Archiv für den Monat: September 2012

Kaspersky Rescue Disk 10

Veröffentlicht am von
Antworten

kasperskyDie Kaspersky Rescue Disk Version 10.0.31.4 basiert auf einem Gentoo-Linux System mit einer Windows-ähnlichen graphischen Benutzeroberfläche. Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder eine (offline) Virenüberprüfung (inkl. Ransomware) des PCs durchzuführen. Das Rescue System kommt mit unterschiedlicher Hardware (VESA-kompatible Grafikkarte) gut zurecht. Im Textmodus bootet die Textoberfläche in Form des Konsolen-basierten Dateimanagers Midnight Commander.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. Die Kaspersky Rescue Disk kann z.B. auch per SARDU auf einem USB-Stick abgelegt werden. Ebenso ist möglich die Rescue Disk 10 mit dem Tool Kaspersky USB Rescue Disk Maker (rescue2usb.exe) auch auf einem USB-Stick zum Einsatz zu bringen. Wählen Sie bei der Installation des Tools die iso-Datei der Rescue Disk 10 aus und schließen einen mind. 250 MB großen leeren USB-Stick an ihrem Rechner an. Nach einem Klick auf „START“ wird die iso-Datei auf dem USB-Stick installiert.

Die Virensignaturen der Rescue Disk können mit einem Netzwerkkabel über einen DSL-Router mit DHCP aktualisiert werden; eine Handvoll WLAN-Treiber stehen in der aktuellen Version des Rescue-CD zur Verfügung. Im Zweifel ist der Rechner per LAN-Kabel mit dem Router zu verbinden.

Nach dem Start der Rescue-CD startet neuerdings erst einmal der Midnight Commander im Textmodus. Mit Auswahl der Option „x“ startet die grafische Benutzeroberfläche. Um hohe Kompatibilität zu erreichen, wählt man im nächsten Schritt den Standard-Desktop Xorg-Run. Im Grafikmodus wird nun versucht die Laufwerke zu mounten. Parallel wird unten rechts angezeigt, ob verfügbare WLAN-Geräte erkannt wurden. Im Dialogfenster Betriebssystem kann das zu untersuchende Betriebssystem ausgewählt werden. Im Idealfall gelingt das Mounten und die erkannten Laufwerke werden auf dem Desktop angezeigt.

Noch bevor die Virensignaturen zu aktualisieren sind, kann eine statische Bereinigung der Offline-Registry des Rechners durchgeführt werden. Im Terminal-Fenster ist zur Bereinigung von Randsomware (BKA-Trojaner, Ukash-Trojaner, etc.) nur der Befehl „windowsunlocker“ einzugeben. Die Standard-Option „1“ ist zu bestätigen und die Registry wird automatisch von verdächtigen Autostart-Einträgen bereinigt (auch googleupdate.exe muss daran glauben). Ist die Bereinigungsaktion abgeschlossen wird mit Option „0“ der Unlocker beendet.

Die Kaspersky Rescue-CD eignet sich somit ganz besonders zum Löschen aller Art von Lösegeld-Trojaner wie BKA-/FBI-/Bundespolizei-Trojaner (Randsomware). Weitere Hinweise zu diesen Trojanern finden Sie auch auf der Website http://www.bka-trojaner.de

Im nächsten Schritt müssen die Virensignaturen aktualisiert werden. Bei Verwendung eines passenden WLAN-Clients kann unten rechts das Netzwerksysmbol doppel angeklickt werden. Im Idealfall wird der Name des WLANs angezeigt und nach Eingabe des Kennwortes ist dieses aktiviert.

Der Virenscan wird mit Doppelklick auf „Kaspersky Rescue Disk“ gestartet (falls das Fenster nicht schon automatisch gestartet ist). Im Register „Update“ kann die Aktualisierung der Virensignaturen angestoßen werden.

Als nächstes ist das Register „Untersuchung von Objekten“ auszuwählen. Hier können die zu untersuchenden Objekte ausgewählt werden (z.B. Laufwerke/Verzeichnisse, Bootsektoren, Autostarts, etc.). Nach Auswahl eines Laufwerkbuchstabens können mit „Hinzufügen“ auch Unterverzeichnisse für den Virenscan ausgewählt werden. Werden die Laufwerksbuchstaben nicht angezeigt, können im Dialogfenster „Untersuchungsobjekte auswählen“ im Feld „Objekt“ die Laufwerke/Verzeichnisse direkt eingegeben werden, z.B. mit „/mnt/…“. Die Mounteinträge können über den Dateimanager kopiert werden. Dazu ist der Dateimanager zu starten, „Benutzerdef. Pfad“ anklicken, Ordner „mnt“ wählen, Ordner „MountedDevices“ wählen, Orden-/Verz.-struktur wählen, rechte Maustaste und „Kopieren“ wählen. Im Dialogfenster „Untersuchungsobjekte auswählen“ nun im Feld „Objekt“ den Pfad mit STRG-V einfügen. Zu Beginn des Eintrags „file:///…“ löschen, so dass der Eintrag mit „/mnt/…“ beginnt.

Scanmethoden: Alle Dateien scannen, Einschränkungen durch Dateimasken möglich.

Aktion bei Malware-Fund: Aktion nach Abschluß der Untersuchung erfragen, Aktion sofort erfragen, Aktion ausfühen (Desinfizierung bzw. in Quarantäne oder Löschung).

Bedrohungen: Viren, Würmer, (Lösegeld-)Trojaner, Malware, Adware, Dialer, verdächtige Packer und heuristische Analysen.

Besonders gelungen ist auch der Kaspersky Registry Editor. Wenn dieser per Desktop-Icon gestartet wird, kann auf die Registry des Offline-Systems zugegriffen werden. Die grafische Benutzeroberfläche ermöglicht ein komfortables Arbeiten analog dem Tool Regedit. Veränderbar sind die Hives HKey_Local_Machine und HKey_Users. Über diese Hives können Autostarteinträge verändert werden. Dieser Registry-Zugang zum Offline-System ist vor allem dann besonders hilfreich, wenn bei einem Windows Start im abgesicherten Modus ein Aufruf von Regedit nicht mehr möglich ist.

Um eine Datensicherungen des Offline-Systems durchführen zu können steht der Dateimanager x File Explorer zur Verfügung. Unter „/mnt/MountedDevices“ kann auf die Partitionen des Offline-Systems zugegriffen werden. Angeschlossene USB-Sticks werden erkannt und eingebunden, wenn sie beim Booten eingesteckt waren.

Neben dem Dateimanager steht auch ein Mozilla Firefox, ein Terminal und ein Screenshot-Tool zur Verfügung. Die Konfiguration des Netzwerkes (Proxy, etc.) kann über den Menüpunkt „Netzwerk konfigurieren“ durchgeführt werden.