CCleaner setzt sich über Windows 10-Firewall Regel hinweg

[1lluminate23]

Hallo zusammen,

ich bitte gleich im Vorfeld, dass das Thema nicht ausartet in "wer nutzt schon CCleaner, oder warum nutzt du CCleaner"! Vielen Dank.

Es geht mir um folgenden Hintergrund. Ich habe in der Windows 10 Firewall eine ganz klare Regel festgelegt, dass der CCleaner keine Verbindung herstellen darf zum Internet ( in allen Profilen), siehe Bild aus meiner Firewall-Regel

In meinem Router-Protokoll ( Speedport-Hybrid) Engineer sehe ich alle DNS-Verbindungen und immer wieder fällt dabei eine DNS-Verbindungsaufbau zu Pirifrom und Avast auf, siehe angehängtes Bild des DNS Eintrages des Routers.

Wie bitte kann dies Zustande kommen, wenn ich doch ganz klar in der Firewall festgelegt habe, dass alle Anfragen sowohl ein als aus ausgehend verboten sind.

In der Aufgabenplanung habe ich ebenfalls den Aufgabenprozess "CCLeaner-Update" deaktiviert.

Also nun die Frage - wie schafft das Ding sich gegen all die Regeln durchzusetzen? Über Hinweise die sachlich zum Thema passen wäre ich dankbar.

Gruß David

 

[Yuuri]

Die DNS-Auflösung übernimmt das System, nicht die Anwendung.

 

[AlanK]

Ich berücksichtige deine Einleitung und verkneife es mir.
Aber zum Thema Firewall, was ist wenn du mit Wildcards arbeitest?

*.piriform.*
und die zugehörigen IPs

 

[Samurai76]

Das wird, so wie Yuuri schon geschrieben hat, die DNS Auflösung sein. Dort fragt das lokale Programm den Systemdienst und Dieser fragt beim Router. Wenn du das unterbinden möchtest, musst du das Lokal lösen, z.B. in der hosts-Datei von Windows.

 

[mr.malcom]

wer nutzt schon CCleaner, oder warum nutzt du CCleaner

Vieleicht ist es eine andere .exe die die Verbindungen aufbaut?
Evtl. könnstest du das auch über die HOSTS Datei sperren.

 

[ryzen-]

Dass der CCleaner keine Verbindung herstellen darf zum Internet ( in allen Profilen), siehe Bild aus meiner Firewall-Regel

Die vermutliche Lösung wurde schon genannt, möchte in dem Kontext aber noch anmerken: jede Software die tief ins System eingreift und Root-Rechte genießt kann im Grunde alles im System verschludern, daher wird nicht nur CCleaner, sondern vor allem auch die verschiedenen "Sicherheits-Suites" diverser Hersteller kritisch gesehen. Kann dir eben das gesamte System abschießen, ist schon ziemlich naiv sich dann über eine Firewall-Regel zu unterhalten.

Benutzt den systeminternen Cleaner und lass den Müll einfach bleiben, sorry kanns mir nicht verkneifen!

 

[Helge01]

Wie schon geschrieben sind das zwei völlig verschiedene Sachen. Das eine ist die DNS Auflösung, diese wird auch weiterhin funktionieren. Das andere wäre dann der Verbindungsaufbau zu dem entsprechenden Server. Diesen hast du in der Firewall geblockt.

Das Programm macht eine erfolgreiche DNS Auflösung, der anschließende Verbindungsaufbau zum Server wird aber scheitern.

 

[1lluminate23]

Hallo an alle Beteiligten, ich werde eure Hinweise berücksichtigen und es mal in der hosts-Datei speichern und mit Wildcards arbeiten. Wenn es dann noch einmal zum Aufbau kommt,dann fliegt der CCleaner vom System, ich tendiere dann zum Windows eigenen Cleaner, oder dem quelloffenen Bleachbit-Portabel, da sind mir noch keine Verbindungsaufbauten zum Server vorgekommen, wenn nicht ausdrücklich genehmigt. Ich bedanke mich für eure sachdienlichen Informationen - das hat mich sehr gefreut:-)

Gruß David - der jetzt wieder ein Stück schlauer geworden ist.

Achso und falls sich jemand fragt warum ich den CCLeaner überhaupt nutze, ich nutze die Wipe Funktion des CCleaners, Bleachbit bietet die Funktion auch. Ich fuchtel damit nicht in der Registrierung etc. herum.

 

[JennyCB]

Oder benutze die portable Version.
https://www.ccleaner.com/de-de/ccleaner/builds

 

[1lluminate23]

Ich glaube ich verzichte auch auf Bleachbit und nutze "cipher /wX:\." für meine Vorhaben. Also back to the Windows-Roots.

Danke an alle :-)

 

[areiland]

Wenn die Lizenzüberprüfungen trotz Firewallregel erfolgen, dann könnte sich das entsprechende Programm auch des Dienstes "Software-Protection" bedienen, der steht nämlich allen Softwareanbietern offen. Und den sollte man besser nicht blockieren.

 

[Bob.Dig]

Vielleicht auch interessant für dich:
https://eraser.heidi.ie/
Es ist aber ein reines Datei-Lösch-Tool und nicht vergleichbar mit den von dir genannten Programmen.

