Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 8 Min.

MOBILER VIREN KILLER


PC Go - epaper ⋅ Ausgabe 9/2018 vom 03.08.2018

Seien Sie vorbereitet: Mit dem PCgo-Virenkiller haben Sie zwei namhafte Antiviren-Systeme mit Rettungswerkzeugen immer am Schlüsselbund. Im Falle eines Falles erspart das langwierige Downloads und gibt Ihnen die Möglichkeit, Daten von nicht mehr bootenden Windows-Systemen zu retten.


Artikelbild für den Artikel "MOBILER VIREN KILLER" aus der Ausgabe 9/2018 von PC Go. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Go, Ausgabe 9/2018

Eigentlich dachte sich der Autor dieser Zeilen, er sei gegen Viren und Würmer gefeit; doch erst neulich hat ihn ein Crypto-Trojaner erwischt. Wohl einmal beim Klick auf einen E-Mail-Anhang nicht aufgepasst oder möglicherweise einen Drive-By-Download eingefangen – so genau lässt sich der Befall nicht mehr rekonstruieren. Und ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Go. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2018 von NEWS UND TRENDS. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NEWS UND TRENDS
Titelbild der Ausgabe 9/2018 von IM AUGUST 1993. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IM AUGUST 1993
Titelbild der Ausgabe 9/2018 von SICHERHEIT NEWS. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SICHERHEIT NEWS
Titelbild der Ausgabe 9/2018 von FLOP-SHOPPING. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
FLOP-SHOPPING
Titelbild der Ausgabe 9/2018 von 200 PROGRAMME GESCHENKT. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
200 PROGRAMME GESCHENKT
Titelbild der Ausgabe 9/2018 von Windows perfekt: DIE RICHTIGE EINSTELLUNG. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows perfekt: DIE RICHTIGE EINSTELLUNG
Vorheriger Artikel
200 PROGRAMME GESCHENKT
aus dieser Ausgabe
Nächster Artikel Windows perfekt: DIE RICHTIGE EINSTELLUNG
aus dieser Ausgabe

... das, obwohl der Windows-Defender immer aktuell war. Eine spätere Analyse zeigte, dass die Schadsoftware rund sechs Wochen schlafend auf dem Rechner verbrachte, bevor sie eines Freitag Abends gegen 22 Uhr damit begann, sämtliche erreichbare Daten zu verschlüsseln. Darunter einige hundert Gigabyte Daten auf einer NAS. Am Montag war der Schreck groß.

Perfider Krypto-Trojaner

Tatsächlich ist niemandem ein Vorwurf zu machen: Aus Performance-Gründen scannt der Windows-Defender zwar heruntergeladene Dateien beim Download, kann aber natürlich nur solche erkennen, die bereits als Schadsoftware bekannt sind. In unserem Fall hat der Programmierer des Krypto-Trojaners einfach seine Software solange schlafen lassen, bis sie eine signifikante Verbreitung erreicht hatte und dann auf tausenden Rechnern gleichzeitig losgeschlagen. Als nach dem besagten Wochenende die Hersteller von Antiviren-Software alarmiert waren, war es für viele Betroffene schon zu spät.
Da gerade Krypto-Trojaner gelegentlich Programmierfehler enthalten, die einen (vollständigen) Systemstart verhindern oder sich so tief im System verankern, dass lokal unter Windows installierte Virenscanner ins Leere laufen, ist es wichtig, autark von USB nutzbare Systeme zur Hand zu haben. Zwei davon – die Linux basierten Notfall-Systeme von Kaspersky und ESET – finden Sie auf der Hefl-uVD. Bereiten Sie mit diesen zwei USB-Sticks vor, und machen Sie sich noch ohne Not mit der Nutzung der Systeme vertraut.

