Datenträgerbereinigung unter Windows

In manchen Fällen fährt eine Windows 7,8,10 Umgebung gegen die Wand, weil auf der Windows-Partition kein Platz mehr für neue (temp.) Daten zur Verfügung steht. Geht der Plattenplatz zu Ende, ist meist Eile geboten. Im Regelfall ist es sinnvoller selbst Hand anzulegen, bevor Windows eigene Mechanismen aktiviert (Reduzierung der Auslagerungsdatei, Löschen von Wiederherstellungspunkten, etc.):

Bei geschäftlichen Rechnern können meist nicht mehr notwendige Benutzerprofile gelöscht werden. Mit administrativen Rechten kann in der Suchleiste „Benutzerprofile“ eingegeben werden und unnötige (historische) Benutzerprofile können ausgewählt und gelöscht werden.

Als nächstes hilft die Windows-eigene Datenträgerbereinigung weiter. Dazu wird in der Suchleiste „Datenträgerbereinigung“ eingegeben und die Windows-Partition (meist c:\) ausgewählt. Als Ergebnis erscheint eine Liste mit Löschvorschlägen. Falls Sie noch gründlicher aufräumen wollen, drücken Sie den Button „Systemdateien bereinigen“. Im Regelfall können die Löschvorschläge des Windows-Systems akzeptiert werden. In manchen Fällen wird der Inhalt des Ordners „C:\Benutzer\<Windows Kontoname>\ appdata\ local\temp\“ nicht gelöscht, was Sie manuell tun können. Ebenso können Sie auch den Inhalt von „C:\Windows\SoftwareDistribution“ löschen, da hier nur die Installationsdateien von Windows-Updates abgelegt sind. Zuvor müssen Sie die beiden Dienste „Windows Update“ und „Intelligenter Hintergrundübertragungsdienst“ stoppen und nach der Löschaktion wieder starten.

In einem nächsten Schritt kann versucht werden große Dateien zu identifizieren und ggfs. zu löschen. Markieren Sie dazu auf der linken Explorer-Seite die Windows-Partition und geben im Windows-Explorer oben rechts im Suchfeld „größe:>200m“ ein. Sie bekommen nun Dateien aufgelistet, die größer als 200 MB sind. In vielen Fällen tauchen hier iso-Dateien, heruntergeladene Dateien, etc. auf, die ggfs. nach genauer Prüfung gelöscht werden können.

Nach den unterschiedlichen Datenbereinigungen können Sie auch noch prüfen, ob ganze Programmpakete deinstalliert werden können. Die Deinstallationsroutinen finden Sie unter „Systemsteuerung / Programme und Funktionen“.

Unter Windows 8.1 und Windows 10 können Sie unter Verzicht des Schnellstarts und des Ruhezustandes die Datei c:\hiberfil.sys löschen. Dazu geben Sie in einer administrativen Eingabeaufforderung den Befehl „powercfg -h off“ ein. Aktivieren geht dann wieder mit „on“ statt „off“.

Zum Schluss noch ein Hinweis, wo Sie keine Dateien löschen sollten:
Unterhalb von c:\windows\installer (enthält zukünftige Updates) und
c:\windows\winsxs (enthält Dateien der prod. Windows-Umgebung).

„Deutschlands beste Notfall-DVD“

beste_notfall_dvdMit Heft 04/2014 stellt die Redaktion der Zeitschrift PC Magazin eine spezielle Notfall-DVD „Einlegen, Booten, Retten“ zur Verfügung, die als beste Notfall-DVD in Deutschland bezeichnet wird. Das Rettungsmedium setzt sich aus unterschiedlichen Notfall-Einzelsystemen zusammen, die aus einer iso-linux-Umgebung (Version 4.07) gebootet werden können:

