Portabler Malware-Scanner: Emsisoft Emergency Kit 2.0

emsisoftEine schnelle Möglichkeit zur Viren- bzw. Malewaredesinfektion ist das Stickware-basierte Softwareprodukt Emergency Kit 2.0 der Firma Emsisoft. Das ca. 140 MB große Freeware-Softwarepaket kann auf der Homepage von Emsisoft als gezippte Datei heruntergeladen werden (entpackt ca. 160 MB). Die Stickware läßt sich auf einem USB-Stick entpacken (in der zip-Datei die start.exe ausführen) und kann auf einem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können. Die neue Version 2.0 soll ca. 450 Prozent schneller sein als die Vorgängerversion.

Nach dem Entpacken der zip-Datei kann wiederum die Datei „start.exe“ ausgeführt werden. Es stehen nun vier Systemtools zur Auswahl:

  • Emergency Kit Scanner: Malware-Scanner mit grafischer Oberfläche
  • Commandline Scanner: Skriptbasierter Malware-Scanner
  • HiJackFree: Systemanalyse Tool zur manuellen Virenbeseitigung
  • BlitzBlank: Löscht Dateien, Registryeinträge, etc. nach Neustart des Rechners

Der Emergency Kit Scanner durchsucht das Windows-Produktionssystem nach Viren, Trojaner, Spyware, Adware, Würmer, Dialer, Keylogger und allen anderen schädlichen Programmen (inkl. Cookieanalyse). Gefundene Malware kann entweder in Quarantäne verschoben oder endgültig gelöscht werden. Nach dem Start des Scanners wird auf Anfrage automatisch eine Aktualisierung der Virensignaturen (im Ordner ../Run/Signatures) über eine bestehende Internetverbindung durchgeführt. Der Virensignaturupdate kann auch zuvor auf einem anderen System mit Internetverbindung erfolgen.

Der Commandline Scanner enthält die gleichen Funktionen wie der Emergency Kit Scanner; er kommt jedoch ohne grafische Benutzeroberfläche aus. Das Kommandozeilen Tool richtet sich an sysadmins und kann in Skripten integriert werden.

Mit HiJackFree können Sie alle aktiven Prozesse, Treiber, Dienste, Autostarts, Registryeinträge und offene Ports analysieren, kontrollieren und verwalten. Werden z.B. in der aktiven Liste der Prozesse von HiJackFree rote Einträge markiert, dann ist diese rote Markierung ein Hinweis auf einen möglichen schadhaften Prozess. Details im Umgang mit HiJackFree finden Sie hier.

BlitzBlank ist ebenfalls ein Tool für Systemadministratoren. Hartnäckige Maleware-Schädlinge verankern sich immer häufiger tief im System und schützen sich vor einer Löschung im laufenden Windows-Betrieb. BlitzBlank löscht Dateien, Registry-Einträge und Treiber nach einem Rechnerneustart, also noch bevor Windows und andere Programme geladen sind. Als Alternative stehen auch Offline-Notfallumgebungen zur Verfügung, wie sie hier im Blog besprochen werden.

Systemreparatur für Windows 7

Wenn Windows 7 noch startet, aber der Startvorgang ungewöhnlich lange dauert, das System öfters abstürzt, die Windows-Update-Funktion streikt, der Virenscanner sich nicht mehr aktualisieren lässt, etc. das ganze Fehlverhalten irgendwie nicht reproduzierbar ist, dann ist eine systematische Vorgehensweise zur Systemreparatur sinnvoll.

Zunächst sollte versucht werden innerhalb der Windows 7 Produktionsumgebung Benutzerdaten auf einen externen Datenträger zu sichern. Zum Kopieren von Datenstrukturen unter Windows 7 helfen (portable) Dateimanager wie Speed- oder TotalCommander, die ein Kopieren ohne NTFS-Berechtigung ermöglichen. Sind die Benutzerdaten lesbar, kann sich der Systemadministrator erst einmal etwas entspannter zurücklehnen.

Im nächsten Schritt hilft mit „chkdsk c: /f“ ein Blick auf die Systempartition des Betriebssystems. Falls das Ergebnis der Dateisystemanalyse defekte Sektoren aufzeigt, ist eine Imagesicherung der Festplatte/Partition sinnvoll. Viele Knoppix-basierten Bootmedien (oder Parted Magic) beinhalten das Tool „ddrescue <quelle> <ziel> <logfile>“ (entw. von A. Diaz) oder „ntfsclone“, die defekte Sektoren beim Kopieren ignorieren. Quell- und Ziellaufwerk müssen bei Einsatz von ddrescue gleich groß sein. Am besten eignet sich der Einsatz einer zusätzlichen externen USB-Festplatte. Nach dem Klonen der produktiven Festplatte kann in der mit ddrescue / ntfsclone gesicherten Image-Datei eine Analyse der Benutzerdaten erfolgen. Falls die o.g. Sicherung der Benutzerdaten verlustreich war, können nun die Benutzerdaten unter Knoppix auf ein weiteres (externes) Datenmedium zur Analyse gesichert werden (NTFS-Berechtigungen werden unter Linux nicht mitkopiert).