INFO VORSICHT BEI WINDOWS 8/10 & SSD-CACHE

Windows 8.x bis 10 beschleunigen den Systemstartmit einem kleinen Trick: Zwar werden Programme zuvor beim Herunterfahren beendet, das System selbst aber nur in den Ruhezustand versetzt. Mitunter sind dann aber noch nicht alle Daten zurückgeschrieben. Um Beschädigungen zu verhindern, sollten Sie vor dem Start von Notfall-Systemen immer die Dateishutdown.bat (auf Heft-DVD) ausführen, um Windows vollständig herunterzufahren.
Ähnliche Probleme machen die in einigen Notebooks verbauten SSD-Caches: Die kleine, aber schnelle SSD dient hier als Schreibpuffer für die langsamere Festplatte. Der Killer-Stick sieht jedoch nur die Festplatte und nicht den Puffer. Auch hier droht Datenverlust. SSD-Caching sollten Sie in den Einstellungen desIntel Rapid Storage Technologies Verwaltungswerkzeug deaktivieren.

Wie Windows zu alten Zeiten fühlt sich der Desktop des ESET-Live-Systems an.


Kaspersky verwendet einen Windows-ähnlichen Desktop, mit dem man sofort klar kommt.


Im Notfall: keine Panik

Tritt der Ernstfall ein, und der PC verhält sich seltsam, atmen Sie zunächst tief durch: Sie haben alle Werkzeuge zur Reinigung und die wichtigsten für die Datenrettung zur Hand. Legen Sie für den Fall der Fälle eine USBFestplatte bereit, und booten Sie den PC zunächst vom Stick. Führen Sie den Virenscan mit den Standardeinstellungen durch, aber löschen Sie auch auf Nachfrage zunächst keine gefundene Schadsoftware. Verwenden Sie stattdessen lieber ein wenig Zeit auf die Einordnung der Infektion: Beide Systeme haben Webbrowser an Bord, mit denen Sie ganz normal im Internet surfen können. Stellt sich beispielsweise heraus, dass die Infektion „nur“ ein Spam-Bot war, der für hohe Systemlast gesorgt hat, ist eine Desinfektion in der Regel ohne Folgen möglich.

MINI-WORKSHOP ESET-VIRENKILLER-STICK ERSTELLEN

Das richtige Laufwerk ausgewählt? Der Win 32DiskImager überschreibt gnadenlos.


Bei ESET haben Sie die Auswahl zwischen einer Installation im DVD-Modus (Stick unter Windows nicht lesbar, keine persistenten Signaturen) auf einem ein GByte großen Stick oder der Installation mit Signatur-Partition (8 GByte Minimum). Für den zweiten Fall muss ESET von einer gebrannten CD oder vom kleinen Stick gebootet werden. Wir zeigen die Vorgehensweise mit einem 1 GByte- und einem 8-GByte-Stick.

1 Trennen Sie alle USB-Laufwerke, und entfernen Sie weitere Wechseldatenträger vom PC. Rufen Sie dann den in der Heft-DVD-Oberfläche verlinkten Installer für ESET auf. Nach Bestätigung des Haftungsausschlusses öffnet sich derWin32DiskImager .

2 Sollte im Win32DiskImager ein Laufwerksbuchstabe angezeigt werden, ist noch ein Wechseldatenträger vorhanden. Trennen Sie diesen vom Rechner, und stöpseln Sie nun den wenigstens ein Gigabyte großen Stick an, auf dem ESET installiert werden soll.

3 Mit dem Klick aufWrite schreiben Sie das ISO-Image auf den USB-Stick – dabei werden alle dort gespeicherten Daten gelöscht. Wenn der Stick fertig geschrieben ist, können Sie direkt einen Neustart ausführen. Das ist sinnvoll auf BIOSPCs, wo Sie nach dem BIOS-Pieps mit einer der Tasten [F8] bis [F11] oder [ESC] ein temporäres Bootmenü erreichen, wo Sie den Stick auswählen können. Auf UEFI-Rechnern (PC wurde mit Windows 8 bis 10 ausgeliefert) geht es eleganter.