  • Datenwiederherstellung: LessLinux Search and Rescue
  • Datenwiederherstellung: PartedMagic 2013_08_01 auf Basis Linux Kernel 3.10.4
  • Sicherheit: Avira Rescue System auf Basis Ubuntu 12.04 LTS
  • Sicherheit: Kaspersky Rescue Disk 10.0.32.17
  • nicht bootfähig: USB-Schlüssel, Anonym, Portable Apps, USB-Installation

Eine Besonderheit der „LessLinux Search and Rescue“-Umgebung ist der Datenzugriff auf Windows-Schattenkopien. Mit dem Tool vshadowinfo und vshadowmount wird in dem dazugehörigen Artikel auf S. 42 der offline-Zugriff auf Schattenkopien einer Windows-basierten Systempartition beschrieben. Beispielhaft wird der Zugriff auf die offline VSS-Umgebung folgendermaßen durchgeführt:

vshadowinfo /dev/sda2 (liefert Store-NR der verfügbaren Schattenkopien für Partition sda2)

Die höchste Store-Nummer soll anhand des neusten „Creation Time“-Eintrages ermittelt werden, z.B. Store 2.

mkdir -p /temp/vss/sda2 (erstellt temp. Verz. zum Einhängen von Dateistrukturen)
vshadowmount /dev/sda2 /temp/vss/sda2 (erstellt Datei(en) - vss<NR> - zu jedem Store-Eintrag)
losetup /dev/loop2 /temp/vss/sda2/vss2 (verknüpft den Loop-Geräteknoten "loop2" mit der Datei "vss2")

Das sda2 Laufwerk mit Festplatten-Tool (über graph. Benutzeroberfläche) mounten.

mount -t ntfs-3g -o ro /dev/loop2 /media/disk/sda2 (Stellt /media/disk/sda2 in den Dateibaum ein, als wäre /dev/loop2 eine ganz normale Festplatte)

Nun können die Datenstrukturen mit dem VSS-Schnappschuss im Verzeichnis „/media/disk/sda2“ auf ein externes Sicherungsmedium kopiert werden.

Als weitere Maßnahme zur Datenrestauration steht mit der Funktion „Rettungswerkzeuge/ Daten retten“ das Tool PhotoRec zur Verfügung, welches per Assistent eine Datenrestauration auf Blockebene ermöglicht.

Die Virenscantools Avira Rescue System und die Kaspersky Rescue Disk 10 wurden hier im Blog schon beschrieben. Beide Tools beinhalten einen WLAN-Client und führen per Assistent eine automatisierte Aktualisierung der Virensignaturdateien durch. Auch das Mounten der Offline-Umgebung erfolgt automatisiert. Der Benutzer muss nur noch diejenigen Laufwerke auswählen, welche gescannt bzw. gesäubert werden sollen. Beide Tools beinhalten auch einen Registry-Editor, der den Zugriff auf die Registry des Windows-basierte Offlinesystems ermöglicht.

Notfall-CD 2014 aus Computer Praxis Spezial 12/2013

notfall-cd_2014Mit Heft 12/2013 stellt die Redaktion der Zeitschrift Computer Praxis Spezial (Microsoft) eine spezielle Notfall-CD 2014 zur Verfügung. Die CD kann hier heruntergeladen werden. Die angepasste Lesslinux Umgebung mit isolinux 5.02 kann auch auf einem USB-Stick installiert werden. Der Einsatz des USB-Sticks bietet sich bei PCs unter 1 GB Hauptspeicher an. Das Rettungsmedium beinhaltet umfangreiche Tools zur PC-Soforthilfe:

  • Festplattenanalyse über SMART-Werte mit Self-test Option
  • Rettung gelöschter Daten und Dateien mit graph. Benutzeroberfläche (photorec)
  • Blockweises Klonen von Festplatten
  • MBR reparieren
  • Windows-Kennwort zurücksetzen
  • Internetzugang (auch über WLAN möglich) und Firefox-Browser 18.0.2 „Nightly“

Besonders einfach ist das Mounten von Laufwerken auf diesem Notfallsystem umgesetzt, da über das Icon „Laufwerke“ die vorhandenen Partitionen grafisch angezeigt werden und per Auswahl auf Lese- und Schreibzugriff mit einem Klick die verfügbaren Laufwerke gemountet werden können.

