Desinfec’t 2014 (****)

desinfectEinmal jährlich aktualisiert die Zeitschrift c´t Ihre Antivirenumgebung Desinfec´t. Desinfec’t 2014 liegt der c’t-Ausgabe 12/14 bei, die seit dem 19. Mai 2014 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.0.4.4 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2014 wieder einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • BitDefender AntiVirus
  • Kaspersky Anti-Virus
  • ClamAV (fällt durch häufige Fehlalarme auf)

Neu in der Version 2014 ist die Unterstützung vom BIOS und UEFI Boot-Modus. Erscheint beim Booten ein farbiger Bildschirm mit Logo, hat das BIOS seine Arbeit verrichtet. Bei UEFI-Unterstützung erscheint ein weißer Kasten mit testbasiertem Auswahlmenü.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Es ist u.a. aus Performancen-Gründen sinnvoll nach dem Start der DVD gleich einen bootfähigen USB-Stick zu erstellen. Per Mausklick können nicht nur die Virensignaturen sondern auch das gesamte Rettungssystem auf einem USB-Stick abgelegt werden. Zur Erstellung eines USB-Sticks mit mind. 4 GByte Speicher steht auf der Live-DVD das Tool “Bootfähigen USB-Stick mit desinfec’t erzeugen” zur Verfügung. Der Einsatz des USB-Sticks ist auch in Verbindung mit der DVD sinnvoll, da die Virensignaturdateien standardmäßig auf einem erkannten USB-Stick abgelegt werden.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per “Virenscan starten” durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Standardmäßig werden alle angeschlossenen Laufwerke unter /media gescannt. Der Virenscan lässt sich auf Unterverzeichnisse eingrenzen. Archive und Mailboxen werden nicht gescannt, da sie im Regelfall keinen direkten Schaden anrichten können.

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge kann in der Version 2014 ein Upload zu einem Online-Scan-Dienst wie Virustotal.com durchgeführt werden. Die voreingestellte Favoritenleiste des Firefox bietet weitere Links zu Online-Scan-Diensten an.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um “VIRUS” ergänzt. Zuvor wird von Desinfec´t der Schreibmodus auf das betroffene Laufwerk angeboten. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort “desinfect” zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

Neu in Version 2014 ist auch ein Info-Fenster am oberen rechten Rand des Bildschirms. Auf einen Blick ist im Info-Fenster erkennbar, welchen Stand die erkannten Virensignaturen haben und wie die Systemressourcen ausgelastet sind.

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

Desinfec’t 2013 (****)

desinfectDesinfec’t 2013 liegt der c’t-Ausgabe 10/13 bei, die seit dem 22. April 2013 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.04.02 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2013 einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec’t-Forum bei heise.de.

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir (als Standard)
  • BitDefender AntiVirus (als Standard)
  • Kaspersky Anti-Virus
  • ClamAV

Mit der Version 2013 ist es quasi per Mausklick möglich, nicht nur die Virensignaturen auf einem USB-Stick zu kopieren, sondern das gesamte Rettungssystem mit aktualisierten Signaturdateien auf einem USB-Stick abzulegen. Zur Erstellung eines USB-Sticks mit mind. 4 GB steht auf der Live-DVD das Tool „Bootfähigen USB-Stick mit desinfec’t erzeugen“ zur Verfügung. Der Einsatz des USB-Sticks ist die schnellste Methode für den Virenscan.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Der bevorzugte Weg ist die Erstellung eines bootfähigen USB-Sticks, welcher sehr einfach über das Icon „Bootfähigen USB-Stick … “ zu erzeugen ist. Achtung: Ein auf dem Rechner eingesteckter Stick (mind. 4 GB) wird nach Erkennung und einer Sicherheitsabfrage komplett neu partitioniert und überschrieben. Die Virensignaturen werden in einer eigenen speziellen Partition abgelegt, welche auch von der Live-DVD erkannt bzw. verwendet werden kann.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per „Virenscan starten“ durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Der Scan lässt sich auf Unterverzeichnisse eingrenzen. Voreingestellt sind die beiden Virenscanner Avira und Bitdefender (Kaspersky hat wohl öfters Probleme mit gepackten Dateien, ClamAV neigt zu Fehlalarmen).