4 Klicken Sie beim UEFI-System im Windowl-utartmenü bei gedrückter [Shift]-Taste aufNeu starten . Sie gelangen zu einem Dialog, in dem Sie ein Startgerät auswählen können – hier ist der soeben installierte USB-Stick auszuwählen. Wird der neu erstellte Stick nicht auf Anhieb gefunden, ist auf einigen PCs ein Windows-Neustart notwendig.

5 Dieser Schritt ist optional: Nun können Sie im gebooteten ESET-System einen zweiten USB-Stick (8 GByte oder mehr) anstöpseln undCreate Live USB vom Desktop aufrufen. Der mit diesem Werkzeug erstellte Stick wird partitioniert, er speichert Signaturen persistent und enthält unter Windows sichtbaren Platz, den Sie für Treiber und Konfigurationsdateien oder kleine Sicherungen verwenden können.

6 Wenn Sie die zweistufige Installation durchgeführt haben, sollten Sie zunächst prüfen, ob der so erstellte Stick auch bootet: Einige PCs mögen keine USB-Startmedien mit mehreren Partitionen. Klappt der Start vom großen Stick einwandfrei, wird der kleinere nicht mehr benötigt. Sie verwenden ihn im nächsten Schritt zur Installation des Kaspersky-Rettungs-Systems.

Erst mit dem Installationsscript im ESET-Live-System entsteht ein Stick mit Persistenz.


Vorsicht bei Krypto-Trojanern

Der Schadsoftwarl-ucan mit ESET: Prüfen Sie zunächst die Netzwerkverbindung und aktualisieren Sie die Signaturen, bevor Sie nach Malware auf Ihrem PC fahnden.


Handelt es sich um erpresserische Mal ware, so genannten „Krypto-Trojanern“, dann sollten Sie ermitteln, ob die Malware ihr Werk schon begonnen hat. In der Regel sehen Sie das an Dateien mit bestimmten Dateiendungen. Sind bereits viele Dateien verschlüsselt, von denen keine Backups existieren, ist es ratsam, wenigstens eine Kopie des Kryptotrojaners aufzuheben, denn häufig lässt sich der Schlüssel extrahieren – allerdings dauert es mitunter Wochen, bis die entsprechenden Werkzeuge vorliegen.

Nichts an Erpresser zahlen

Natürlich könnte man sich auf die Forderungen einlassen, doch neben dem moralischen Argument, dadurch die kriminelle Arbeit der Erpresser weiter zu unterstützen, gibt es ein hohes Restrisiko, nie an die entschlüsselten Dateien heranzukommen, beispielsweise wenn der Programmierer inzwischen aufge- flogen ist und die Polizei seinen Computer beschlagnahmt hat. Deshalb raten wir von Zahlungen ab. Für die Datensicherung können Sie eine USB-Festplatte via Dateimanager einbinden und Dateien und Ordner wie unter Windows gewohnt per Drag and Drop kopieren.

Regedit für Profis geeignet

Gelegentlich kommt es vor, dass der Grund für den nicht mehr funktionierenden Windowl-utart eine selbst vorgenommene Änderung an der Registry ist. In solchen Fällen können Sie die Registrierungsdatenbank mit dem in Kaspersky enthaltenen Registrl-uditor bearbeiten. Die Vorgehensweise unterscheidet sich dabei kaum von der Vorgehensweise mit dem Registry-Editorregedit unter Windows. So findet der Registry-Editor in der Regel alle Registry-Datenbanken der ersten Windows-Installation und zeigt die Pfade in der korrekten Syntax an.

Mehr Tools mit LessLinux

Sollten die Rettungstools von Kaspersky und ESET nicht genügen, werfen Sie einmal einen Blick auf das Notfall-SystemLessLinux Search and Rescue , welches Sie unterhttp://blog.lesslinux.org herunterladen können. Sie können es (per Win32DiskImager) auf USB-Stick installieren oder auf DVD brennen. Dieses System enthält viele Werkzeuge mit einem Fokus auf die Datenrettung.

