Desinfec’t 2018 (****)

Das Desinfec’t Projekt wird seit 15 Jahren von der c’t publiziert. Einmal jährlich aktualisiert die Zeitschrift Ihre Antivirenumgebung Desinfec´t. Das aktuelle Live-System liegt der c’t-Ausgabe 12/18 bei. Desinfec’t 2018 basiert auf Ubuntu 16.0.4 LTS. Als Kernel kommt 4.13.x mit aktuellem HWE zum Einsatz. Somit ist Desinfec’t beim Kernel gleichauf mit Ubuntu 17.10. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • Eset
  • F-Secure
  • Sophos

Im Bootmenü Easy-Scan kommt nur der Virenscanner von Avira zum Einsatz. Gescannt werden Rechner mit BIOS und UEFI Boot-Modus.

Es ist u.a. aus Performancen-Gründen sinnvoll einen bootfähigen USB-Stick zu erstellen. Zur Erstellung eines USB-Sticks mit mind. 16 GByte Speicher steht auf der DVD die Windows-Anwendung „Desinfect2USB_64_Bit“ zur Verfügung (eine entspr. Anwendung gibt es auch für ein 32-bit Windows). Der USB-Stick kann sowohl unter Windows als auch aus dem Live-System heraus erstellt werden. Der Einsatz eines USB-Sticks ist auch deshalb sinnvoll, da hier z.B. für Scans mehrerer Rechner die Virensignaturdateien dauerhaft abgelegt werden können. Der USB-Stick sollte nicht als Wechseldatenträger erkannt werden, sonst gibt es Schwierigkeiten bei der Erstellung des Live-Systems.

Nach dem Booten der Live-Umgebung (nicht Easy-Scan) kann mit dem Icon „Viren-Scan starten“ eine Auswahl der oben genannten vier Virenscanner aktiviert werden. Die Windows-Laufwerke werden jetzt in der 2018 Version automatisch ausgewählt (im Zweifel Icon „Alle Windows-Laufwerke nur lesbar einbinden“ drücken). Es ist möglich nur einzelne Ordner für den Scan auszuwählen. Wenn die Live-Umgebung mit dem Internet verbunden ist, werden die Aktualisierungen der Virensignaturen automatisch durchgeführt. Bei Virenfund-Meldungen können verdächtige Dateien auf VirusTotal hochgeladen werden. Falls die Hinweise (zusätzliche Firefox-Links) auf Schad-SW deuten, kann per „Umbenennen“ die Datei mit der Endung .VIRUS ergänzt werden. Zuvor kommt eine Abfrage, ob auf das jeweilige Windows-Laufwerk geschrieben werden darf.

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit photorec
  • Teamviewer zur Fernwartung

Weitere c’t Artikel beschreiben Notfallmaßnahmen, die mit dem Live-System durchgeführt werden können:

c’t 2018 Heft 13: Datenzugriff auf eine Windows-Umgebung (mit Desinfec’t Explorer), vergessenes Windows-Kennwort zurücksetzen (mit chntpw), Profilverzeichnisse bereinigen, bootfähige Installationssticks für Windows erstellen (mit woeusb)

c’t 2018 Heft 14: Fragen und Antworten zu Desinfec’t (veraltete Signaturen, Kopieren von Dateien im Netz, weitere Hilfe, etc.)

c’t 2018 Heft 15: Fotos und Dateien retten (mit smartctl, ddrescue, ntfsclone, kpartx, photorec und foremost)

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

Desinfec’t 2014 (****)

desinfectEinmal jährlich aktualisiert die Zeitschrift c´t Ihre Antivirenumgebung Desinfec´t. Desinfec’t 2014 liegt der c’t-Ausgabe 12/14 bei, die seit dem 19. Mai 2014 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.0.4.4 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2014 wieder einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • BitDefender AntiVirus
  • Kaspersky Anti-Virus
  • ClamAV (fällt durch häufige Fehlalarme auf)

