[HaBo]

BlackPanther · 18.12.07, 16:27

Hi,
vorne weg, ich bin kein Programmierer oder sonstiges ... trotzdem,
nach ein bisschen lesen hab ich eine Batchdatei gemacht, die 3 Bat's erstellt,
die sich gegensseitig starten und mit einer Schleife cmd.exe öffnen.
Unter anderem kopiert sich das in den Autostart und macht einen reg eintrag im
hkey_local_machine...

(wozu? Rumprobieren ... für die Schule
(keine Angst, da mach ich schon nichts kaputt weil das Image von Windows
bei jedem Neustart immer neu geladen wird. )

Eine "Healthcare" Datei gibt es passend dazu natürlich auch - die löscht wieder alle
Einträge, aber wenn die Bat startet schafft man es eigentlich garnicht die Healthcare
zu Starten ...)

Die Fragen

1. Die bat macht einfach einen reg Eintrag ohne nachfrage > schlecht
(also klar, ist so eingestellt, aber Kaspersky oder so sollte da er nicht nein sagen? )
2. Kopiert sich in Autostart > "Niemand" macht was.
3. Ich kann nur mein Rechner neustarten wenn ich x cmd Instanzen öffne weil er
einfach hängen bleibt.
Kann man das nicht unterbinden das es geht in einer Schleife x beliebige Fenster
aufzumachen?

Das von mir ist zwar eine 0815 Datei. Aber die löscht ja auch ohne Nachfrage reg Einträge ...

MfG
Black

valenterry · 18.12.07, 16:46

Zitat:

Original von BlackPanther
1. Die bat macht einfach einen reg Eintrag ohne nachfrage > schlecht
(also klar, ist so eingestellt, aber Kaspersky oder so sollte da er nicht nein sagen? )

Nee, deren Supporthotline hat auch nur begrenzte Kapazitäten.

Zitat:

2. Kopiert sich in Autostart > "Niemand" macht was.

Das Programm "Niemand" kenne ich leider nicht.

Zitat:

3. Ich kann nur mein Rechner neustarten wenn ich x cmd Instanzen öffne weil er
einfach hängen bleibt.
Kann man das nicht unterbinden das es geht in einer Schleife x beliebige Fenster
aufzumachen?

Supporthotline...

Anzeige

- Anzeige -

nifelan · 18.12.07, 16:58

Es ist genauso doof, nicht vertrauenswürdige Batchfiles zu starten, als .exe's aus unbestimmter Herkunft. Idealerweise ist diese Doofheit mit Administratorrechten auf dem Rechner verbunden

(Admin darf alles -> darum kann ers auch tun)

BlackPanther · 18.12.07, 17:00

Ah okay. Aber auf einem Useraccount geht das wohl auch?

Und ja natürlich nicht, aber wie ich bereits gesagt habe ... es gibt bestimmt x möglichkeiten das die Datei sich dann selbst öffnet und als Virus wird es ja nicht erkannt weil es ja keiner ist ... sind ja nur copy und run befehle.

be_water · 18.12.07, 17:09

mal angenommen ich habe deinen thread und deine frage richtig verstanden...
dann würde ich sagen, dass man sich vor so etwas am besten schützt indem man
1) nie batchdateien ausführt, bevor man sie gelesen hat und verstanden hat was sie tun, und
2) niemandem, dem man nicht vertraut, genügend rechte gibt, auf die registry oder in das autostartverzeichnis zu schreiben.

Und nebenbei erwähnt fand ich die Microsoft Hotline noch nie wirklich hilfreich.

Des weiteren gibt es glaube ich (bin mir aber nicht sicher) einige destruktiven batch-inhalte die von AntiVir erkannt werden, mit Kaspersky kenne ich mich nicht aus.

18.12.07, 17:24

Zitat:

Und nebenbei erwähnt fande ich die Microsoft Hotline noch nie wirklich hilfreich.

Wohl die Ironie übersehen

b2t:
Das Thema gab es hier schonmal; es läuft nunmal darauf hinaus, dass ein Admin durchaus batch files braucht, die ganze Ordnerstämme plätten, sich selber in den autostart kopieren usw. Das Antivirentool kann hier also nicht gleich alles als bösartig abstempel. Und wenn bei jeder Datei ein "Potentiell gefährlich" (was ja stimmen mag) kommt, schaltet der genervte User diese Meldungen schnell wieder ab...

