Mit Process Explorer nach Schadsoftware suchen

Bei der Suche nach Schadprogrammen kann der Process Explorer von sysinternals wertvolle Hilfe leisten. Zum Start des Process Explorers im Datei-Manager den folgenden UNC-Pfad eingeben:

\\live.sysinternals.com\tools

Rechte Maus auf die Datei procexp64.exe (bei einem 64-bit System) und „als Administrator ausführen“ wählen. Bei Systemen mit ARM-CPU befindet sich im Unterverz. ARM64 die passende Datei.

Zunächst sollte die Spalte „Verified Signer“ angezeigt werden. Gehen sie dazu auf „View/ Select Colums“ und wählen die Spalte „Verified Signer“ aus. Nun muss noch die Option „Options/ Verify Image Signatures“ aktiviert werden.

Ein kritischer Blick lohnt sich auf diejenigen Einträge, die im Feld „Company Name“ einen bekannten SW-Hersteller beinhalten, aber der dazugehörige Eintrag in der Spalte „Verified Signer“ nicht dazu passend ist, oder der Eintrag leer ist.

Der Process Explorer hat eine Schnittstelle zu VirusTotal.com. Um den Virenscanner zu nutzen, muss zunächst die Funktion „Options/ VirusTotal.com/ Check VirusTotal.com“ aktiviert werden und dem Service-Hinweisfenster zugestimmt werden. Nun erscheint in der Process-Übersicht eine zusätzliche Spalte „Virus Total“. Abhängig einer zwischengeschalteten Firewall oder eines Proxyservers kann eine Übertragung der zu prüfenden Dateien oder des Hashwertes der Datei auch verhindert werden.

Best case ist ein Eintrag in Form von „0/76“. Der Eintrag bedeutet dass bei 76 Virenscannern kein Virus entdeckt wurde. Wenn als erste Zahl eine niedrige Zahl erscheint ist das im Regelfall ein Hinweis auf False Positive. Ein Mausklick auf einen Eintrag in der Spalte „Virus Total“ liefert detaillierte Informationen zum Ergebnis des Virenchecks.

Erscheint in der Spalte „Virus Total“ der Eintrag „Unknown“ kann mit einem Rechtsklick und Auswahl „Check Virus Total“ die Datei an Virus Total zum Virenscan versendet werden.

Im worst case (Virenfund) sollte der betroffene Prozess mit dem Befehl „suspend“ (rechte Maus auf den Prozess und „Suspend“ wählen) zunächst beendet werden.Wenn sie den betroffenen Prozess markieren und mit der rechten Maus auf Eigenschaften (Properties) gehen, können sie im Register „Image“ im Eintrag „Autostart Location“ herausfinden, wie der Prozess startet. In einem zweiten Schritt können sie nun versuchen ggfs. den betroffenen Registry-Key zu löschen oder mit dem sysinternal Tool „autoruns“ den Starteintrag zu entfernen.

Alternativ ist auch die Auswahl „Kill Process“ hilfreich, jedoch können so beendete Prozesse häufig wieder neu starten. Um den Neustart zu verhindern ist es meist hilfreich im Prozessbaum benachbarte Prozesse ebenfalls zu analysieren und ggfs. zu beenden bzw. das Startverhalten der Nebenprozesse zu betrachten und ebenfalls zu beenden.

Windows 10 Lizenzschlüssel und Aktivierung

Eine valide Windows 10 Installation muss lizenziert und aktiviert werden.

Produktschlüssel

Bei der Neuinstallation oder beim ersten Systemstart von Windows 10 wird ein Lizenzschlüssel (Produktschlüssel oder Product Key) benötigt. Es handelt sich um eine fünf mal fünfstellige Buchstaben- und Ziffernkombination, die man unter anderem beim Kauf einer Windows 10 DVD erhält. Bei den für Privatkunden empfehlenswerten System-Builder-Lizenzen steckt der Produktschlüssel in der Packung. Das Gleiche gilt für Voll- und Upgrade-Lizenzen. Firmenkunden und Visual-Studio-Abonnenten (ehemals MSDN-Abo) finden die Produktschlüssel in den jeweiligen Download-Portalen. Die Validierung des Produktschlüssels findet offline statt (benötigt also keinen Internetzugang). Um sicherzustellen, dass der Produktschlüssel nur einmalig verwendet wird, muss eine Aktivierung stattfinden.

Der Produktschlüssel einer Windows 10 Installation läßt sich z.B. mit dem Tool License Crawler auslesen.