Fehlerprüfung der Festplatte:

Im Applikationsmenü, Rettungswerkzeuge, „Platte testen“ wählen. In der Festplattenübersicht wählen Sie die zu analysierende Festplatte mit einem Doppelklick aus. Im Register „Identity“ werden die wichtigsten Festplattenparameter angezeigt. Im Register „Attributes“ werden die SMART-Parameter der Festplatte ausgelesen. In der Spalte „Failed“ sollte bei einer funktionierenden Festplatte überall „never“ stehen.

Im Register „Perform Tests“ kann ein Schnelltest mit „Short Self-test“ oder ein detaillierter Test mit „Extended Self-test“ durchgeführt werden. Das Ergebnis der Tests ist in den Register „Self-test Log“ und „Error Log“ einsehbar. Im Register „Self-test Log“ steht auch der Lifetime-Wert der Festplatte in Stunden.

Gelöschte Dateien und Laufwerke retten:

Im Applikationsmenü, Rettungswerkzeuge, „Daten retten“ wählen. Es erscheint der photorec-Assistent in Form einer grafischen Benutzeroberfläche. Nach Klick auf „Vor“ kann die Partition oder die gesamte Festplatte als Suchquelle ausgewählt werden. Als nächstes kann der zu suchende Dateityp ausgewählt werden. Nun soll das Zielverzeichnis ausgewählt werden. Die Einstellungen belassen, da die gefundenen Dateien standardmäßig auf dem Desktop (also im Hauptspeicher) abgelegt werden.

Zum Schluss erscheint eine Zusammenfassung der Einstellungen. Mit Klick auf „Anwenden“ startet die Suche. Nach der Suche erscheint ein Fenster, welches Sie mit „ok“ bestätigen können. Es öffnet sich ein neues Fenster mit den gefundenen Dateien.

Windows Kennwort zurücksetzen:

Um das Windows Kennwort löschen zu können, muss die Systempartition der Windows-Umgebung mit Schreibrechten gemountet sein. Im Applikationsmenü, Rettungswerkzeuge, „Kennwort neu“ wählen. Ein Assistent startet, auf „Vor“ klicken und per autom. Suche die SAM-Datei auf der gemounteten Partition suchen lassen. Im nächsten Fenster kann das Konto ausgewählt werden, dessen Kennwort zurückgesetzt werden soll. Nach einem bestätigten Haftungsausschluss versucht das Tool das Kennwort auf ein leeres Kennwort zurückzusetzen. Beim nächsten Windows-Neustart sollte das Kennwort zu dem ausgewählten Konto leer gelassen werden.

 

Desinfec’t 2013 (****)

desinfectDesinfec’t 2013 liegt der c’t-Ausgabe 10/13 bei, die seit dem 22. April 2013 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.04.02 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2013 einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec’t-Forum bei heise.de.

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir (als Standard)
  • BitDefender AntiVirus (als Standard)
  • Kaspersky Anti-Virus
  • ClamAV

