Desinfec’t 2018 (****)

Das Desinfec’t Projekt wird seit 15 Jahren von der c’t publiziert. Einmal jährlich aktualisiert die Zeitschrift Ihre Antivirenumgebung Desinfec´t. Das aktuelle Live-System liegt der c’t-Ausgabe 12/18 bei. Desinfec’t 2018 basiert auf Ubuntu 16.0.4 LTS. Als Kernel kommt 4.13.x mit aktuellem HWE zum Einsatz. Somit ist Desinfec’t beim Kernel gleichauf mit Ubuntu 17.10. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • Eset
  • F-Secure
  • Sophos

Im Bootmenü Easy-Scan kommt nur der Virenscanner von Avira zum Einsatz. Gescannt werden Rechner mit BIOS und UEFI Boot-Modus.

Es ist u.a. aus Performancen-Gründen sinnvoll einen bootfähigen USB-Stick zu erstellen. Zur Erstellung eines USB-Sticks mit mind. 16 GByte Speicher steht auf der DVD die Windows-Anwendung „Desinfect2USB_64_Bit“ zur Verfügung (eine entspr. Anwendung gibt es auch für ein 32-bit Windows). Der USB-Stick kann sowohl unter Windows als auch aus dem Live-System heraus erstellt werden. Der Einsatz eines USB-Sticks ist auch deshalb sinnvoll, da hier z.B. für Scans mehrerer Rechner die Virensignaturdateien dauerhaft abgelegt werden können. Der USB-Stick sollte nicht als Wechseldatenträger erkannt werden, sonst gibt es Schwierigkeiten bei der Erstellung des Live-Systems.

Nach dem Booten der Live-Umgebung (nicht Easy-Scan) kann mit dem Icon „Viren-Scan starten“ eine Auswahl der oben genannten vier Virenscanner aktiviert werden. Die Windows-Laufwerke werden jetzt in der 2018 Version automatisch ausgewählt (im Zweifel Icon „Alle Windows-Laufwerke nur lesbar einbinden“ drücken). Es ist möglich nur einzelne Ordner für den Scan auszuwählen. Wenn die Live-Umgebung mit dem Internet verbunden ist, werden die Aktualisierungen der Virensignaturen automatisch durchgeführt. Bei Virenfund-Meldungen können verdächtige Dateien auf VirusTotal hochgeladen werden. Falls die Hinweise (zusätzliche Firefox-Links) auf Schad-SW deuten, kann per „Umbenennen“ die Datei mit der Endung .VIRUS ergänzt werden. Zuvor kommt eine Abfrage, ob auf das jeweilige Windows-Laufwerk geschrieben werden darf.

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit photorec
  • Teamviewer zur Fernwartung

Weitere c’t Artikel beschreiben Notfallmaßnahmen, die mit dem Live-System durchgeführt werden können:

c’t 2018 Heft 13: Datenzugriff auf eine Windows-Umgebung (mit Desinfec’t Explorer), vergessenes Windows-Kennwort zurücksetzen (mit chntpw), Profilverzeichnisse bereinigen, bootfähige Installationssticks für Windows erstellen (mit woeusb)

c’t 2018 Heft 14: Fragen und Antworten zu Desinfec’t (veraltete Signaturen, Kopieren von Dateien im Netz, weitere Hilfe, etc.)

c’t 2018 Heft 15: Fotos und Dateien retten (mit smartctl, ddrescue, ntfsclone, kpartx, photorec und foremost)

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.

