Archiv für den Monat: Juli 2012

Away Vir 2.0 der Firma Langmeier Software GmbH

Veröffentlicht am von
Antworten

awayvirLaut Hersteller ist Away Vir 2.0 ein portables und kostenloses Säuberungstool, welches 98 Prozent der gängigen Malware-Produkte deaktivieren kann, so dass die Schadprogramme keine Risiken mehr für den PC darstellen. In einem zweiten Schritt kann ein herkömmliches Antiviren-Programm die bekannten und nun inaktiven Schadprogramme von der Festplatte löschen. Der Hersteller empfiehlt das Freeware-Tool im abgesicherten Modus (F8 Taste drücken beim Windows-Start) auf einem USB-Stick zu starten.

Das einfach gestaltete Tool kann auf einem USB-Stick mit Doppelklick auf die Datei „awayvir.exe“ gestartet werden. Nun den Button Viren-Säuberung drücken. Der Rechner bootet nun mindestens zweimal und stellt danach eine Liste der deaktivierten Autostart-Programme zusammen. Per Mausklick lassen sich die deaktivierten Programme wieder aktivieren, so dass die SW-Produkte beim nächsten Reboot wieder automatisch starten können.

Das Säuberungstool geht bei der Deaktivierung eher großzügig vor. Einige Systemtreiber, VMware-Dienste, etc. werden vom Säuberungstool zunächst einmal deaktiviert. In einem Protokoll läßt sich auch zu einem späteren Zeitpunkt nachvollziehen, welche SW-Produkte deaktiviert wurden. Das Tool beschäftigt sich eigentlich nur mit der Deaktivierung von Autostart-Einträgen, kümmert sich allerdings nicht um die Beseitigung der Schadsoftware.

Portabler Malware-Scanner: Emsisoft Emergency Kit 2.0

Veröffentlicht am von
Antworten

emsisoftEine schnelle Möglichkeit zur Viren- bzw. Malewaredesinfektion ist das Stickware-basierte Softwareprodukt Emergency Kit 2.0 der Firma Emsisoft. Das ca. 140 MB große Freeware-Softwarepaket kann auf der Homepage von Emsisoft als gezippte Datei heruntergeladen werden (entpackt ca. 160 MB). Die Stickware läßt sich auf einem USB-Stick entpacken (in der zip-Datei die start.exe ausführen) und kann auf einem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können. Die neue Version 2.0 soll ca. 450 Prozent schneller sein als die Vorgängerversion.

Nach dem Entpacken der zip-Datei kann wiederum die Datei „start.exe“ ausgeführt werden. Es stehen nun vier Systemtools zur Auswahl:

  • Emergency Kit Scanner: Malware-Scanner mit grafischer Oberfläche
  • Commandline Scanner: Skriptbasierter Malware-Scanner
  • HiJackFree: Systemanalyse Tool zur manuellen Virenbeseitigung
  • BlitzBlank: Löscht Dateien, Registryeinträge, etc. nach Neustart des Rechners

Der Emergency Kit Scanner durchsucht das Windows-Produktionssystem nach Viren, Trojaner, Spyware, Adware, Würmer, Dialer, Keylogger und allen anderen schädlichen Programmen (inkl. Cookieanalyse). Gefundene Malware kann entweder in Quarantäne verschoben oder endgültig gelöscht werden. Nach dem Start des Scanners wird auf Anfrage automatisch eine Aktualisierung der Virensignaturen (im Ordner ../Run/Signatures) über eine bestehende Internetverbindung durchgeführt. Der Virensignaturupdate kann auch zuvor auf einem anderen System mit Internetverbindung erfolgen.

Der Commandline Scanner enthält die gleichen Funktionen wie der Emergency Kit Scanner; er kommt jedoch ohne grafische Benutzeroberfläche aus. Das Kommandozeilen Tool richtet sich an sysadmins und kann in Skripten integriert werden.

Mit HiJackFree können Sie alle aktiven Prozesse, Treiber, Dienste, Autostarts, Registryeinträge und offene Ports analysieren, kontrollieren und verwalten. Werden z.B. in der aktiven Liste der Prozesse von HiJackFree rote Einträge markiert, dann ist diese rote Markierung ein Hinweis auf einen möglichen schadhaften Prozess. Details im Umgang mit HiJackFree finden Sie hier.

BlitzBlank ist ebenfalls ein Tool für Systemadministratoren. Hartnäckige Maleware-Schädlinge verankern sich immer häufiger tief im System und schützen sich vor einer Löschung im laufenden Windows-Betrieb. BlitzBlank löscht Dateien, Registry-Einträge und Treiber nach einem Rechnerneustart, also noch bevor Windows und andere Programme geladen sind. Als Alternative stehen auch Offline-Notfallumgebungen zur Verfügung, wie sie hier im Blog besprochen werden.

