Kaspersky-Rescue-DVD 18
Nicht jede Schadsoftware wird vom Windows-Virenscanner entdeckt: Wer auf Nummer sicher gehen möchte, scannt seinen PC von Zeit zu Zeit von einem sauberen Medium. Die neue Kaspersky Rescue Disk eignet sich bestens dafür.
Suchen und beseitigen Sie alle Bots und Trojaner
Wie ernst der hersteller einer antivirenSoftware seine Kunden nimmt, zeigt sich an der infrastruktur, die er für Notfälle bereitstellt. eine unserer Meinung nach wichtige Komponente für Notfälle, bei denen Windows nicht mehr gestartet werden darf, stellen bootfähige live-Rettungssysteme auf linux-Basis dar. Die meisten hersteller vernachlässigen leider diese Programmkategorie. Darum stel- len wir unseren lesern mindestens einmal jährlich ein Rettungssystem mit mehreren Virenscannern auf unserer heft-DVD zur Verfügung. hat sich ihr Rechner einen Kryptotrojaner eingefangen, dieser aber bislang nur unwichtige Dateien beschädigt, bootet man das live-System, räumt auf und kann anschließend wieder gefahrlos Windows starten. ein weiteres, akuelles Rettungssystem stellen wir ihnen im Folgenden vor.
Kompakter als alles andere
Der russische hersteller Kaspersky zog als Reaktion auf Spionagevorwürfe aus aller Welt große teile seiner infrastruktur in die Schweiz um. Dort hat Kaspersky nun seine seit 2013 kaum veränderte Rescue Disk in einer komplett überholten Version vorgestellt. So ist der nun verwendete linux-Systemkern aus der 4.9er-Reihe und unterstützt sehr gut hardware, die vor dem
ersten Quartal 2017 in den Verkauf ging. Trotz Neuerungen an der Systembasis, wie dem zusätzlichen, automatisch gestarteten Kernel für 64-Bit-Systeme, bleibt Kasperskys Notfall-System unter der 700 MB-Grenze, passt also auf eine normale CD oder auf einen Ein-Gigabyte-USB-Stick. Die meisten anderen Notfall-Systeme erfordern DVD-Rohlinge und Sticks von zwei oder gar acht Gigabyte. Keine Experimente macht Kaspersky beim ausgelieferten Image-Format: Es handelt sich um ein hybrides ISO-Image, das sowohl dem ISO9660-Standard entspricht (also auf CD gebrannt werden kann) als auch ein valides Festplattenimage ist. Das geht, weil das ISO-Dateisystem die ersten 32 Blöcke ignoriert. Hier sind Bootsektor und Festplattenbootloader des Festplattenimages untergebracht, und das Linux-System kann den USB-Stick beim Start ansprechen, als wäre es ein DVD-Laufwerk. Kleiner Nachteil des hybriden ISOs: Windows erkennt den Stick nicht mehr, und auch ihn wieder für Windows zu formatieren, benötigt einen Kniff. Für die Wiederherstellung der Nutzbarkeit unter Windows haben wir daher ein kleines Tool mit auf der Heft-DVD unterge- bracht. Weil keine Konvertierung des hybriden Formats stattfindet, bringt ein größerer Stick als ein Gigabyte keinerlei Vorteile. Und weil auch die Installation des hybriden ISOs Spezialwerkzeug erfordert, haben wir einen kleinen Installer auf unsere DVD gepackt, welcher den Win32DiskImager nutzt, um den Stick zu beschreiben. Da die ersten 600 MByte des Sticks komplett überschrieben werden, sollten Sie zunächst alle Wechseldatenträger entfernen (auch SD-Karten und eSATA-Festplatten), damit Win32DiskImager im Dropdown-Menü der Ziellaufwerke nichts mehr anzeigt. Stöpseln Sie erst dann den Ziel-Stick an, und klicken Sie auf Write, um den Stick zu beschreiben. Wegen der kompakten Größe ist das Schreiben auch bei sehr langsamen Sticks in etwa fünf Minuten abgeschlossen.