MINI-WORKSHOP KASPERSKY VIRENKILLER-STICK ERSTELLEN

Kasperskys USB-Installation kennt nur den ModusStick im DVD-Modus : Der USB-Stick ist später unter Windows nicht lesbar. Signaturen speichert Kaspersky auf einem Laufwerk des zu scannenden PCs. Die Installation ähnelt der von ESET. Der zu bespielende Stick sollte ein Gigabyte groß sein. Mehr bringt keine Vorteile, weniger ist nicht möglich.

1 Trennen Sie alle USB-Laufwerke, und entfernen Sie weitere Wechseldatenträger vom PC. Rufen Sie dann den in der Heft-DVD-Oberfläche verlinkten Installer für Kaspersky auf. Nach Bestätigung des Haftungsausschlusses öffnet sich derWin32DiskImager .

2 Sollte im Win32DiskImager ein Laufwerksbuchstabe angezeigt werden, ist noch ein Wechseldatenträger vorhanden. Trennen Sie diesen vom Rechner, und stöpseln Sie nun den wenigstens ein Gigabyte großen Stick an, auf dem Kaspersky installiert werden soll.

Achtung! Da Win32Disl-umager den als Ziel angegebenen USB-Stick gnadenlos überschreibt, sollte beim Start des Programmes erst einmal keiner angestöpselt sein.


3 Mit dem Klick aufWrite schreiben Sie das ISOImage auf den USB-Stick – dabei werden alle dort gespeicherten Daten gelöscht. Wenn der Stick fertig geschrieben ist, können Sie direkt einen Neustart ausführen – das ist sinnvoll auf BIOSPCs, wo Sie nach dem BIOS-Pieps mit einer der Tasten [F8] bis [F11] oder [ESC] ein temporäres Bootmenü erreichen, wo Sie den Stick auswählen können. Auf UEFI-Rechnern (PC wurde mit Windows 8 bis 10 ausgeliefert), geht es eleganter.

Aufgepasst: Kaspersky erwartet in den ersten Sekunden nach dem Start die [Esc]-Taste!


4 Sollten Sie den Kaspersky-Stick irgendwann nicht mehr benötigen und wieder für die Verwendung mit Windows fit machen wollen, verwenden Sie dafür am besten die DateiUSBStick- loeschen.exe auf der Heft-DVD. Dazu klicken Sie im DVD-Menü aufVerzeichnis öffnen . Diese überschreibt die Partitionstabelle am Anfang des Sticks, und nach einem Neustart können Sie ihn unter Windows wieder mit der vollen Größe formatieren.

Viele Tools an Bord: LessLinux ist weniger übersichtlich, hält aber viele Rettungstools parat.


Beispielsweise erhalten Sie hier ein grafisches Tool zum Zugriff auf Windows-Schattenkopien; Windows legt diese bei jedem Update an, und nicht jeder Krypto-Trojaner läuft mit ausreichenden Rechten, um sie zu löschen.Qphotorec findet Dateien in scheinbar unbelegten Festplattenbereichen. Gerade bei zu unter 50% belegten Festplatten ist es damit möglich, große Teile der verloren geglaubten Dateien wiederherzustellen. Daneben bringt LessLinux auch Werkzeuge zur Analyse der Hardware mit. Die sind praktisch, wenn beispielsweise eine sterbende Festplatte ähnliche Symptome wie ein Virenbefall verursacht. Selbstverständlich befinden sich auch Tools zum Klonen der kaputten Festplatte auf eine neue oder zum Erstellen eines Images an Bord.

Und das Windows des Autors?