Systemreparatur für Windows 7

Veröffentlicht am von

Wenn Windows 7 noch startet, aber der Startvorgang ungewöhnlich lange dauert, das System öfters abstürzt, die Windows-Update-Funktion streikt, der Virenscanner sich nicht mehr aktualisieren lässt, etc. das ganze Fehlverhalten irgendwie nicht reproduzierbar ist, dann ist eine systematische Vorgehensweise zur Systemreparatur sinnvoll.

Zunächst sollte versucht werden innerhalb der Windows 7 Produktionsumgebung Benutzerdaten auf einen externen Datenträger zu sichern. Zum Kopieren von Datenstrukturen unter Windows 7 helfen (portable) Dateimanager wie Speed- oder TotalCommander, die ein Kopieren ohne NTFS-Berechtigung ermöglichen. Sind die Benutzerdaten lesbar, kann sich der Systemadministrator erst einmal etwas entspannter zurücklehnen.

Im nächsten Schritt hilft mit „chkdsk c: /f“ ein Blick auf die Systempartition des Betriebssystems. Falls das Ergebnis der Dateisystemanalyse defekte Sektoren aufzeigt, ist eine Imagesicherung der Festplatte/Partition sinnvoll. Viele Knoppix-basierten Bootmedien (oder Parted Magic) beinhalten das Tool „ddrescue <quelle> <ziel> <logfile>“ (entw. von A. Diaz) oder „ntfsclone“, die defekte Sektoren beim Kopieren ignorieren. Quell- und Ziellaufwerk müssen bei Einsatz von ddrescue gleich groß sein. Am besten eignet sich der Einsatz einer zusätzlichen externen USB-Festplatte. Nach dem Klonen der produktiven Festplatte kann in der mit ddrescue / ntfsclone gesicherten Image-Datei eine Analyse der Benutzerdaten erfolgen. Falls die o.g. Sicherung der Benutzerdaten verlustreich war, können nun die Benutzerdaten unter Knoppix auf ein weiteres (externes) Datenmedium zur Analyse gesichert werden (NTFS-Berechtigungen werden unter Linux nicht mitkopiert).

Wenn chkdsk defekte Sektoren aufzeigt, sollte die vorhandene Festplatte nicht mehr zum Einsatz kommen. Ein Kauf einer neuen Festplatte ist sinnvoll; am besten gleich eine SSD-Festplatte beschaffen, die meist mehr Performance verspricht. In vielen Fällen wird die SSD-Festplatte eine geringere Kapazität wie die vorhandene defekte Festplatte haben, was den Einsatz eines Partition-Managers erfordert. Nach Verkleinerung der Partitionen können diese einzeln auf die neue SSD-basierte Festplatte übertragen werden. Mit ein wenig Glück bootet die neu installierte SSD-Festplatte mit Windows 7 und die zusätzlich gesicherten Benutzerdaten können wieder in die ursprünglichen Verzeichnisse zurückkopiert werden.

Falls chkdsk valide Festplattensektoren zurückmeldet, ist der Einsatz eines System File Checkers sinnvoll. Windows 7 bietet mit dem Tool „sfc“ ein Prüfprogramm für die wichtigsten Systemdateien der Windows 7 Umgebung. In einer administrativen Eingabeaufforderung kann mit „sfc /scannow“ die Ressourcenvalidierung durchgeführt werden. Das Ergebnis der Prüfung wird auch in einer log-Datei (c:\windows\logs\cbs\cbs.log) festgehalten. Falls die Systemreparatur mit „sfc“ nicht erfolgreich ist und z.B. im Log „corrupted file“ Einträge auftauchen, hilft eine sog. Inplace Reparaturinstallation mit einem Windows 7 Installationsmedium (mit identischem Service-Pack wie das Produktivsystem, Produkt-Key erforderlich, originale Win7-DVD oder Win7-OEM erforderlich, kein Win7 Systemreparaturdatenträger). Starten Sie dazu in der Produktionsumgebung das Win7 Setup-Programm vom Installationsdatenträger und wählen die Installationsart „Upgrade“ aus. Benutzerdaten, Einstellungen und Programme bleiben auf dem Rechner erhalten. Nach der Reparaturinstallation kann dann nochmals zur Validierung ein „sfc /scannow“ durchgeführt werden.

Das Windows 7 System sollte sich nun wieder starten lassen. Nach erfolgreicher Überprüfung des Virenscanners und der Windows-Update-Funktion kann sich der Systemadministrator einmal auf die Brust klopfen.