Neu in der Version 2014 ist die Unterstützung vom BIOS und UEFI Boot-Modus. Erscheint beim Booten ein farbiger Bildschirm mit Logo, hat das BIOS seine Arbeit verrichtet. Bei UEFI-Unterstützung erscheint ein weißer Kasten mit testbasiertem Auswahlmenü.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Es ist u.a. aus Performancen-Gründen sinnvoll nach dem Start der DVD gleich einen bootfähigen USB-Stick zu erstellen. Per Mausklick können nicht nur die Virensignaturen sondern auch das gesamte Rettungssystem auf einem USB-Stick abgelegt werden. Zur Erstellung eines USB-Sticks mit mind. 4 GByte Speicher steht auf der Live-DVD das Tool “Bootfähigen USB-Stick mit desinfec’t erzeugen” zur Verfügung. Der Einsatz des USB-Sticks ist auch in Verbindung mit der DVD sinnvoll, da die Virensignaturdateien standardmäßig auf einem erkannten USB-Stick abgelegt werden.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per “Virenscan starten” durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Standardmäßig werden alle angeschlossenen Laufwerke unter /media gescannt. Der Virenscan lässt sich auf Unterverzeichnisse eingrenzen. Archive und Mailboxen werden nicht gescannt, da sie im Regelfall keinen direkten Schaden anrichten können.

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge kann in der Version 2014 ein Upload zu einem Online-Scan-Dienst wie Virustotal.com durchgeführt werden. Die voreingestellte Favoritenleiste des Firefox bietet weitere Links zu Online-Scan-Diensten an.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um “VIRUS” ergänzt. Zuvor wird von Desinfec´t der Schreibmodus auf das betroffene Laufwerk angeboten. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort “desinfect” zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

Neu in Version 2014 ist auch ein Info-Fenster am oberen rechten Rand des Bildschirms. Auf einen Blick ist im Info-Fenster erkennbar, welchen Stand die erkannten Virensignaturen haben und wie die Systemressourcen ausgelastet sind.

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

Desinfec’t 2013 (****)

desinfectDesinfec’t 2013 liegt der c’t-Ausgabe 10/13 bei, die seit dem 22. April 2013 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.04.02 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2013 einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec’t-Forum bei heise.de.

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir (als Standard)
  • BitDefender AntiVirus (als Standard)
  • Kaspersky Anti-Virus
  • ClamAV

Mit der Version 2013 ist es quasi per Mausklick möglich, nicht nur die Virensignaturen auf einem USB-Stick zu kopieren, sondern das gesamte Rettungssystem mit aktualisierten Signaturdateien auf einem USB-Stick abzulegen. Zur Erstellung eines USB-Sticks mit mind. 4 GB steht auf der Live-DVD das Tool „Bootfähigen USB-Stick mit desinfec’t erzeugen“ zur Verfügung. Der Einsatz des USB-Sticks ist die schnellste Methode für den Virenscan.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Der bevorzugte Weg ist die Erstellung eines bootfähigen USB-Sticks, welcher sehr einfach über das Icon „Bootfähigen USB-Stick … “ zu erzeugen ist. Achtung: Ein auf dem Rechner eingesteckter Stick (mind. 4 GB) wird nach Erkennung und einer Sicherheitsabfrage komplett neu partitioniert und überschrieben. Die Virensignaturen werden in einer eigenen speziellen Partition abgelegt, welche auch von der Live-DVD erkannt bzw. verwendet werden kann.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per „Virenscan starten“ durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Der Scan lässt sich auf Unterverzeichnisse eingrenzen. Voreingestellt sind die beiden Virenscanner Avira und Bitdefender (Kaspersky hat wohl öfters Probleme mit gepackten Dateien, ClamAV neigt zu Fehlalarmen).