Der Autor hatte Glück im Unglück: Lokal waren nur ein E-Mail-Cache, viele Einstellungen und ein Firefox-Profil Betroffen. Die betroffenen Daten konnten in einer Schattenkopie gefunden werden. Bei den Daten auf der NAS war tägliche Versionierung (mittels Linux-Dateisystem BTRFS) aktiv.
Verloren waren nach dem Zurücksetzen nur einige am Freitag bearbeitete Dateien. Nachdem sichergestellt war, dass keine großen Verluste zu betrauern waren, konnte der Kryptotrojaner mit ESET aufgespürt und gelöscht werden. Seither lässt der Autor sein Windows-Notebook einmal pro Woche über Nacht von einem der Linux-basierten Livl-uysteme scannen. Sicher ist sicher: Zwar waren dank guter Backup-Strategie nur wenige Daten verloren, dennoch kostete das Aufräumen mehr als einen halben Tag Arbeit.

MINI-WORKSHOP VIRENSCAN MIT KASPERSKY

Kasperskys kompaktes Live-System konzentriert sich sehr gut auf seine Hauptaufgabe: die Suche und Beseitigung von Schadsoftware. Dennoch sind bei Start und Nutzung einige Kleinigkeiten zu beachten, damit die auf internationale Märkte ausgerichteten Eigenheiten nicht mit deutschen Präferenzen kollidieren.

Fügen Sie viaSettings die zu scannenden Laufwerke hinzu.


1 Starten Sie das Kaspersky Notfall-System, wie in den beiden Kästen zur Installation beschrieben, vom USB-Stick: Bei UEFI-PCs per Windows-Startoption, bei BIOS-PCs per [F]- Taste. Perfide: Kaspersky bittet einige Sekunden darum, die [Esc]-Taste zu drücken, um ins Bootmenü zu gelangen. Im Bootmenü wählen Sie in der Regel Englisch als Sprache und volle Grafik.

2 Wenn der Desktop geladen ist, prüfen Sie bitte, ob eine Internetverbindung besteht (beispielsweise im Browser). Stört die englische Tastaturbelegung, öffnen Sie per Menü ein Terminal, in dem Sie den Befehlsetxkbmap de ausführen. Keine Internetverbindung? Stellen Sie diese (WLAN) über das Netzwerk-Icon in der Leiste unten her.

3 Sobald die Netzwerkverbindung hergestellt ist, akzeptieren Sie die Lizenzerklärung und klicken dann im FensterRescue Tool aufUpdate Now . Das Signaturupdate findet in einem neuen Fenster statt, kostet 150 bis 300 MByte Volumen und einige Minuten Lebenszeit. Danach schließen Sie das Fenster mit der [Eingabe]-Taste.

4 Mit Klick aufChange Parameters gelangen Sie zu den Scan-Einstellungen. Standardmäßig sind nur Einstellungen für aktive Bedrohungen ausgewählt, zum Beispiel Programme, die vom Windows-Autostart bei jedem Systemstart aktiviert werden – passabel für den echten Notfall, ungenügend beim Verdacht. Um auf potentielle Bedrohungen und vor allem schlafende Schadsoftware reagieren zu können, setzen Sie ein Häkchen bei jedem Laufwerk, das kein reines Datenlaufwerk ist.

5Start Scan startet den eigentlichen Virenscan. Geben Sie ihm etwas Zeit. Bereits die Virensuche auf einer 500-GByte-Notebookplatte dauert häufig über Nacht. Immerhin: Während der Suche zeigt ein Fortschritsbalken in etwa an, wie viel bereits erledigt ist, was noch zu tun ist und informiert auch über bereits gefundene Schadsoftware.

6 Per Klick aufReport gelangen Sie zur Auswertung des Scans. Nutzen Sie zunächst den Namen der Schadsoftware, um im Internet nach Details zu recherchieren. Anschließend können Sie aus den vier Optionen wählen:Skip (überspringen),Copy to quarantine (in Quarantäne verschieben),Delete (löschen) oderCure (desinfizieren).

Kasperskys Assistent ist komplexer als der von Avira und bietet mehr Einstellmöglichkeiten.