Der erste Start
Bitte beachten Sie vor dem ersten Start unseren Hinweiskasten: Je nach Szenario kann es sinnvoll sein, zunächst ein Rettungssystem zu booten, um ein Image zu erstellen oder Daten zu retten – und erst anschließend einen Virenscan mit Kasperskys System durchzuführen. Auf PCs mit UEFI (die meisten PCs, die mit Windows 8 bis 10 ausgeliefert wurden) genügt es in der Regel, bei gedrückter Shift-Taste mit der linken Maustaste auf Neu starten zu gehen und Ein Gerät auswählen anzuklicken, um den frisch beschriebenen USB-Stick oder die frisch gebrannte CD als Bootmedium auszuwählen. Mitunter funktioniert dieser „fliegende Neustart“aber erst nach einem Neustart von Windows, bei dem das neue Bootmedium anwesend war. Auf BIOS-PCs und UEFI-Geräten, deren Windows nicht
mehr startet, gelangen Sie in der Regel mit Esc oder einer der Funktionstasten F8 bis F11 in ein temporäres Bootmenü. Alternativ können Sie in den BIOS-Einstellungen dauerhaft die Startreihenfolge so verändern, dass bei eingestecktem bootfähigem Stick oder eingelegter bootfähiger CD dieses Startmedium bevorzugt verwendet wird. Achten Sie auf den Hinweis Press ‚Esc‘ to bootKasperskyRescueDisk! Wenn Sie nicht Esc drücken, startet der PC ganz normal. Im Bootmenü von Kaspersky haben Sie zunächst die Möglichkeit, zwischen Englisch und Russisch zu wählen. In einem zweiten Schritt steht die Auswahl des Grafikmodus an – in der Regel fahren Sie mit der voreingestellten ersten Option gut. Kaspersky bootet dann in einen Desktop, der sich an älteren Windows-Versionen orientiert und in dem sich jeder sofort zurechtfinden dürfte. Kurios: Die grafische Oberfläche der KRD 18 wird von XFCE 4 bereitgestellt; dennoch verwendet der „Startknopf“das K von KDE – KRD 10 nutzte KDE 4.
Achtung: Hibernation!
In vielen Fällen wird Kaspersky warnen, dass ein unsauber geschlossenes NTFSDateisystem gefunden wurde. Dies liegt daran, dass Windows 8 und höher für einen schnelleren Bootvorgang zwar die Anwendungen schließen, aber Kernel und Grafiksubsystem in eine Auslagerungsdatei schreiben. Das kombiniert die Vorteile eines kompletten Neustarts (Memory Leaks von Anwendungen stellen kein Problem dar) mit den Vorteilen des Hibernation (schnellerer Start). Ist Ihr Windows gefahrlos startfähig, fahren Sie es mit dem Befehl shutdown.exe /s /t 0 einmal vollständig herunter. Soll das Windows nicht mehr gestartet werden (Crypto- Trojaner oder ähnliches), lesen Sie bitte im Abschnitt Kommandozeile, welche Möglichkeiten Sie haben. Mit dem Desktop startet Kasperkys Virensuchtool, das wenig mit den unter Windows bekannten Varianten zu tun hat. Klar, die Aufgabenstellung ist eine andere: Während der Virenscanner unter Windows vor allem dazu dient, heruntergeladene Dateien und E-Mail-Anhänge zu analysieren und verdächtige Prozesse zu überwachen, dient der Virenscanner im Linux-Live-System dazu, einen möglichst vollumfänglichen Signatur-basierten Scan über alle potenziell gefährlichen Dateien auszuführen. Aspekte wie Komfort – ein Virenscanner soll effizient arbeiten, sich aber mit Meldungen zurückhalten und nicht allzu viel Prozessorleistung beanspruchen – sind beim Live-System zweitranging. Im Gegenteil: Eine gute Auslastung der CPU sollte dafür sorgen, dass der Scan schnell geht und dennoch jede Schadsoftware erkannt wird.