Wenn chkdsk defekte Sektoren aufzeigt, sollte die vorhandene Festplatte nicht mehr zum Einsatz kommen. Ein Kauf einer neuen Festplatte ist sinnvoll; am besten gleich eine SSD-Festplatte beschaffen, die meist mehr Performance verspricht. In vielen Fällen wird die SSD-Festplatte eine geringere Kapazität wie die vorhandene defekte Festplatte haben, was den Einsatz eines Partition-Managers erfordert. Nach Verkleinerung der Partitionen können diese einzeln auf die neue SSD-basierte Festplatte übertragen werden. Mit ein wenig Glück bootet die neu installierte SSD-Festplatte mit Windows 7 und die zusätzlich gesicherten Benutzerdaten können wieder in die ursprünglichen Verzeichnisse zurückkopiert werden.

Falls chkdsk valide Festplattensektoren zurückmeldet, ist der Einsatz eines System File Checkers sinnvoll. Windows 7 bietet mit dem Tool „sfc“ ein Prüfprogramm für die wichtigsten Systemdateien der Windows 7 Umgebung. In einer administrativen Eingabeaufforderung kann mit „sfc /scannow“ die Ressourcenvalidierung durchgeführt werden. Das Ergebnis der Prüfung wird auch in einer log-Datei (c:\windows\logs\cbs\cbs.log) festgehalten. Falls die Systemreparatur mit „sfc“ nicht erfolgreich ist und z.B. im Log „corrupted file“ Einträge auftauchen, hilft eine sog. Inplace Reparaturinstallation mit einem Windows 7 Installationsmedium (mit identischem Service-Pack wie das Produktivsystem, Produkt-Key erforderlich, originale Win7-DVD oder Win7-OEM erforderlich, kein Win7 Systemreparaturdatenträger). Starten Sie dazu in der Produktionsumgebung das Win7 Setup-Programm vom Installationsdatenträger und wählen die Installationsart „Upgrade“ aus. Benutzerdaten, Einstellungen und Programme bleiben auf dem Rechner erhalten. Nach der Reparaturinstallation kann dann nochmals zur Validierung ein „sfc /scannow“ durchgeführt werden.

Das Windows 7 System sollte sich nun wieder starten lassen. Nach erfolgreicher Überprüfung des Virenscanners und der Windows-Update-Funktion kann sich der Systemadministrator einmal auf die Brust klopfen.

Desinfec’t 2012 (****)

desinfectDesinfec’t 2012 liegt der c’t-Ausgabe 9/12 bei, die seit dem 10. April 2012 im Handel verfügbar ist und verwendet nun eine Ubuntu-11.10-Live-DVD Oneirec Ocelot (gute Hardware-Unterstützung) als Unterbau. Die Live-DVD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-DVD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v7.90123
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-DVD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-DVD sondern nach dem Booten der Live-DVD gibt es im Ordner Expertentools die Option “Virensignaturen auf USB-Stick kopieren”. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-DVD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Im ersten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert sehr gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon ”Viren-Scan starten” doppelklicken, die Virenscanner auswählen und die zu scannenden Laufwerke/Verzeichnisse auswählen. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird autom. vorgenommen.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-DVD erkannt und autom. gemountet.

Als Zusatzfunktion integriert Desinfec’t 2012 die Option, das System per Expertentool „Bootfähigen USB-Stick mit Desinfec’t erzeugen“ auf ein USB-Stick zu übertragen. Vor der Generierung eines 4GB USB-Sticks sollte mit GParted drei etwa gleich große fat32 Partitionen angelegt werden. Auf die zweite Partition wird per Skript die Desinfec’t-Umgebung installiert. Diese zweite Partition muss mit den Markierungen „boot“ und „lba“ versehen sein.