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und  ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge stehen per Bookmark-Leiste (Virustotal.com, Sandbox-Systeme, etc.) weitere Informationsquellen zur Verfügung.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um „VIRUS“ ergänzt. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort „desinfect“ zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser 19.0.2 befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor
  • Kaspersky Windows Unlocker
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 2012 (****)

desinfectDesinfec’t 2012 liegt der c’t-Ausgabe 9/12 bei, die seit dem 10. April 2012 im Handel verfügbar ist und verwendet nun eine Ubuntu-11.10-Live-DVD Oneirec Ocelot (gute Hardware-Unterstützung) als Unterbau. Die Live-DVD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-DVD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v7.90123
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-DVD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-DVD sondern nach dem Booten der Live-DVD gibt es im Ordner Expertentools die Option “Virensignaturen auf USB-Stick kopieren”. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-DVD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Im ersten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert sehr gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon ”Viren-Scan starten” doppelklicken, die Virenscanner auswählen und die zu scannenden Laufwerke/Verzeichnisse auswählen. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird autom. vorgenommen.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-DVD erkannt und autom. gemountet.

Als Zusatzfunktion integriert Desinfec’t 2012 die Option, das System per Expertentool „Bootfähigen USB-Stick mit Desinfec’t erzeugen“ auf ein USB-Stick zu übertragen. Vor der Generierung eines 4GB USB-Sticks sollte mit GParted drei etwa gleich große fat32 Partitionen angelegt werden. Auf die zweite Partition wird per Skript die Desinfec’t-Umgebung installiert. Diese zweite Partition muss mit den Markierungen „boot“ und „lba“ versehen sein.

Neben dem Firefox Browser 11.0 befinden sich folgende weitere Expertentools auf der DVD:

  • Ukash-/BKA-Trojaner aufspüren
  • Partitionen oder Platten klonen mit ddrescue
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Platten löschen mit dc3dd
  • Umbenennungen rückgängig machen
  • Virensignaturen auf USB-Stick kopieren
  • GParted 0.8.1

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 2011 (***)

Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 im Handel verfügbar ist und verwendet nun eine Ubuntu-10.10-Live-CD (gute Hardware-Unterstützung) als Unterbau. Die Live-CD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-CD bietet in der 2011er Version sogar vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v2.1 11.0.0.26
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV
  • Firefox Browser 3.6.15
  • Tool zum Zurücksetzen von Windows XP/Vista/7-Passwörtern (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • dc3dd – unwiderrufliches Löschen der Festplatte
  • ddrescue – Partitionen und Festplatten klonen
  • PhotoRec
  • GParted 0.6.2
  • GNOME 2.32.0, Portscanner, Terminal

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-CD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-CD sondern nach dem Booten der Live-CD gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-CD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Es ist bei dieser Distribution zu empfehlen zuerst die Maus zu bändigen bevor weitere Aktivitäten stattfinden. Über System/Einstellungen/Maus ist die Bewegungsfreiheit der Maus eingrenzbar.

Im nächsten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert genauso gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon „Desinfec’t starten“ doppelklicken und das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden PCs wird autom. vorgenommen. Bei Auswahl „FAT- und NTFS Partition autom. einbinden“ werden die Patitionen der Festplatte im Nur-Lesen-Modus ins Ubuntu Dateisystem eingehängt (gemountet). Bei Auswahl der Alternative „Laufwerke jetzt manuell einbinden“ werden die Partitionen schreibbar gemountet. Im letzten Schritt können ein oder mehrere Virenscanner ausgewählt werden.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-CD erkannt und autom. gemountet.