Scan starten
Lädt man KRD 18 von Kasperskys Servern herunter, erhält man automatisch den Signaturstand des Vorabends. Bedingt durch die Produktionsabläufe der Heft-DVD sind hier die Signaturen am Erstverkaufstag etwa zwei Wochen alt. Sie sollten also auf jeden Fall ein Signaturupdate durchführen, bevor Sie den Virenscan starten Das gelingt per Klick auf Update now oben im Assistenten. Der Virenscan selbst verwendet vernünftige Standardeinstellungen: Gescannt wird jedes Windows-Laufwerk, also FAT- und NTFS-Partitionen. Die unveränderlichen Scanparameter untersuchen jede Datei mit unterschiedlicher Gründlichkeit: Bedingt durch den Live-Charakter, bei dem Archive beispielsweise als Datenstrom gescannt oder im RAM entpackt werden müssen, fällt deren Prüfung oft nicht so tief aus,
wie die von EXE-Dateien oder DLLs. Für die Behandlung infizierter Dateien sieht Kaspersky keine Voreinstellungen vor; stattdessen muss nach Abschluss des Scans für jede einzelne Datei ausgewählt werden, wie vorzugehen ist. Eine Standardaktion kann dabei global angewandt werden. Positiv fiel uns auf, dass Kaspersky nun das gerade bei Windows-10-Geräten mit eMMC oder kleiner SSD gerne genutzte Kompressionsverfahren Compact OS unterstützt. Da die NTFS-Komprimierung transparent arbeitet, waren so komprimierte Dateien bislang zwar sichtbar, der Zugriffsversuch bescherte jedoch I/O Errors und die Dateien wurden nicht gescannt. Zugriffsprobleme kann es dennoch geben: Viele Pseudo- Hardware RAIDs werden vom Linux-Kernel nicht erkannt, und in Software umgesetzte Hybridspeicherlösungen – eine kleine SSD als Cache für eine große Festplatte – verursachen mitunter Probleme. Falls Sie etwa eine Intel Smart Response oder Intel Rapis Storage Technology Lösung im Notebook verbaut haben, sollten Sie diese vor dem Scan mit Kaspersky und ähnlich gestrickten Linux-basierten Systemen deaktivieren.
Weitere Tools
Mit dem Button Tools können Sie auf drei weitere Werkzeuge zugreifen: Der Registry
Editor dient der Bearbeitung von Registrierungsdatenbanken, wenn beispielsweise ein Fehler in einer frisch vorgenommenen Einstellung den Windows-Start verhindert. Der Windows-Unlocker korrigiert Einträge der Standard-Shell, wenn sich zum Beispiel ein Erpressungstrojaner als Shell eingetragen hat. USB Recover repariert den verloren gegangenen Zugriff auf USB-Peripherie nach der Deinstallation einiger KasperskyProdukte unter Windows.
Die Kommandozeile
Wichtig wird die Kommandozeile, wenn das Dateisystem eines nicht vollständig heruntergefahrenen Windows eingebunden werden soll. Im Terminal verwenden Sie zunächst setxkbmap de um eine deutsche Tastaturbelegung zu erhalten. Sie können dann mit parted -l alle Laufwerke und Partitionen anzeigen lassen. Soll ein bestimmtes, nicht sauber geschlossenes NTFS-Laufwerk eingebunden werden, erzeugen Sie zunächst den Mountpoint und weisen den NTFS-Treiber dann explizit an, Log und Hiberfil.sys zu verwerfen: mkdir -p /mnt/sda2 mount -t ntfs-3g -o recover,remove_ hiberfile /dev/sda2 /mnt/sda2 Anschließend können Sie das KasperskyRescue-Tool über das Icon auf dem Desktop starten und so auch das zuvor verweigerte Laufwerk auf Viren untersuchen.