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und  ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge stehen per Bookmark-Leiste (Virustotal.com, Sandbox-Systeme, etc.) weitere Informationsquellen zur Verfügung.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um „VIRUS“ ergänzt. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort „desinfect“ zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser 19.0.2 befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor
  • Kaspersky Windows Unlocker
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 2012 (****)

desinfectDesinfec’t 2012 liegt der c’t-Ausgabe 9/12 bei, die seit dem 10. April 2012 im Handel verfügbar ist und verwendet nun eine Ubuntu-11.10-Live-DVD Oneirec Ocelot (gute Hardware-Unterstützung) als Unterbau. Die Live-DVD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-DVD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v7.90123
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-DVD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-DVD sondern nach dem Booten der Live-DVD gibt es im Ordner Expertentools die Option “Virensignaturen auf USB-Stick kopieren”. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-DVD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Im ersten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert sehr gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon ”Viren-Scan starten” doppelklicken, die Virenscanner auswählen und die zu scannenden Laufwerke/Verzeichnisse auswählen. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird autom. vorgenommen.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-DVD erkannt und autom. gemountet.

Als Zusatzfunktion integriert Desinfec’t 2012 die Option, das System per Expertentool „Bootfähigen USB-Stick mit Desinfec’t erzeugen“ auf ein USB-Stick zu übertragen. Vor der Generierung eines 4GB USB-Sticks sollte mit GParted drei etwa gleich große fat32 Partitionen angelegt werden. Auf die zweite Partition wird per Skript die Desinfec’t-Umgebung installiert. Diese zweite Partition muss mit den Markierungen „boot“ und „lba“ versehen sein.

Neben dem Firefox Browser 11.0 befinden sich folgende weitere Expertentools auf der DVD:

  • Ukash-/BKA-Trojaner aufspüren
  • Partitionen oder Platten klonen mit ddrescue
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Platten löschen mit dc3dd
  • Umbenennungen rückgängig machen
  • Virensignaturen auf USB-Stick kopieren
  • GParted 0.8.1

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 2011 (***)

Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 im Handel verfügbar ist und verwendet nun eine Ubuntu-10.10-Live-CD (gute Hardware-Unterstützung) als Unterbau. Die Live-CD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-CD bietet in der 2011er Version sogar vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v2.1 11.0.0.26
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV
  • Firefox Browser 3.6.15
  • Tool zum Zurücksetzen von Windows XP/Vista/7-Passwörtern (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • dc3dd – unwiderrufliches Löschen der Festplatte
  • ddrescue – Partitionen und Festplatten klonen
  • PhotoRec
  • GParted 0.6.2
  • GNOME 2.32.0, Portscanner, Terminal

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-CD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-CD sondern nach dem Booten der Live-CD gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-CD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Es ist bei dieser Distribution zu empfehlen zuerst die Maus zu bändigen bevor weitere Aktivitäten stattfinden. Über System/Einstellungen/Maus ist die Bewegungsfreiheit der Maus eingrenzbar.

Im nächsten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert genauso gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon „Desinfec’t starten“ doppelklicken und das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden PCs wird autom. vorgenommen. Bei Auswahl „FAT- und NTFS Partition autom. einbinden“ werden die Patitionen der Festplatte im Nur-Lesen-Modus ins Ubuntu Dateisystem eingehängt (gemountet). Bei Auswahl der Alternative „Laufwerke jetzt manuell einbinden“ werden die Partitionen schreibbar gemountet. Im letzten Schritt können ein oder mehrere Virenscanner ausgewählt werden.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-CD erkannt und autom. gemountet.

Download der Vorgängerversion: Knoppicillin 6.0.2

Als experimentelle Zusatzfunktion integriert Desinfec’t erstmals die Option, das System bootfähig auf ein USB-Stick zu übertragen.

(***) Klare Empfehlung für Virenscan per Live-CD: Vierfacher Virenscan bei guter Hardware-Unterstützung mit WLAN-Integration.