Wobei: Das mit dem Autostart wird mit Windows Defender oder Spybot & Search & Destroy (teatimer.exe) unterbunden, bez. eine user Interaktion gewartet. Wenn man da aber gedankenlos zustimmt ist natürlich kein Schutz mehr vorhanden.

(Man kan das System nicht von der dummheit der user schützten. Wenn auf einer Site im Web steht: Tue dies und das, und dann ist dein System viel schneller, in Wirklichkeit schrottest du es aber damit. -Wie soll dich davor ein Tool schützen? Gegen die Brain.exe gibt es nunmal keine effektiven Anti(Viren)Tools)

BlackPanther · 18.12.07, 17:49

Ok,
hab das grad selbst getestet auf nem User acc ... reg geht wirklich nicht und auch nichts in system32 (is ja egal ... von wo der regkey starten würde)

In den Autostart kopiert sich das Problemlos ...

dann hat sich meine Frage so ziemlich geklärt.

Brain.exe war immer vorhanden nur ich hatte nach einer besseren "healthcare" datei gesucht ^^

und teatimer hat ich nur 2-3 mal drauf dann wieder desinstalliert, hatte es für irgendwas mal gebraucht.

18.12.07, 18:46

Zitat:

Original von BlackPanther
Brain.exe war immer vorhanden nur ich hatte nach einer besseren "healthcare" datei gesucht ^^

Gut zu hören. Habe damit übrigens auch nicht dich gemeint, sondern die standard DAUs..

Zitat:

und teatimer hat ich nur 2-3 mal drauf dann wieder desinstalliert, hatte es für irgendwas mal gebraucht.

...und was sagt uns das jetzt? :/

BlackPanther · 18.12.07, 19:00

Eigentlich nichts ( ausser das wenn ich teatimer.exe draufgelassen hätte, wüsste dass der das überwacht wenn einträge in der reg gemacht werden ( und/oder im Autostart )

d.h. > Spybot & Search & Destroy > gut.
Oder noch genauer, mit dem kann man sich schützen ^^ wenn mal die brain.exe teilweise down ist.)

Harry Boeck · 18.12.07, 19:24

Veränderungen an JEDER Art von Dateisystem-Element läßt sich verhindern, indem man die Schreibrechte entzieht. Der Autostart-Ordner auf Rechnern, die von vielen Leuten gemeinsam genutzt werden, ist einer von vielen Kandidaten dafür.

Wobei man da natürlich auch Kompromisse eingehen kann: Arbeitserleichterungen sollten schon möglich sein. Sowas kann man aber mit personalisierten Konten abfangen: Wen sich dann irgendjemand tatsächlich zwingend in suizidöser Weise irgendwelche Malware in seinen eigenen Autostart-Ordner legen muß, stört das weder den Start des Systems noch irgendeinen anderen User.

Nur die Systemweiten Einstellungen sollten halt nicht für jeden dahergelaufenen Nichtsnutz offen sein...

stone.dr · 22.12.07, 13:09

Zitat:

d.h. > Spybot & Search & Destroy > gut.
der noch genauer, mit dem kann man sich schützen

Der Meinung war ich bis vor kurzem auch, bis ich zu "Testzwecken" mal ein wenig herumexperimentiert habe.

Der Prozess lässt sich leider ganz einfach ausschalten, auch von Batch aus:

taskkill ...

Einen Verbesserungsvorschlag habe ich bereits eingereicht.

Harry Boeck · 23.12.07, 01:56

Also, Jungs: Wenn man einen Rechner ERSTMAL SO einrichtet, daß JEDER ALLES kann, und DANN mit Spielzeug versucht, ernsthafte Regeln durchzusetzen, braucht man sich nicht zu wundern, daß das nicht klappen kann.

Das erklärt sich von selbst.

Mal ne Analogie:

1. Ihr richtet ein Haus ein, in dem Ihr hunderte oder gar tausende Fenster und Türen einbaut, weil Ihr das echt richtig abgefahren geil findet!
2. Ihr baut NIRGENDWO ein Schloß dran. Ihr baut auch nirgendwo etwas zum wenigstens zubinden dran. Ihr setzt nicht mal sowas wie Scheiben ein. Ihr findet es GEIL, daß JEDER an ALLEN Ecken einsteigen und aussteigen kann!
3. JETZT besorgt Ihr Euch genau EINEN Eckensteher. Oder vielleicht auch zwei. Und DENEN gebt Ihr jetzt die Aufgabe, ALLE Bösewichte draußen halten zu sollen.
4. Damit Euch die Eckensteher aber nicht in Eurer täglichen Duselei stören (Ihr WOLLT ja gefälligst blindlings herumstolpern dürfen, OHNE daß einer von diesen eh nur widerwillig geduldeten Typen seinen Mund aufmacht), verpaßt Ihr denen Maulschellen und Aufenthaltsverbote in fast dem ganzen Haus.

