Windows: Wie man entführte .exe-Dateien zurückerobert

Verschiedene Schadprogramme nehmen eine Manipulation an Windows-Systemen vor, die dafür sorgt, dass Anwender nicht mehr an ihre installierten Programme herankommen. Statt einer beliebigen Anwendung wird dann hier beispielsweise immer eine mitgelieferte Schadroutine ausgeführt. Und auch, wenn man die Malware erfolgreich vom eigenen System entfernt hat, bleiben diese Manipulationen zuweilen wirksam.

Unsere Kollegen von SemperVideo führen dies beispielhaft an einem System vor, in dem sich .exe-Dateien entweder gar nicht mehr öffnen lassen oder schlicht immer das falsche Programm zum laufen bringen. Das liegt daran, dass der Nutzer in der grafischen Oberfläche keineswegs direkt auf die jeweiligen Programmdateien zugreift, sondern dies erst auf die Systemebene herunterübersetzt werden muss.

Wie nicht anders zu vermuten, sind die nun fehlerhaften Übersetzungsanweisungen in der Windows-Registry zu finden. Wie die fraglichen Einstellungen wieder in ihren korrekten Zustand zurückgebracht werden, könnt ihr in diesem Video sehen. Die hierbei benötigten Registry-Einträge findet ihr unter:

HKEY_CLASSES_ROOT\.exe

und

HKEY_CLASSES_ROOT\exefile\shell\open\command

Wenn ihr euch nicht die Mühe machen wollt, die Registry nach den passenden Einträgen zu durchsuchen, könnt ihr alternativ auch einfach die Konfigurations-Datei verwenden, in der die Kollegen die gezeigten Einstellungen bereits zusammengestellt haben. Runterladen, starten, fertig.

Mehr von SemperVideo: Auf YouTube

Voraussetzung für die genannten Einstellungen ist es, dass ihr auf euer System mit deutlich mehr Rechten zugreifen könnt als dies in einem normalen Benutzer-Account der Fall ist. Das geht mit dem gewohnten Admin-Account oder aber auch, wenn ihr euch gleich einen Zugang mit System-Rechten verschafft. Welche Möglichkeiten euch Windows dafür bietet, erfahrt ihr in den beiden folgenden Videos:

Windows 10: So aktiviert man den Administrator-Account

So stattet man Windows-Software mit Systemrechten aus

Dieses Video empfehlen

Kommentieren9

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++--

Den Download der fertigen Konfigurations-Datei solltet Ihr dann aber auch verlinken. Nicht nur die Werbung vor dem Video

Bearbeitet am 19.07.16 um 13:18 Uhr.

[re:1] am ++--

@JemandA: Ausgerechnet den vergessen...jetzt ist er da.

[re:1] am ++--

@ckahle: Und die gilt für jedes Win OS in x86/x64?

[re:1] am ++2 --

@JemandA: Ja, ist ja der Registry-Pfad HKEY_CLASSES_ROOT, der kennt keine Unterscheidung zwischen 32 und 64 Bit.

[o2] am ++--2

Ja Wahnsinn, man fummelt an einem bereits infiziertem System rum und beachtet dann : "Voraussetzung für die genannten Einstellungen ist es, dass ihr auf euer System mit deutlich mehr Rechten zugreifen könnt, als dies in einem normalen Benutzer-Account der Fall ist. Das geht mit dem gewohnten Admin-Account oder aber auch, wenn ihr euch gleich einen Zugang mit System-Rechten verschafft." .... Prima Tip.

[re:1] am ++--2

@iPeople: Oh! Es...schmerzt...sooo...seehhhrrrr ahhhh. Aber ich muss dir recht geben. Ah ich kipp um.

Bearbeitet am 19.07.16 um 13:24 Uhr.

[o3] am ++--

ist wohl die passende Fortsetzung zum vorherigen sempervideo

[o4] am ++--

Allein die Überschrift ist der Hammer... da muss man sich das Video wohl gar nicht mehr antun...

[o5] am ++1 --

Gleich mal ne neue Siedlerkampagne spielen, gegen die ruchlosen Exepiraten. Arr!

Es fehlt der Verweis auf die Windows Image File Execution Options:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options].

Und darauf, daß es noch viel mehr Wege gibt, sich da zwischenzuschleusen; nicht zuletzt über den Systempfad (wenn der \Windows;Windows\System32 lautet, werden auch zuerst Anwendungen aus \Windows gestartet, die da vielleicht gar nicht hingehört hätten).

Seufz. Außerdem braucht man keine speziellen Rechte; die UAC poppt schon von ganz alleine ein Prompt auf, wenn es benötigt wird.

Jetzt haben wir schon ein halbwegs sicheres System (konzeptuell). Kein Grund, das auf Windows 95 Niveau herunterzudrücken.