Mit der Version 2013 ist es quasi per Mausklick möglich, nicht nur die Virensignaturen auf einem USB-Stick zu kopieren, sondern das gesamte Rettungssystem mit aktualisierten Signaturdateien auf einem USB-Stick abzulegen. Zur Erstellung eines USB-Sticks mit mind. 4 GB steht auf der Live-DVD das Tool „Bootfähigen USB-Stick mit desinfec’t erzeugen“ zur Verfügung. Der Einsatz des USB-Sticks ist die schnellste Methode für den Virenscan.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Der bevorzugte Weg ist die Erstellung eines bootfähigen USB-Sticks, welcher sehr einfach über das Icon „Bootfähigen USB-Stick … “ zu erzeugen ist. Achtung: Ein auf dem Rechner eingesteckter Stick (mind. 4 GB) wird nach Erkennung und einer Sicherheitsabfrage komplett neu partitioniert und überschrieben. Die Virensignaturen werden in einer eigenen speziellen Partition abgelegt, welche auch von der Live-DVD erkannt bzw. verwendet werden kann.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per „Virenscan starten“ durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Der Scan lässt sich auf Unterverzeichnisse eingrenzen. Voreingestellt sind die beiden Virenscanner Avira und Bitdefender (Kaspersky hat wohl öfters Probleme mit gepackten Dateien, ClamAV neigt zu Fehlalarmen).

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und  ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge stehen per Bookmark-Leiste (Virustotal.com, Sandbox-Systeme, etc.) weitere Informationsquellen zur Verfügung.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um „VIRUS“ ergänzt. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort „desinfect“ zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser 19.0.2 befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor
  • Kaspersky Windows Unlocker
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

Kaspersky Rescue Disk 10

kasperskyDie Kaspersky Rescue Disk Version 10.0.31.4 basiert auf einem Gentoo-Linux System mit einer Windows-ähnlichen graphischen Benutzeroberfläche. Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder eine (offline) Virenüberprüfung (inkl. Ransomware) des PCs durchzuführen. Das Rescue System kommt mit unterschiedlicher Hardware (VESA-kompatible Grafikkarte) gut zurecht. Im Textmodus bootet die Textoberfläche in Form des Konsolen-basierten Dateimanagers Midnight Commander.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. Die Kaspersky Rescue Disk kann z.B. auch per SARDU auf einem USB-Stick abgelegt werden. Ebenso ist möglich die Rescue Disk 10 mit dem Tool Kaspersky USB Rescue Disk Maker (rescue2usb.exe) auch auf einem USB-Stick zum Einsatz zu bringen. Wählen Sie bei der Installation des Tools die iso-Datei der Rescue Disk 10 aus und schließen einen mind. 250 MB großen leeren USB-Stick an ihrem Rechner an. Nach einem Klick auf „START“ wird die iso-Datei auf dem USB-Stick installiert.

Die Virensignaturen der Rescue Disk können mit einem Netzwerkkabel über einen DSL-Router mit DHCP aktualisiert werden; eine Handvoll WLAN-Treiber stehen in der aktuellen Version des Rescue-CD zur Verfügung. Im Zweifel ist der Rechner per LAN-Kabel mit dem Router zu verbinden.

Nach dem Start der Rescue-CD startet neuerdings erst einmal der Midnight Commander im Textmodus. Mit Auswahl der Option „x“ startet die grafische Benutzeroberfläche. Um hohe Kompatibilität zu erreichen, wählt man im nächsten Schritt den Standard-Desktop Xorg-Run. Im Grafikmodus wird nun versucht die Laufwerke zu mounten. Parallel wird unten rechts angezeigt, ob verfügbare WLAN-Geräte erkannt wurden. Im Dialogfenster Betriebssystem kann das zu untersuchende Betriebssystem ausgewählt werden. Im Idealfall gelingt das Mounten und die erkannten Laufwerke werden auf dem Desktop angezeigt.

Noch bevor die Virensignaturen zu aktualisieren sind, kann eine statische Bereinigung der Offline-Registry des Rechners durchgeführt werden. Im Terminal-Fenster ist zur Bereinigung von Randsomware (BKA-Trojaner, Ukash-Trojaner, etc.) nur der Befehl „windowsunlocker“ einzugeben. Die Standard-Option „1“ ist zu bestätigen und die Registry wird automatisch von verdächtigen Autostart-Einträgen bereinigt (auch googleupdate.exe muss daran glauben). Ist die Bereinigungsaktion abgeschlossen wird mit Option „0“ der Unlocker beendet.