So, kommt damit in etwa verständlich rüber, wo das Problem ist?

Die "Probleme", die Ihr hier beschreibt, sind trivial aus der Welt zu schaffen, indem Ihr in die Ein- und Ausgangstore Eurer "Häuser" sowas wie Fenster und Türen einsetzt, und zwar MIT Schlüsseln, und Euch selbst angewöhnt, eben diese zu benutzen und geschlossen zu halten. DANN braucht Ihr NICHT MAL einen einzigen Türsteher, der Euch extra behindern könnte.

Auf Rechnern heißt das: Legt Zugriffsrechte so fest, daß >>JEDER<< genau >>NICHTS<< kann und normale Personen genau das manipulieren bzw. in Benutzung nehmen ("ausführen") können, was sie SOLLEN. UND organisiert, daß NORMALE Personen auch tatsächlich NORMALE Personen sind und nicht einen ADMIN-Persilschein ausgehändigt bekommen!

Dann geht NICHTS mehr von wegen irgendwas in irgendwelchen Autostart-Mechanismen rumpfuschen, irgendwelche Programme starten, die einem nicht zustehen, irgendwelche Prozesse abschießen, die einem nicht gehören usw. usf.

Es IST allerdings so, daß auf einem solchermaßen ANSTÄNDIG eingerichteten Windows-System etwa GENAUSO VIEL Arbeit investiert werden muß, wie auf einem Linux. Von nichts kommt nichts.

----

Ach ja, der eigentliche Grund für die Antwort:
Wenn ein PC-Besitzer seinen Rechner so einstellt, daß ein Besucher ADMIN-Status hat und nach Belieben Prozesse anderer Nutzer einschließlich des "Systems" abschießen kann, sind Hersteller von IRGENDWELCHER Software - die von Antiviren- und Systemüberwachungs-Programmen EINGESCHLOSSEN - die letzten, die eine Verantwortung dafür auch nur im entferntesten tragen können.

OK - es GIBT Hersteller, die ihre Wächter-Programme dann mit extra tiefen Eingriffen ins Betriebssystem ausstatten, wo sie alle möglichen Regeln außer Kraft setzen und dabei so richtig extra breitbeinig allen Aufgaben im Wege stehen, die ein RICHTIGER Admin immer wieder mal erledigen muß.
Und zwar WEIL die Benutzer vor dem Bildschirm im Durchschnitt zu unfähig sind, den Aspekt, der mit "Tür" und "Schloß" bildlich darstellbar ist, auf die Reihe zu kriegen.
Das sind dann aber Verhaltensweisen, die TATSÄCHLICH störend wirken und im Laufe der Zeit dann eh doch nur außer Kraft gesetzt werden.
Und ANSTÄNDIG ist diese Art von Anti-Organisation nun schon überhaupt nicht zu nennen...

Anzeige

- Anzeige -

18.12.07, 16:27	#1 (permalink)
BlackPanther Registriert seit: 02.02.06 Likes: 0	Schutz vor batch Anzeige Hi, vorne weg, ich bin kein Programmierer oder sonstiges ... trotzdem, nach ein bisschen lesen hab ich eine Batchdatei gemacht, die 3 Bat's erstellt, die sich gegensseitig starten und mit einer Schleife cmd.exe öffnen. Unter anderem kopiert sich das in den Autostart und macht einen reg eintrag im hkey_local_machine... (wozu? Rumprobieren ... für die Schule (keine Angst, da mach ich schon nichts kaputt weil das Image von Windows bei jedem Neustart immer neu geladen wird. ) Eine "Healthcare" Datei gibt es passend dazu natürlich auch - die löscht wieder alle Einträge, aber wenn die Bat startet schafft man es eigentlich garnicht die Healthcare zu Starten ...) Die Fragen 1. Die bat macht einfach einen reg Eintrag ohne nachfrage > schlecht (also klar, ist so eingestellt, aber Kaspersky oder so sollte da er nicht nein sagen? ) 2. Kopiert sich in Autostart > "Niemand" macht was. 3. Ich kann nur mein Rechner neustarten wenn ich x cmd Instanzen öffne weil er einfach hängen bleibt. Kann man das nicht unterbinden das es geht in einer Schleife x beliebige Fenster aufzumachen? Das von mir ist zwar eine 0815 Datei. Aber die löscht ja auch ohne Nachfrage reg Einträge ... MfG Black