Neben dem Firefox Browser 11.0 befinden sich folgende weitere Expertentools auf der DVD:

  • Ukash-/BKA-Trojaner aufspüren
  • Partitionen oder Platten klonen mit ddrescue
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Platten löschen mit dc3dd
  • Umbenennungen rückgängig machen
  • Virensignaturen auf USB-Stick kopieren
  • GParted 0.8.1

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Microsoft Standalone System Sweeper Tool

microsoftMicrosoft stellt eine Beta-Version des Malewarescanners Standalone System Sweeper Tool als Live-CD/Stick zum Download (ca. 205 MB, 32/64-bit) bereit. Die auf Windows PE basierende Live-CD/Stick verwendet die Microsoft-eigene AV-Engine, die auch beim Virenscan-Produkt Microsoft Security Essentials (MSE) zum Einsatz kommt. Der Download erfolgt über ein spezielles 1 MByte großes Tool, welches die aktuelle Version des System Sweepers und die aktuellen Signaturdateien als iso-Image fertig zur Verfügung stellt (ähnlich dem Avira AntiVir Rescue System). Das iso-Image kann mit dem Tool auf eine CD/DVD gebrannt werden oder alternativ auf einen bootbaren USB-Stick zum Einsatz kommen.

Nachdem Sie mit der CD/Stick den Rechner gebootet haben, scannt das Tool automatisch alle erkannten Laufwerke. Erkennt das Tool einen Virus, Maleware, Spyware oder etc. können Sie wählen wie Sie mit der Maleware-Erkennung umgehen wollen (clean system, remove, quarantine, clean, allow). Die PE Umgebung bietet neben dem Virenscan keine weiteren Funktionen an. Mit einer bestehenen Boot-CD/Stick können allerdings aktualisierte Virensignaturen auf einem USB-Stick eingebunden werden, um nicht bei jedem neuen Scan eine neue CD brennen zu müssen. Praktisch ist auch die Option, die Live-CD als iso-Datei schreiben zu lassen.

Ob Sie die 32-bit oder 64-bit Version des Tools zum Einsatz bringen wollen, ist abhängig von der Windows-Umgebung, welche Sie scannen wollen (und nicht von der Windows-Version auf welcher Sie die Live-CD erstellen).

Neue Notfall-DVD der PC-Welt

pcweltMit Heft 11/2011 stellt die Redaktion der PC-Welt eine spezielle Notfall-DVD zur Verfügung. Das Rettungsmedium beinhaltet folgende drei Systeme:

  • PC-Welt Notfall-DVD (basiert auf Knoppix 6.7 Live GNU/Linux)
  • Parted Magic 6.6
  • Extras und Tools (Memtest, HDT, Super Grub, MHDD, Plop Bootmanager)

Die angepasste Knoppix 6.7 Umgebung mit Linux Kernel 2.6.39.3 beinhaltet mehrere Analysetools für Festplatten. Zur Restauration von Laufwerken und Partitionen können die Tools „TestDisk“ und „PhotoRec“ in der Version 6.11 helfen. In der Notfall-Umgebung steht neben einem Tool zur Zurücksetzung von Windows-Kennwörtern auch die Wiederherstellungskonsole für Windows XP zur Verfügung (Details hier im Blog).

Die Parted Magic Umgebung beinhaltet ein interessantes Intel-Tool zum Funktionstest eines Prozessors. Mit dem „System Stability Tester“ kann ein Prozessor durch Berechnung der Zahl PI auf Volllast getrieben werden. Wählen Sie dazu aus dem Startmenü „System Tools“ den Eintrag „System Stability Tester“ aus. Ganz oben im Tool können Sie die Anzahl der Nachkommastellen der Zahl PI definieren (Standard 128k). Neben „Threads“ können Sie die Anzahl der parallelen Prozesse einstellen. Für einen Volllastbetrieb kann hier „32“ (Prozesse) eingestellt werden. Mit Klick auf den Run-Button beginnt der Rechenprozeß. Erscheint am Ende der Prozessorvalidierung das Ergebnis „Borwein Passed“  scheint der Prozessor in Ordnung zu sein. Für eine stärkere Belastungsanalyse können höhere Nachkommastellen für die Zahl PI ausgewählt werden. Liefert der Prozessor auch bei einer sehr hohen Anzahl der Nachkommastellen das Ergebnis „Borwein Passed“, hat der Prozessor den Betastungstest bestanden.

Für die Analyse einer Festplatte steht das Tool Gsmartcontrol zur Verfügung. Gsmartcontrol starten Sie mit Klick auf „Disk Health“. Nach Auswahl der Festplatte können Sie mit „Perform Test“ und dem Execute-Button den Test beginnen. Im Register „Attributes“ werden die SMART-Parameter der Festplatte angezeigt. Die Bedeutung der SMART-Parameter wurden hier im Blog schon besprochen.

Unter dem Eintrag „Extras und Tools“ steht Memtest86+ 4.10, Hardware Detection Tool (HDT), Super Grub Disk1, Super Grub Disk 2, MHDD 4.6 (Festplattendiagnose) und der Plop Bootmanager zur Verfügung.