Aktivierung

Spätestens 30 Tage nach Eingabe des Produktschlüssels muss Windows 10 über die Systemsteuerung „aktiviert“ werden in Form einer Online-Registrierung bei Microsoft.

Windows 10 läßt sich z.B. per Telefonanruf bei Microsoft aktivieren. Die Aktivierung kann auch manuell über „Einstellungen / Update und Sicherheit/ Aktivierung“ initiiert werden oder man wartet darauf bis Windows 10 die Aktivierung per Pop-up-Fenster im Infobereich anbietet.

Die Aktivierung eines Rechners kann über „Einstellungen, Update und Sicherheit, Aktivierung“ überprüft werden.

Digitale Lizenz

Eine digitale Lizenz wird erstellt wenn ein laufendes, aktiviertes Windows mit einem Microsoft-Konto verknüpft wird. Windows 10 schlägt dieses Vorgehen bei der Einrichtung von Windows 10 und der Eingabe eines Produktschlüssel standardmäßig vor. Eine Aktivierung ist dann nicht mehr nötig, da den Microsoft Servern schon bekannt ist, dass ein valider Produktschlüssel vorhanden ist.

Eine digitale Lizenz wird automatisch erstellt, wenn ein Upgrade von Windows 7/8 auf Windows 10 vorgenommen wird und eine Anmeldung mit einem Microsoft-Konto nicht stattfindet. Bei der Erstellung einer digitalen Lizenz wird ein von der verbauten Hardware abhängiger „Fingerabdruck“ des Rechners erstellt und auf Microsoft Servern gespeichert. Die digitale Lizenz wird zur Aktivierung benutzt.

Umstieg auf Windows 10

Besitzer einer Windows 7/8 Lizenz können kostenlos auf Windows 10 umsteigen. Bei der Neuinstallation von Windows 10 kann der Produktschlüssel der Windows 7/8 Umgebung bei Anforderung des Windows 10 Lizenzschlüssels eingegeben werden. Je nach Installationsvariante findet das Setup-Programm entweder die alte Win 7/8 Installation und prüft, ob sie zum Upgrade berechtigt ist, oder man muss den alten Produktschlüssel manuell eintippen, oder das Setup-Programm findet den Produktschlüssel im BIOS. Zudem wird ein Hash über die eingebaute Hardware gebildet. Hash und Schlüssel landen während der Aktivierung auf Microsoft Servern. Der Server prüft die Gültigkeit des eingegebenen Schlüssels. Ist das erfolgreich, speichert er den Hardware-Hash als  digitale Lizenz. Windows 10 ist danach standardmäßig aktiviert.

Durch den Umstieg auf Windows 10 wird die ursprüngliche Windows Lizenz nicht  ungültig. Die neue Windows 10 Lizenz ist keine vollwertige Lizenz, sondern nur die Berechtigung, statt der alten Windows Version die neue zu nutzen. Zum Betrieb von Windows 10 ist sowohl die zugrundeliegende Lizenz der alten Version als auch die Upgrade-Berechtigung erforderlich. Die alte Lizenz ist nicht weiterverkaufbar oder auf einem anderen PC einsetzbar, solange die Gratis-Lizenz von Windows 10 genutzt wird.

Desinfec’t 2018 (****)

Das Desinfec’t Projekt wird seit über 15 Jahren von der c’t publiziert. Einmal jährlich aktualisiert die Zeitschrift Ihre Antivirenumgebung Desinfec´t. Das aktuelle Live-System liegt der c’t-Ausgabe 12/18 bei. Desinfec’t 2018 basiert auf Ubuntu 16.0.4 LTS. Als Kernel kommt 4.13.x mit aktuellem HWE zum Einsatz. Somit ist Desinfec’t beim Kernel gleichauf mit Ubuntu 17.10. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl an:

  • Avira AntiVir
  • Eset
  • F-Secure
  • Sophos

Im Bootmenü Easy-Scan kommt nur der Virenscanner von Avira zum Einsatz. Gescannt werden Rechner mit BIOS und UEFI Boot-Modus.

Es ist u.a. aus Performancen-Gründen sinnvoll einen bootfähigen USB-Stick zu erstellen. Zur Erstellung eines USB-Sticks mit mind. 16 GByte Speicher steht auf der DVD die Windows-Anwendung „Desinfect2USB_64_Bit“ zur Verfügung (eine entspr. Anwendung gibt es auch für ein 32-bit Windows). Der USB-Stick kann sowohl unter Windows als auch aus dem Live-System heraus erstellt werden. Der Einsatz eines USB-Sticks ist auch deshalb sinnvoll, da hier z.B. für Scans mehrerer Rechner die Virensignaturdateien dauerhaft abgelegt werden können. Der USB-Stick sollte nicht als Wechseldatenträger erkannt werden, sonst gibt es Schwierigkeiten bei der Erstellung des Live-Systems.