Die Kaspersky Rescue-CD eignet sich somit ganz besonders zum Löschen aller Art von Lösegeld-Trojaner wie BKA-/FBI-/Bundespolizei-Trojaner (Randsomware). Weitere Hinweise zu diesen Trojanern finden Sie auch auf der Website http://www.bka-trojaner.de

Im nächsten Schritt müssen die Virensignaturen aktualisiert werden. Bei Verwendung eines passenden WLAN-Clients kann unten rechts das Netzwerksysmbol doppel angeklickt werden. Im Idealfall wird der Name des WLANs angezeigt und nach Eingabe des Kennwortes ist dieses aktiviert.

Der Virenscan wird mit Doppelklick auf „Kaspersky Rescue Disk“ gestartet (falls das Fenster nicht schon automatisch gestartet ist). Im Register „Update“ kann die Aktualisierung der Virensignaturen angestoßen werden.

Als nächstes ist das Register „Untersuchung von Objekten“ auszuwählen. Hier können die zu untersuchenden Objekte ausgewählt werden (z.B. Laufwerke/Verzeichnisse, Bootsektoren, Autostarts, etc.). Nach Auswahl eines Laufwerkbuchstabens können mit „Hinzufügen“ auch Unterverzeichnisse für den Virenscan ausgewählt werden. Werden die Laufwerksbuchstaben nicht angezeigt, können im Dialogfenster „Untersuchungsobjekte auswählen“ im Feld „Objekt“ die Laufwerke/Verzeichnisse direkt eingegeben werden, z.B. mit „/mnt/…“. Die Mounteinträge können über den Dateimanager kopiert werden. Dazu ist der Dateimanager zu starten, „Benutzerdef. Pfad“ anklicken, Ordner „mnt“ wählen, Ordner „MountedDevices“ wählen, Orden-/Verz.-struktur wählen, rechte Maustaste und „Kopieren“ wählen. Im Dialogfenster „Untersuchungsobjekte auswählen“ nun im Feld „Objekt“ den Pfad mit STRG-V einfügen. Zu Beginn des Eintrags „file:///…“ löschen, so dass der Eintrag mit „/mnt/…“ beginnt.

Scanmethoden: Alle Dateien scannen, Einschränkungen durch Dateimasken möglich.

Aktion bei Malware-Fund: Aktion nach Abschluß der Untersuchung erfragen, Aktion sofort erfragen, Aktion ausfühen (Desinfizierung bzw. in Quarantäne oder Löschung).

Bedrohungen: Viren, Würmer, (Lösegeld-)Trojaner, Malware, Adware, Dialer, verdächtige Packer und heuristische Analysen.

Besonders gelungen ist auch der Kaspersky Registry Editor. Wenn dieser per Desktop-Icon gestartet wird, kann auf die Registry des Offline-Systems zugegriffen werden. Die grafische Benutzeroberfläche ermöglicht ein komfortables Arbeiten analog dem Tool Regedit. Veränderbar sind die Hives HKey_Local_Machine und HKey_Users. Über diese Hives können Autostarteinträge verändert werden. Dieser Registry-Zugang zum Offline-System ist vor allem dann besonders hilfreich, wenn bei einem Windows Start im abgesicherten Modus ein Aufruf von Regedit nicht mehr möglich ist.

Um eine Datensicherungen des Offline-Systems durchführen zu können steht der Dateimanager x File Explorer zur Verfügung. Unter „/mnt/MountedDevices“ kann auf die Partitionen des Offline-Systems zugegriffen werden. Angeschlossene USB-Sticks werden erkannt und eingebunden, wenn sie beim Booten eingesteckt waren.

Neben dem Dateimanager steht auch ein Mozilla Firefox, ein Terminal und ein Screenshot-Tool zur Verfügung. Die Konfiguration des Netzwerkes (Proxy, etc.) kann über den Menüpunkt „Netzwerk konfigurieren“ durchgeführt werden.