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
.NET schutz	Netonator	Hacks & Crackmes	15	27.06.09 13:27
schutz an fremdem pc?	x4nny	(In)security allgemein	6	26.07.07 20:46
Passwörter und Schutz	A-Kil4	Windows	9	11.11.05 13:33
Schutz vor Google	nonpretium	(In)security allgemein	3	29.09.05 19:44
IRC-Schutz?	?????	(In)security allgemein	16	30.06.04 18:57

18.12.07, 16:58	#3 (permalink)
nifelan Registriert seit: 14.04.06 Likes: 0	Es ist genauso doof, nicht vertrauenswürdige Batchfiles zu starten, als .exe's aus unbestimmter Herkunft. Idealerweise ist diese Doofheit mit Administratorrechten auf dem Rechner verbunden (Admin darf alles -> darum kann ers auch tun)

18.12.07, 17:00	#4 (permalink)
BlackPanther Themenstarter Registriert seit: 02.02.06 Likes: 0	Ah okay. Aber auf einem Useraccount geht das wohl auch? Und ja natürlich nicht, aber wie ich bereits gesagt habe ... es gibt bestimmt x möglichkeiten das die Datei sich dann selbst öffnet und als Virus wird es ja nicht erkannt weil es ja keiner ist ... sind ja nur copy und run befehle.

18.12.07, 17:09	#5 (permalink)
be_water Registriert seit: 16.10.07 Likes: 0	mal angenommen ich habe deinen thread und deine frage richtig verstanden... dann würde ich sagen, dass man sich vor so etwas am besten schützt indem man 1) nie batchdateien ausführt, bevor man sie gelesen hat und verstanden hat was sie tun, und 2) niemandem, dem man nicht vertraut, genügend rechte gibt, auf die registry oder in das autostartverzeichnis zu schreiben. Und nebenbei erwähnt fand ich die Microsoft Hotline noch nie wirklich hilfreich. Des weiteren gibt es glaube ich (bin mir aber nicht sicher) einige destruktiven batch-inhalte die von AntiVir erkannt werden, mit Kaspersky kenne ich mich nicht aus.

18.12.07, 17:49	#7 (permalink)
BlackPanther Themenstarter Registriert seit: 02.02.06 Likes: 0	Ok, hab das grad selbst getestet auf nem User acc ... reg geht wirklich nicht und auch nichts in system32 (is ja egal ... von wo der regkey starten würde) In den Autostart kopiert sich das Problemlos ... dann hat sich meine Frage so ziemlich geklärt. Brain.exe war immer vorhanden nur ich hatte nach einer besseren "healthcare" datei gesucht ^^ und teatimer hat ich nur 2-3 mal drauf dann wieder desinstalliert, hatte es für irgendwas mal gebraucht.

18.12.07, 19:00	#9 (permalink)
BlackPanther Themenstarter Registriert seit: 02.02.06 Likes: 0	Eigentlich nichts ( ausser das wenn ich teatimer.exe draufgelassen hätte, wüsste dass der das überwacht wenn einträge in der reg gemacht werden ( und/oder im Autostart ) d.h. > Spybot & Search & Destroy > gut. Oder noch genauer, mit dem kann man sich schützen ^^ wenn mal die brain.exe teilweise down ist.)

18.12.07, 19:24	#10 (permalink)
Harry Boeck Registriert seit: 17.02.06 Likes: 0	Veränderungen an JEDER Art von Dateisystem-Element läßt sich verhindern, indem man die Schreibrechte entzieht. Der Autostart-Ordner auf Rechnern, die von vielen Leuten gemeinsam genutzt werden, ist einer von vielen Kandidaten dafür. Wobei man da natürlich auch Kompromisse eingehen kann: Arbeitserleichterungen sollten schon möglich sein. Sowas kann man aber mit personalisierten Konten abfangen: Wen sich dann irgendjemand tatsächlich zwingend in suizidöser Weise irgendwelche Malware in seinen eigenen Autostart-Ordner legen muß, stört das weder den Start des Systems noch irgendeinen anderen User. Nur die Systemweiten Einstellungen sollten halt nicht für jeden dahergelaufenen Nichtsnutz offen sein...