Desinfec’t 2014 (****)

desinfectEinmal jährlich aktualisiert die Zeitschrift c´t Ihre Antivirenumgebung Desinfec´t. Desinfec’t 2014 liegt der c’t-Ausgabe 12/14 bei, die seit dem 19. Mai 2014 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.0.4.4 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2014 wieder einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • BitDefender AntiVirus
  • Kaspersky Anti-Virus
  • ClamAV (fällt durch häufige Fehlalarme auf)

Neu in der Version 2014 ist die Unterstützung vom BIOS und UEFI Boot-Modus. Erscheint beim Booten ein farbiger Bildschirm mit Logo, hat das BIOS seine Arbeit verrichtet. Bei UEFI-Unterstützung erscheint ein weißer Kasten mit testbasiertem Auswahlmenü.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Es ist u.a. aus Performancen-Gründen sinnvoll nach dem Start der DVD gleich einen bootfähigen USB-Stick zu erstellen. Per Mausklick können nicht nur die Virensignaturen sondern auch das gesamte Rettungssystem auf einem USB-Stick abgelegt werden. Zur Erstellung eines USB-Sticks mit mind. 4 GByte Speicher steht auf der Live-DVD das Tool “Bootfähigen USB-Stick mit desinfec’t erzeugen” zur Verfügung. Der Einsatz des USB-Sticks ist auch in Verbindung mit der DVD sinnvoll, da die Virensignaturdateien standardmäßig auf einem erkannten USB-Stick abgelegt werden.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per “Virenscan starten” durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Standardmäßig werden alle angeschlossenen Laufwerke unter /media gescannt. Der Virenscan lässt sich auf Unterverzeichnisse eingrenzen. Archive und Mailboxen werden nicht gescannt, da sie im Regelfall keinen direkten Schaden anrichten können.

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge kann in der Version 2014 ein Upload zu einem Online-Scan-Dienst wie Virustotal.com durchgeführt werden. Die voreingestellte Favoritenleiste des Firefox bietet weitere Links zu Online-Scan-Diensten an.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um “VIRUS” ergänzt. Zuvor wird von Desinfec´t der Schreibmodus auf das betroffene Laufwerk angeboten. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort “desinfect” zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

Neu in Version 2014 ist auch ein Info-Fenster am oberen rechten Rand des Bildschirms. Auf einen Blick ist im Info-Fenster erkennbar, welchen Stand die erkannten Virensignaturen haben und wie die Systemressourcen ausgelastet sind.

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

Startoptionen für Windows 7

Falls der Windows 7 Systemstart nicht mehr korrekt funktioniert, bietet Windows 7 mehrere Startoptionen, die eine Reparatur der Win7-Produktivumgebung ermöglichen:

Abgesicherter Modus

Im Bootvorgang des Win7-Rechners kann die F8-Taste gedrückt werden. Der Bildschirm zeigt nun den Eintrag „Abgesicherter Modus“ an. Der Abgesicherte Modus startet mit der produktiven Windows 7 Umgebung, allerdings ohne Ausführung von Autostart-Einträgen und nur mit wenigen Standardtreibern. Im Gerätemanager können Treiberinstallationen neu durchgeführt werden. Es ist auch möglich das Win7-System auf einen früheren Wiederherstellungspunkt zurückzusetzen.

Windows Recovery Environment (WinRE)

Wiederum kann im Bootvorgang des Win7-Rechners die F8-Taste gedrückt werden. Unter erweitere Startoptionen kann der Eintrag „Computer reparieren“ ausgewählt werden. Nun erscheint folgendes Auswahlfenster:

SystemwiederherstellungsoptionWin7

 

 

 

 

 

 

 

 

Der Eintrag „Startreparatur“ ist hilfreich, wenn beim Rechnerstart kein Betriebssystem gefunden wird. Die Startreparatur versucht vom Zweitsystem aus in der Win7 Bootpartition eine neue Bootumgebung für das Produktivsystem zu erstellen. Falls der automatisierte Versuch scheitert, kann noch manuell über die Eingabeaufforderung (letzter Eintrag) versucht werden die Bootparameter neu zu setzen:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Der Eintrag „Systemwiederherstellung“ ermöglich das Zurücksetzen der Windows 7 Umgebung auf den Stand eines älteren Wiederherstellungspunktes. Diese Aktion wird aber im Gegensatz zum Abgesicherten Modus vom Zweitsystem in der separaten Win 7 Bootpartition durchgeführt.