 

[webslap]

Also nun die Frage - wie schafft das Ding sich gegen all die Regeln durchzusetzen? Über Hinweise die sachlich zum Thema passen wäre ich dankbar.

Gruß David

Das ist Recht einfach erklärt, nur CCleaner hat noch deutlich schlimmere Folgen. In Deinem Fall liegt es aber daran dass die Windows-System-Netzwerkdateien durch CCleaner abgeändert wurden und das unter anderem auslöst.

Die Entwickler haben einige Windows Systemdateien verändert die den Zugang zum Internet steuern. Und damit Windows diese Implementation nicht durch die Windows eigene Zertifikatsprüfungen die diese Änderungen als Malwareeinegriff melden würden entdecken zu lassen, wurden kurzerhand die HASH-Werte der bestehenden Windows Dateien kopiert und den eigenen Dateien eingefügt. Dies stellt im Grunde sogar eigentlich einen Hack dar, die Entwickler haben zu dieser Lösung gegriffen, um den einfacheren Weg damals zu gehen. Der andere wäre eine zertifizierung durch Microsoft zu erwirken gewesen. Die Folge: Daher bemerkt Windows diese überschriebenen Dateien nicht als Veränderung. Nun ist es so, dass darüber aber zb nicht nur die Firewall umgangen werden kann, sondern im Grunde auch Ports von Aussen auf "Listen" gestellt werden. Im Jahr 2017 wurde dieser Umstand das erste Mal zumindest auch öffentlich ausgenutzt, als in Deutschland zehntausende Rechner an einer DDOS Attacke darüber zum mitmachen genutzt wurden. Das damals niemand auf CCleaner gekommen ist, hat auch damit zu tun, dass die Journalisten heute kaum noch Informationen hinterfragen. Man kann also sagen, dass CCleaner eine Sicherheitslücke durch einen Developer-Hack schafft, die man vorher nicht hatte.

Das die Techniker dies bisher nicht beseitigt haben, liegt daran, dass die damaligen Entwickler als die Software an Avast verkauft wurde, die Firma verlassen haben, der Großteil dieser Codezeilen sind vor Veränderungen durch eine Verschlüsselung geschützt, das bedeutet, dass die neuen Eigentümer bisher diese Funktionsweise nicht anpassen konnten, ohne alles neu machen zu müssen. Zugekauft wurde der Service aber sicher nicht um nun daran zusätzlich investieren zu können, sondern um damit Geld zu verdienen, weshalb die neuen Eigentümer bis heute diese Lücken nicht beseitigt haben. Diese Funktionen sollen zwar nur in der Premium Version nutzbar sein, werden aber auch in der Standard - FREE Version bereits installiert und damit diese vorhin beschriebenen System-Dateien ausgetauscht.

Was daran auch nun nicht gerade optimal ist, dass diese Dateien auch beim deinstallieren nicht erkannt und entfernt werden. Windows erkennt diese schlußendlich einfach auch nicht als CCleaner veränderte Dateien und stellt diese daher selbst nicht wieder her. Die Folge ist, dass wer diese Lücke schließen will, eigentlich da er selbst nicht die Systemdateien überschrieben kann, eigentlich Windows neu aufsetzen muss um diese Lücke zu schließen.

Empfehlenswert für jeden der einmal CCleaner installiert hatte ist daher sicher auch regelmässig auf "Listen-Ports" des eigenen Systemes zu achten.

 

[adius]

Und was lernen wir daraus? Hoffentlich das RICHTIGE Ist ja nicht das erste mal das dieses Ding negativ auffällt.
Aber irgendwie müssen und wollen die Geld verdienen. Egal wie !

 

[Bob.Dig]

Das ist Recht einfach erklärt, nur CCleaner hat noch deutlich schlimmere Folgen. In Deinem Fall liegt es aber daran dass die Windows-System-Netzwerkdateien durch CCleaner abgeändert wurden und das unter anderem auslöst.

Klingt blödsinnig.

 

[webslap]

Naja, nachdem CCleaner in der Premium Variante eine Funktion 2016 (Nachtrag: war vermutlich schon 20145/15) hinzuzufügte, die den ein- und ausgehenden Datenverkehr überprüft, hatten die Entwickler die folgenden drei Möglichkeiten:

1) Die eigene Software/Lösung von Microsoft zertifizieren zu lassen und damit auch eigene Dateien hinzufügen zu können, die dann eine Vertrauensstellung haben, welche notwendig ist wenn man diese Art der Dinge tun will in Kombination mit den systemeigenen Schutzmassnahmen.
2) Den Nutzer zu fragen bei der Installation ob er dem zustimmt und dann Ihm auch erklären, warum der Windows Defender oder Teile davon abgeschaltet bleiben muss, damit die eigene Lösung funktioniert.
3) oder den Weg zu gehen den ich beschrieben habe, also einfach kurzerhand Systemdateien zu faken/manipulieren.

Stark vereinfacht, aber in etwa das waren die damaligen Auswahlmöglichkeiten. Lösung drei waram schnellsten und einfachsten erwirkt.