23.12.07, 01:56	#12 (permalink)
Harry Boeck Registriert seit: 17.02.06 Likes: 0	Also, Jungs: Wenn man einen Rechner ERSTMAL SO einrichtet, daß JEDER ALLES kann, und DANN mit Spielzeug versucht, ernsthafte Regeln durchzusetzen, braucht man sich nicht zu wundern, daß das nicht klappen kann. Das erklärt sich von selbst. Mal ne Analogie: 1. Ihr richtet ein Haus ein, in dem Ihr hunderte oder gar tausende Fenster und Türen einbaut, weil Ihr das echt richtig abgefahren geil findet! 2. Ihr baut NIRGENDWO ein Schloß dran. Ihr baut auch nirgendwo etwas zum wenigstens zubinden dran. Ihr setzt nicht mal sowas wie Scheiben ein. Ihr findet es GEIL, daß JEDER an ALLEN Ecken einsteigen und aussteigen kann! 3. JETZT besorgt Ihr Euch genau EINEN Eckensteher. Oder vielleicht auch zwei. Und DENEN gebt Ihr jetzt die Aufgabe, ALLE Bösewichte draußen halten zu sollen. 4. Damit Euch die Eckensteher aber nicht in Eurer täglichen Duselei stören (Ihr WOLLT ja gefälligst blindlings herumstolpern dürfen, OHNE daß einer von diesen eh nur widerwillig geduldeten Typen seinen Mund aufmacht), verpaßt Ihr denen Maulschellen und Aufenthaltsverbote in fast dem ganzen Haus. So, kommt damit in etwa verständlich rüber, wo das Problem ist? Die "Probleme", die Ihr hier beschreibt, sind trivial aus der Welt zu schaffen, indem Ihr in die Ein- und Ausgangstore Eurer "Häuser" sowas wie Fenster und Türen einsetzt, und zwar MIT Schlüsseln, und Euch selbst angewöhnt, eben diese zu benutzen und geschlossen zu halten. DANN braucht Ihr NICHT MAL einen einzigen Türsteher, der Euch extra behindern könnte. Auf Rechnern heißt das: Legt Zugriffsrechte so fest, daß >>JEDER<< genau >>NICHTS<< kann und normale Personen genau das manipulieren bzw. in Benutzung nehmen ("ausführen") können, was sie SOLLEN. UND organisiert, daß NORMALE Personen auch tatsächlich NORMALE Personen sind und nicht einen ADMIN-Persilschein ausgehändigt bekommen! Dann geht NICHTS mehr von wegen irgendwas in irgendwelchen Autostart-Mechanismen rumpfuschen, irgendwelche Programme starten, die einem nicht zustehen, irgendwelche Prozesse abschießen, die einem nicht gehören usw. usf. Es IST allerdings so, daß auf einem solchermaßen ANSTÄNDIG eingerichteten Windows-System etwa GENAUSO VIEL Arbeit investiert werden muß, wie auf einem Linux. Von nichts kommt nichts. ---- Ach ja, der eigentliche Grund für die Antwort: Wenn ein PC-Besitzer seinen Rechner so einstellt, daß ein Besucher ADMIN-Status hat und nach Belieben Prozesse anderer Nutzer einschließlich des "Systems" abschießen kann, sind Hersteller von IRGENDWELCHER Software - die von Antiviren- und Systemüberwachungs-Programmen EINGESCHLOSSEN - die letzten, die eine Verantwortung dafür auch nur im entferntesten tragen können. OK - es GIBT Hersteller, die ihre Wächter-Programme dann mit extra tiefen Eingriffen ins Betriebssystem ausstatten, wo sie alle möglichen Regeln außer Kraft setzen und dabei so richtig extra breitbeinig allen Aufgaben im Wege stehen, die ein RICHTIGER Admin immer wieder mal erledigen muß. Und zwar WEIL die Benutzer vor dem Bildschirm im Durchschnitt zu unfähig sind, den Aspekt, der mit "Tür" und "Schloß" bildlich darstellbar ist, auf die Reihe zu kriegen. Das sind dann aber Verhaltensweisen, die TATSÄCHLICH störend wirken und im Laufe der Zeit dann eh doch nur außer Kraft gesetzt werden. Und ANSTÄNDIG ist diese Art von Anti-Organisation nun schon überhaupt nicht zu nennen...

[HaBo]

Schutz vor batch