Download der Vorgängerversion: Knoppicillin 6.0.2

Als experimentelle Zusatzfunktion integriert Desinfec’t erstmals die Option, das System bootfähig auf ein USB-Stick zu übertragen.

(***) Klare Empfehlung für Virenscan per Live-CD: Vierfacher Virenscan bei guter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 8

Desinfec’t 8 (Nachfolger des textbasierten Knoppicillin) ist eine Live-CD basierend auf einem Fedora-12-Remix mit grafischer Benutzeroberfläche. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Desinfec’t 8 wird mit der c’t Ausgabe 02/10 am 4.1.10 zur Verfügung gestellt. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de. Die Live-CD enthält u.a. wieder drei Virenscanner:

  • Linux Kernel 2.6.31.6
  • Avira AntiVir 3.0.5
  • BitDefender AntiVirus 7.90123
  • Kaspersky Anti-Virus 5.7.20
  • Desktop-Umgebung Gnome 2.28.1
  • Firefox 3.5.5
  • Brennprogramm Brasero 2.28.2

Wie schon bei der Knoppicillin Live-CD steht auch auf der Desinfec’t Live-CD ein Updater für die Virensignaturen zur Verfügung. Der Updater „kncupdater.exe“ befindet sich im Verzeichnis “LIVEOS”. Nach dem Start des Updaters muss man die Signaturen direkt auf einem Laufwerk oder einem USB-Stick in einem Ordner namens „d8update“ ablegen. Leider bleibt der Updater beim Akualisieren der Kaspersky Signaturen hängen. Die beiden anderen Virenscanner werden aktualisiert und auch nach dem Reboot von der Live-CD erkannt. Starten Sie dazu die Desinfec’t Live-CD und wählen den zweiten Bootmenü-Eintrag „HD-Update“. Der Menüpunkt zum Einspielen von lokalen Signaturdateien befindet sich im Desinfec’t-GUI-Hauptmenü unter „Updates“. Bei meinem Test habe ich den Menüeintrag nicht gefunden.

Bei Auswahl „Desinfec’t starten“ wird nach dem Hochfahren die Einrichtung einer Netzwerkkonfiguration (NetworkManager) ermöglicht. Ein ETH-Kabel ist hilfreich, die WLAN-Erkennung funktioniert nicht bei neuerer Hardware.

Die Live-CD bietet auch Startoptionen im Failsafe-Modus (Problemhardware) und ist geeignet für den Einsatz von alternativen Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Suchmodus: intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche

Desinfektionsmodus: Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt. Angeschlossene USB-Sticks werden von der Live-CD erkannt.

Download der Vorgängerversion: Knoppicillin 6.0.2

Das Knoppicillin-Nachfolgeprodukt “Desinfec’t” ist in der Version 8 auf der Software-Kollektion-CD 1 im c’t-Heft 02/10 enthalten. Aufgrund von Lizenzvereinbarungen mit den Herstellern kann es jedoch nicht als Download-Version online angeboten werden, ebenso wie die Knoppicillin-Version 7. In beiden Fällen muss man auf die CD-Version in den jeweiligen Heften zurückgreifen.

Zu Desinfec’t 8 gibt es im entspr. Forum eine Vielzahl von Fehlerhinweisen. Die Nachfolgeversion Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 verfügbar ist. Version 2011 verwendet eine Ubuntu-10.10-Live-CD als Unterbau und läuft wesentlich stabiler.

Noch ein Hinweis: Ein Fehler im Programmablauf verhindert, dass die HD-Updates automatisch eingespielt werden. Starten Sie zur Umgehung des Problems Desinfec’t ganz normal, wählen Sie „Virensuche mit Desinfec’t“ und übergehen Sie die Fehlermeldung zu fehlenden Updates, sodass Sie ins Schnellstartmenü gelangen. Wählen Sie Dort „Menü“, „Updates“, „Lokal“ und in der Liste das Laufwerk, auf dem das d8update-Verzeichnis liegt.