögen, einfach unter.

Ich will es mal sehr direkt sagen: Du erweckst bei mir und vermutlich auch bei einigen anderen Forenmitgliedern den Eindruck, dass du zu allem und jedem Deinen Kommentar abgeben musst, auch wenn er nicht besonders sinnvoll ist. Hauptsache, Du bist im Forum dauerpräsent. Wenn Du Dich mal etwas zurücknehmen könntest, würdest Du sicher auch keine Downvotes mehr kassieren und Deine Beiträge würden dann sicher auch sachlich gewürdigt werden.

Von mir bekommst Du in Zukunft keine Downvotes mehr, das kann ich dir zusichern. Ich bin diese Auseinandersetzung mittlerweile Leid und hoffe, dass hier im Forum wieder ein sachlicher und freudlicher Ton einkehrt. An mir soll es nicht liegen.

Gruß

Optimist

Share this post


Link to post
Share on other sites

Ich habe nur meinen Unmut kund getan, wollte doch keinen ärgern, doch warum soll man seine Meinung nicht sagen können.

Aber mich hier streiten möchte ich nicht, ich wollte Anregungen geben und dabei helfen das Programm zu verbessern.

Ich wusste das du mir die Votes gegeben hast, habe es nicht verstanden. Ärger mich aber auch nicht darüber, da jeder seine Meinung hat.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.