Nach dem Booten der Live-Umgebung (nicht Easy-Scan) kann mit dem Icon „Viren-Scan starten“ eine Auswahl der oben genannten vier Virenscanner aktiviert werden. Die Windows-Laufwerke werden jetzt in der 2018 Version automatisch ausgewählt (im Zweifel Icon „Alle Windows-Laufwerke nur lesbar einbinden“ drücken). Es ist möglich nur einzelne Ordner für den Scan auszuwählen. Wenn die Live-Umgebung mit dem Internet verbunden ist, werden die Aktualisierungen der Virensignaturen automatisch durchgeführt. Bei Virenfund-Meldungen können verdächtige Dateien auf VirusTotal hochgeladen werden. Falls die Hinweise (zusätzliche Firefox-Links) auf Schad-SW deuten, kann per „Umbenennen“ die Datei mit der Endung .VIRUS ergänzt werden. Zuvor kommt eine Abfrage, ob auf das jeweilige Windows-Laufwerk geschrieben werden darf.

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit photorec
  • Teamviewer zur Fernwartung

Weitere c’t Artikel beschreiben Notfallmaßnahmen, die mit dem Live-System durchgeführt werden können:

c’t 2018 Heft 13: Datenzugriff auf eine Windows-Umgebung (mit Desinfec’t Explorer), vergessenes Windows-Kennwort zurücksetzen (mit chntpw), Profilverzeichnisse bereinigen, bootfähige Installationssticks für Windows erstellen (mit woeusb)

c’t 2018 Heft 14: Fragen und Antworten zu Desinfec’t (veraltete Signaturen, Kopieren von Dateien im Netz, weitere Hilfe, etc.)

c’t 2018 Heft 15: Fotos und Dateien retten (mit smartctl, ddrescue, ntfsclone, kpartx, photorec und foremost)

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.

Desinfec’t 2014 (****)

desinfectEinmal jährlich aktualisiert die Zeitschrift c´t Ihre Antivirenumgebung Desinfec´t. Desinfec’t 2014 liegt der c’t-Ausgabe 12/14 bei, die seit dem 19. Mai 2014 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.0.4.4 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2014 wieder einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • BitDefender AntiVirus
  • Kaspersky Anti-Virus
  • ClamAV (fällt durch häufige Fehlalarme auf)

Neu in der Version 2014 ist die Unterstützung vom BIOS und UEFI Boot-Modus. Erscheint beim Booten ein farbiger Bildschirm mit Logo, hat das BIOS seine Arbeit verrichtet. Bei UEFI-Unterstützung erscheint ein weißer Kasten mit testbasiertem Auswahlmenü.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Es ist u.a. aus Performancen-Gründen sinnvoll nach dem Start der DVD gleich einen bootfähigen USB-Stick zu erstellen. Per Mausklick können nicht nur die Virensignaturen sondern auch das gesamte Rettungssystem auf einem USB-Stick abgelegt werden. Zur Erstellung eines USB-Sticks mit mind. 4 GByte Speicher steht auf der Live-DVD das Tool “Bootfähigen USB-Stick mit desinfec’t erzeugen” zur Verfügung. Der Einsatz des USB-Sticks ist auch in Verbindung mit der DVD sinnvoll, da die Virensignaturdateien standardmäßig auf einem erkannten USB-Stick abgelegt werden.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per “Virenscan starten” durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Standardmäßig werden alle angeschlossenen Laufwerke unter /media gescannt. Der Virenscan lässt sich auf Unterverzeichnisse eingrenzen. Archive und Mailboxen werden nicht gescannt, da sie im Regelfall keinen direkten Schaden anrichten können.

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge kann in der Version 2014 ein Upload zu einem Online-Scan-Dienst wie Virustotal.com durchgeführt werden. Die voreingestellte Favoritenleiste des Firefox bietet weitere Links zu Online-Scan-Diensten an.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um “VIRUS” ergänzt. Zuvor wird von Desinfec´t der Schreibmodus auf das betroffene Laufwerk angeboten. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort “desinfect” zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

Neu in Version 2014 ist auch ein Info-Fenster am oberen rechten Rand des Bildschirms. Auf einen Blick ist im Info-Fenster erkennbar, welchen Stand die erkannten Virensignaturen haben und wie die Systemressourcen ausgelastet sind.

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration