Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 7 Min.

TROJANER KILLEN: Kaspersky Rescue Disk 18


PC Magazin - epaper ⋅ Ausgabe 10/2018 vom 07.09.2018

Nicht jede Schadsoftware wird vom Windows-Virenscanner entdeckt: Wer auf Nummer sicher gehen möchte, scannt seinen PC von Zeit zu Zeit von einem sauberen Medium. Die neue Kaspersky Rescue Disk eignet sich bestens dafür.


Artikelbild für den Artikel "TROJANER KILLEN: Kaspersky Rescue Disk 18" aus der Ausgabe 10/2018 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 10/2018

Wie ernst der Hersteller einer Antivire-oftware seine Kunden nimmt, zeigt sich an der Infrastruktur, die er für Notfälle bereitstellt. Eine unserer Meinung nach wichtige Komponente für Notfälle, bei denen Windows nicht mehr gestartet werden darf, stellen bootfähige Live-Rettungssysteme auf Linux-Basis dar.
Die meisten Hersteller vernachlässigen leider diese Programmkategorie. Darum ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2018 von DVD-INHALT. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
DVD-INHALT
Titelbild der Ausgabe 10/2018 von IFA 2018: Herbst-Trends. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IFA 2018: Herbst-Trends
Titelbild der Ausgabe 10/2018 von NVIDIA: Rasend schnelle Grafikkarten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NVIDIA: Rasend schnelle Grafikkarten
Titelbild der Ausgabe 10/2018 von CONVERTIBLE-NOTEBOOK: Schultaschentauglich. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
CONVERTIBLE-NOTEBOOK: Schultaschentauglich
Titelbild der Ausgabe 10/2018 von AKTUELL: STÖRERHAFTUNG: „Ungefährlich ist das immer noch nicht“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
AKTUELL: STÖRERHAFTUNG: „Ungefährlich ist das immer noch nicht“
Titelbild der Ausgabe 10/2018 von IT-SA 2018: Security für alle. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IT-SA 2018: Security für alle
Vorheriger Artikel
HARDWARE-, SYSTEM-UND NETZWERKANALYSE: Hardware-Check
aus dieser Ausgabe
Nächster Artikel BILDBEARBEITUNG: Fotos perfekt!
aus dieser Ausgabe

Wie ernst der Hersteller einer Antivire-oftware seine Kunden nimmt, zeigt sich an der Infrastruktur, die er für Notfälle bereitstellt. Eine unserer Meinung nach wichtige Komponente für Notfälle, bei denen Windows nicht mehr gestartet werden darf, stellen bootfähige Live-Rettungssysteme auf Linux-Basis dar.
Die meisten Hersteller vernachlässigen leider diese Programmkategorie. Darum stellen wir unseren Lesern mindestens einmal jährlich ein Rettungssystem mit mehreren Virenscannern auf unserer Heft-DVD zur Verfügung. Hat sich Ihr Rechner einen Kryptotrojaner eingefangen, dieser aber bislang nur unwichtige Dateien beschädigt, bootet man das Live-System, räumt auf und kann anschließend wieder gefahrlos Windows starten. Ein weiteres, akuelles Rettungssystem stellen wir Ihnen im Folgenden vor.

Kompakter als alles andere

Der russische Hersteller Kaspersky zog als Reaktion auf Spionagevorwürfe aus aller Welt große Teile seiner Infrastruktur in die Schweiz um. Dort hat Kaspersky nun seine seit 2013 kaum veränderte Rescue Disk in einer komplett überholten Version vorgestellt. So ist der nun verwendete Linux-Systemkern aus der 4.9er-Reihe und unterstützt sehr gut Hardware, die vor dem ersten Quartal 2017 in den Verkauf ging. Trotz Neuerungen an der Systembasis, wie dem zusätzlichen, automatisch gestarteten Kernel für 64-Bit-Systeme, bleibt Kasperskys Notfall-System unter der 700 MB-Grenze, passt also auf eine normale CD oder auf einen Ein-Gigabyte-USB-Stick. Die meisten anderen Notfall-Systeme erfordern DVD-Rohlinge und Sticks von zwei oder gar acht Gigabyte.
Keine Experimente macht Kaspersky beim ausgelieferten Image-Format: Es handelt sich um ein hybrides ISO-Image, das sowohl dem ISO9660-Standard entspricht (also auf CD gebrannt werden kann) als auch ein valides Festplattenimage ist. Das geht, weil das ISO-Dateisystem die ersten 32 Blöcke ignoriert. Hier sind Bootsektor und Festplattenbootloader des Festplattenimages untergebracht, und das Linux-System kann den USB-Stick beim Start ansprechen, als wäre es ein DVD-Laufwerk. Kleiner Nachteil des hybriden ISOs: Windows erkennt den Stick nicht mehr, und auch ihn wieder für Windows zu formatieren, benötigt einen Kniff. Für die Wiederherstellung der Nutzbarkeit unter Windows haben wir daher ein kleines Tool mit auf der Heft-DVD untergebracht. Weil keine Konvertierung des hybriden Formats stattfindet, bringt ein größerer Stick als ein Gigabyte keinerlei Vorteile.
Und weil auch die Installation des hybriden ISOs Spezialwerkzeug erfordert, haben wir einen kleinen Installer auf unsere DVD gepackt, welcher den Win32DiskImager nutzt, um den Stick zu beschreiben. Da die ersten 600 MByte des Sticks komplett überschrieben werden, sollten Sie zunächst alle Wechseldatenträger entfernen (auch SD-Karten und eSATA-Festplatten), damit Win32Dis-mager im Dropdown-Menü der Ziellaufwerke nichts mehr anzeigt. Stöpseln Sie erst dann den Ziel-Stick an, und klicken Sie auf Write, um den Stick zu beschreiben. Wegen der kompakten Größe ist das Schreiben auch bei sehr langsamen Sticks in etwa fünf Minuten abgeschlossen.

Der erste Start

Bitte beachten Sie vor dem ersten Start unseren Hinweiskasten: Je nach Szenario kann es sinnvoll sein, zunächst ein Rettungssystem zu booten, um ein Image zu erstellen oder Daten zu retten – und erst anschließend einen Virenscan mit Kasperskys System durchzuführen. Auf PCs mit UEFI (die meisten PCs, die mit Windows 8 bis 10 ausgeliefert wurden) genügt es in der Regel, bei gedrückter Shift-Taste mit der linken Maustaste auf Neu starten zu gehen und Ein Gerät auswählen anzuklicken, um den frisch beschriebenen USB-Stick oder die frisch gebrannte CD als Bootmedium auszuwählen. Mitunter funktioniert dieser „fliegende Neustart“ aber erst nach einem Neustart von Windows, bei dem das neue Bootmedium anwesend war. Auf BIOS-PCs und UEFI-Geräten, deren Windows nicht mehr startet, gelangen Sie in der Regel mit Esc oder einer der Funktionstasten F8 bis F11 in ein temporäres Bootmenü. Alternativ können Sie in den BIOS-Einstellungen dauerhaft die Startreihenfolge so verändern, dass bei eingestecktem bootfähigem Stick oder eingelegter bootfähiger CD dieses Startmedium bevorzugt verwendet wird.
Achten Sie auf den Hinweis Press ‚Esc‘ to boot Kaspersky Rescue Disk! Wenn Sie nicht Esc drücken, startet der PC ganz normal. Im Bootmenü von Kaspersky haben Sie zunächst die Möglichkeit, zwischen Englisch und Russisch zu wählen. In einem zweiten Schritt steht die Auswahl des Grafikmodus an – in der Regel fahren Sie mit der voreingestellten ersten Option gut. Kaspersky bootet dann in einen Desktop, der sich an älteren Windows-Versionen orientiert und in dem sich jeder sofort zurechtfinden dürfte. Kurios: Die grafische Oberfläche der KRD 18 wird von XFCE 4 bereitgestellt; dennoch verwendet der „Startknopf“ das K von KDE – KRD 10 nutzte KDE 4.

Signaturupdate nötig: Selbst wenn Sie ein tagesaktuelles ISO heruntergeladen haben, führen Sie vor dem Scan die Aktualisierung durch.


Vorsicht Falle!

Kaspersky kopiert Virensignaturen und Protokolle auf die Windows-Partition. Eine goute Idee mit einem kleinen Haken.

■ Datenrettung gefährdet

Fährt man einen PC herunter, während ein Kryptotrojaner gerade verschlüsselt, hat man oft gute Chancen, unverschlüsselte Kopien der zerstörten Daten aus vermeintlich freien Blöcken der Festplatte zu extrahieren. Ärgerlich, wenn Kaspersky mit der Zwischenlagerung von Signaturen und Signaturupdates die Chance auf Datenrettung senkt. Sollte eine Datenrettung vor dem Virenscan sinnvoll erscheinen, verwenden Sie ein System wie LessLinux Search and Rescue, um vor der Verwendung der Kaspersky CD Daten mit Photorec zu bergen oder ein Image zu erstellen.

KRD legt Signaturen auf der Windows-Partition ab; manchmal ist das unerwünscht!


Desktop und Startmenü orientieren sich an Windows; nur die allernötigsten Programme sind enthalten.


Achtung: Hibernation!

In vielen Fällen wird Kaspersky warnen, dass ein unsauber geschlossenes NTFSDateisystem gefunden wurde. Dies liegt daran, dass Windows 8 und höher für einen schnelleren Bootvorgang zwar die Anwendungen schließen, aber Kernel und Grafiksubsystem in eine Auslagerungsdatei schreiben. Das kombiniert die Vorteile eines kompletten Neustarts (Memory Leaks von Anwendungen stellen kein Problem dar) mit den Vorteilen des Hibernation (schnellerer Start). Ist Ihr Windows gefahrlos startfähig, fahren Sie es mit dem Befehl shutdown.exe /s /t 0 einmal vollständig herunter. Soll das Windows nicht mehr gestartet werden (Crypt-rojaner oder ähnliches), lesen Sie bitte im Abschnitt Kommandozeile, welche Möglichkeiten Sie haben.
Mit dem Desktop startet Kasperkys Virensuchtool, das wenig mit den unter Windows bekannten Varianten zu tun hat. Klar, die Aufgabenstellung ist eine andere: Während der Virenscanner unter Windows vor allem dazu dient, heruntergeladene Dateien und E-Mail-Anhänge zu analysieren und verdächtige Prozesse zu überwachen, dient der Virenscanner im Linux-Live-System dazu, einen möglichst vollumfänglichen Signatur-basierten Scan über alle potenziell gefährlichen Dateien auszuführen. Aspekte wie Komfort – ein Virenscanner soll effizient arbeiten, sich aber mit Meldungen zurückhalten und nicht allzu viel Prozessorleistung beanspruchen – sind beim Live-System zweitranging. Im Gegenteil: Eine gute Auslastung der CPU sollte dafür sorgen, dass der Scan schnell geht und dennoch jede Schadsoftware erkannt wird.

Der Registr-ditor greift automatisch auf die Datenbanken des ersten gefundenen Windows zu.


Unterschiede der Scan-Methoden

Der Virenscanner im laufenden Windows ist zuallererst ein Wächter an den typischen Einfallstoren: E-Mails, Downloads und angestöpselte USB-Sticks. Zudem muss er auf ungewöhnliches Verhalten von Prozessen reagieren können. Der Virenwächter des Live-Systems hat dagegen Zugriff auf alle Dateien und kann auch reagieren, wenn es Schadsoftware gelungen ist, den Windows-Scanner auszuschalten.

Scan starten

Lädt man KRD 18 von Kasperskys Servern herunter, erhält man automatisch den Signaturstand des Vorabends. Bedingt durch die Produktionsabläufe der Heft-DVD sind hier die Signaturen am Erstverkaufstag etwa zwei Wochen alt. Sie sollten also auf jeden Fall ein Signaturupdate durchführen, bevor Sie den Virenscan starten Das gelingt per Klick auf Update now oben im Assistenten. Der Virenscan selbst verwendet vernünftige Standardeinstellungen: Gescannt wird jedes Windows-Laufwerk, also FAT- und NTFS-Partitionen. Die unveränderlichen Scanparameter untersuchen jede Datei mit unterschiedlicher Gründlichkeit: Bedingt durch den Live-Charakter, bei dem Archive beispielsweise als Datenstrom gescannt oder im RAM entpackt werden müssen, fällt deren Prüfung oft nicht so tief aus, wie die von EXE-Dateien oder DLLs. Für die Behandlung infizierter Dateien sieht Kaspersky keine Voreinstellungen vor; stattdessen muss nach Abschluss des Scans für jede einzelne Datei ausgewählt werden, wie vorzugehen ist. Eine Standardaktion kann dabei global angewandt werden.
Positiv fiel uns auf, dass Kaspersky nun das gerade bei Windows-10-Geräten mit eMMC oder kleiner SSD gerne genutzte Kompressionsverfahren Compact OS unterstützt. Da die NTFS-Komprimierung transparent arbeitet, waren so komprimierte Dateien bislang zwar sichtbar, der Zugriffsversuch bescherte jedoch I/O Errors und die Dateien wurden nicht gescannt. Zugriffsprobleme kann es dennoch geben: Viele Pseud-ardware RAIDs werden vom Linux-Kernel nicht erkannt, und in Software umgesetzte Hybridspeicherlösungen – eine kleine SSD als Cache für eine große Festplatte – verursachen mitunter Probleme. Falls Sie etwa eine Intel Smart Response oder Intel Rapis Storage Technology Lösung im Notebook verbaut haben, sollten Sie diese vor dem Scan mit Kaspersky und ähnlich gestrickten Linux-basierten Systemen deaktivieren.

Weitere wichtige Rettungssysteme im Überblick

Ein Rettungssystem für alle Aufgaben? Das geht nicht; zumindest nicht, wenn die Größe einigermaßen kompakt bleiben soll. So konzentrieren sich verschiedene Linux-basierte Rettungssysteme auf verschiedene Aufgabenstellungen.

ESET Sysrescue

ESETs Notfall-System gehört wie Kaspersky zu den Systemen mit Schwerpunkt Virenscan.

+ Signaturen persistent auf USB
+ Virenscan per Terminal möglich
+ (teilweise) deutsch lokalisiert
32-Bit-Kernel nicht ideal
8-GByte-Stick sinnvoll

Rescatux

Das im Umfeld der SuperGrubDisk entstandene Projekt bringt vor allem Werkzeuge zur Bootreparatur mit.

+ Kompakt, passt auf eine CD
+ Viele Werkzeuge für die Bootreparatur
+ Werkzeuge für die Windows-Reparatur
Keine Virenscanner
Wenig Rettungs- und Forensiktools

LessLinux Search and Rescue

Recht großes Notfall-System mit vielen Forensik- und Rettungstools, Virenscanner zur Laufzeit nachinstallierbar.

+ 32- und 64-Bit-Kernel
+ Umfangreiche Toolsammlung
+ Signaturen persistent auf USB
Virenscannerinstallation umständlich
Sehr großer Downloadumfang

ViaEinstellungen können Sie den Virenscan auf bestimmte Ordner einschränken.


Weitere Tools

Mit dem Button Tools können Sie auf drei weitere Werkzeuge zugreifen: DerRegistry Editor dient der Bearbeitung von Registrierungsdatenbanken, wenn beispielsweise ein Fehler in einer frisch vorgenommenen Einstellung den Windows-Start verhindert. DerWindows-Unlocker korrigiert Einträge der Standard-Shell, wenn sich zum Beispiel ein Erpressungstrojaner als Shell eingetragen hat. USB Recover repariert den verloren gegangenen Zugriff auf USB-Peripherie nach der Deinstallation einiger Kaspersk-rodukte unter Windows.

Die Kommandozeile

Wichtig wird die Kommandozeile, wenn das Dateisystem eines nicht vollständig heruntergefahrenen Windows eingebunden werden soll. Im Terminal verwenden Sie zunächst setxkbmap de um eine deutsche Tastaturbelegung zu erhalten. Sie können dann mit parted -l alle Laufwerke und Partitionen anzeigen lassen. Soll ein bestimmtes, nicht sauber geschlossenes NTFS-Laufwerk eingebunden werden, erzeugen Sie zunächst den Mountpoint und weisen den NTFS-Treiber dann explizit an, Log und Hiberfil.sys zu verwerfen:
mkdir -p /mnt/sda2
mount -t ntfs-3g -o recover, remove_ hiberfile /dev/sda2 /mnt/sda2
Anschließend können Sie das Kaspersk-escue-Tool über das Icon auf dem Desktop starten und so auch das zuvor verweigerte Laufwerk auf Viren untersuchen.