Der Eintrag „Systemabbild-Wiederherstellung“ ermöglicht Ihnen das Restaurieren auf Basis eines Systemabbildes. Voraussetzung ist, dass das Systemabbild zuvor erstellt wurde (Systemsteuerung/ Sichern und Wiederherstellen / Systemabbild erstellen) und die Imagedatei auch vorliegt.

Der Eintrag „Eingabeaufforderung“ ermöglicht Ihnen z.B. eine Low-Level Datensicherung durchzuführen. Win7-Tools wie copy oder externe Dateimanager können in der Eingabeaufforderung gestartet werden (ebenso Undelete-Tools wie Recuva oder Photorec). Es ist auch denkbar einen Zweit-Virenscanner aus der Eingabeaufforderung zu starten.

Reparaturinstallation

Windows 7 bietet keine direkte Reparaturinstallation an (im Gegensatz zur Windows 8 Funktion „PC auffrischen“). Windows 7 ermöglicht allerdings mit dem Tool „sfc“ ein Prüfprogramm für die wichtigsten Systemdateien der Windows 7 Umgebung durchzuführen. In einer administrativen Eingabeaufforderung kann mit „sfc /scannow“ die Ressourcenvalidierung gestartet werden. Das Ergebnis der Prüfung wird in einer log-Datei (c:\windows\logs\cbs\cbs.log) festgehalten. Falls die Systemreparatur mit „sfc“ nicht erfolgreich ist, kann eine manuelle Inplace Reparaturinstallation mit einem Windows 7 Installationsmedium (mit identischem Service-Pack wie das Produktivsystem, Produkt-Key erforderlich, originale Win7-DVD oder Win7-OEM erforderlich, kein Win7 Systemreparaturdatenträger) durchgeführt werden. Dazu muss in der Produktionsumgebung das Win7 Setup-Programm vom Installationsdatenträger gestartet werden. Danach ist die Installationsart „Upgrade“ zu wählen. Benutzerdaten, Einstellungen und Programme bleiben auf dem Rechner erhalten. Updates müssen neu installiert werden.

Zweitmeinungsvirenscanner: Avira PC Cleaner und Safety Scanner (MS)

AviraLogoDer Avira PC Cleaner ist ein Malware-Scanner der quasi als zweite Meinung zu einem installierten Virenscanner eine Sicherheitsprüfung des Systems durchführen kann. Der PC Cleaner braucht weder eine Installation, Registrierung noch zusätzliche Treiber.

Nach dem Download (am Ende der Seite: „PC Cleaner“, grüner Download-Button) und Start des Scantools entpackt sich der Scanner nach „C:\Users\<Benutzername>\AppData\Local\Temp\cleaner\avwebloader.exe“ automatisch. Im Avira PC Cleaner Fenster kann der Button „System überprüfen“ gedrückt werden und das Tool sucht nun nach Schadsoftware auf dem Rechner. Die aktuelle Version des Tools wird immer aus dem Internet geladen. Der Benutzer kann zwischen einem normalen und einem langsameren vollständigen Scan wählen. Als Ergebnis des Scans werden gefundene Schädlinge angezeigt und die Schadsoftware kann per Knopfdruck entfernt werden.

Mit der Funktion „Auf USB-Gerät kopieren“ kann der Malware-Scanner in Form einer exe-Datei auf einen externen USB-Stick kopiert werden.

Microsoft bietet mit dem Tool Safety Scanner auch eine Ergänzung zu einem bereits installierten Virenscanner an. Das Tool sucht detailliert nach Spyware, Malware, Trojaner und Viren. Nach dem Download kann zwischen einer Schnellanalyse und einer vollständigen bzw. benutzerdef. Analyse gewählt werden. Ein Malwarefund wird berichtet und automatisch entfernt. Der Scanner ist immer bis zu 10 Tage nach dem Download gültig bzw. einsetzbar.