Individueller Virenkiller-Stick
Trojaner finden und sicher eliminieren
Die Schadsoftware emotet gilt als die gefährlichste und zugleich erfolgreichste Malware des Jahres 2019. Privatleute und unternehmen wurden tausendfach Opfer des polymorphen Virus, der antiviren-Programme täuscht und austrickst. Vermuten Sie eine Infektion mit emotet, sollten Sie einen Virencheck außerhalb von Windows mit mehreren Scannern durchführen. Dafür eignen sich aktuelle Notfallscanner von aVG, avira, Bitdefender, eset oder Kaspersky. Sie starten von DVD oder uSB-Stick. Der Multi-Boot-Creator SaRDu stellt sicher, dass Sie diese Tools stets griffbereit haben.
Flexible Schadprogramme wie Emotet tricksen Windows aus
Die entwickler von emotet und vergleichbar intelligenter Malware statten ihren Digitalparasiten mit einem Tarnschild aus, um der entdeckung durch fest in Windows installierte Virenscanner zu entgehen. Dazu versteckt sich der aktive Virus beispielsweise dynamisch unter variablen Prozessnamen, wie sie auch auf nicht infizierten WindowsSystemen üblich sind.
Darüber hinaus verändert sich der Programmcode der Schadsoftware, und damit der typische Fingerabdruck, bei jeder Replikation leicht. Das erschwert die erkennung
auf Basis von Virensignaturen und macht sie teilweise unmöglich. Eingesetzte Antiviren-Software identifiziert Emotet entweder gar nicht oder löst zwar einen Alarm aus, kann die Malware aber trotz anderslautender Meldung nicht vollständig löschen. Ist Windows erst einmal infiziert, lädt Emotet über einen Control-Server flexibel weitere Schadsoftware nach. Diese ist in der Lage, die Installation von Sicherheitssoftware oder von Updates zu bereits vorhandenen Antivirus-Programmen zu blockieren. Parallel dazu versucht der Emotet-Schädling, sich über nicht geschlossene WindowsSchwachstellen sowie ausgelesene oder mittels Brute-Force-Techniken geknackten (W)LAN-Passwörtern im lokalen Netzwerk zu replizieren und Phishing-Mails zu versenden. Mit diesen Methoden kann der Virus weitere Rechner infizieren.
Emotet & Co. mit dem Virenkiller-Stick außerhalb von Windows erkennen
Durchbrechen lässt sich die Emotet-Infektionskette zuverlässig durch die Neuinstallation aller kompromittierten Systeme. Dazu müssen Sie aber erst einmal wissen, ob tatsächlich eine Virusinfektion vorliegt oder das verdächtige Verhalten Ihres Rechners auf anderweitige Probleme zurückzuführen ist. An diesem Punkt kommt SARDU ins Spiel. Das Tool von der Heft-DVD vereinigt mehrere bootfähige Virensuch- und Rettungssysteme auf einem USB-Stick oder einer DVD. Dabei wählen Sie aus rund 20 Live-Systemen aus, die sich unabhängig voneinander im SARDU-Bootmenü aufrufen lassen. Nach Abschluss der Einrichtung starten Sie Ihren PC zur Virensuche vom Multiboot-Stick oder der Multiboot-DVD. Das Booten vom Stick oder der DVD umgeht das eventuell infizierte Betriebssystem und ermöglicht einen sicheren Prüfvorgang in einer virenfreien Umgebung. Außerdem sind Sie mit dem in SARDU erstellten Virenkiller-Stick in der Lage, Ihren PC nacheinander mit mehreren aktuellen Virenscannern abzusuchen. Der Mehrfach-Check verbessert Ihre Chancen, auch Windows-Schädlinge zu erkennen, die sich aktiv tarnen. Wenn Sie auch nur die geringsten Anzeichen für einen Virenbefall feststellen oder es durch Hinweise von Dritten für möglich halten, dass Ihr PC von einer Malware attackiert wurde, ist jeder Ihrer Handgriffe von großer Bedeutung für Ihre Daten. Nur wenn Sie rasch handeln, können Sie eine Ausbreitung der Malware und Folgen wie das Verschlüsseln von Dokumenten im Falle eines Erpressungstrojaners verhindern. Es empfiehlt sich daher, den Virenkiller-Stick mit SARDU bereits im Vorfeld anzulegen und gelegentlich aufzufrischen. So können Sie im Falle eines Falles sofort mit der Prüfung des verdächtigen Systems loslegen.
Sie haben einen konkreten Virenverdacht, aber den Virenkiller-Stick noch nicht vorbereitet? Auch in diesem Fall kann Ihnen SARDU helfen. Erstellen Sie den SARDUStick dann einfach gemäß der nachfolgenden Anleitung auf einem sicheren PC, zum Beispiel im Büro oder bei einem Nachbarn.
Individuellen Multiboot-Stick zur Virensuche mit SARDU anfertigen
SARDU müssen Sie nicht installieren; Sie können das Tool direkt nach dem Entpacken von der Heft-DVD oder dem Download unter www.sarducd.it starten. Die Software ist wählerisch, was den eigenen Ordnernamen betrifft. Entscheiden Sie sich für einen Entpackpfad im Root-Verzeichnis auf der Festplatte, etwa C:\Sardu, und verzichten Sie auf Sonderzeichen im Ordernamen.
Nach dem Bestätigen des Lizenzvertrags landen Sie im Hauptfenster und werden
zu einer kostenlosen Online-Registrierung beim Hersteller aufgefordert. Die Registrierung ist nötig, damit Sie die mit dem Tool erstellten Rettungssysteme auch ausgeben können. Klicken Sie im Registrierungsfenster auf Yes, geben Sie die benötigten Angaben ein, und bestätigen Sie mit Send. Sie erhalten daraufhin eine Bestätigungs-Mail. Klicken Sie auf den enthaltenen Link zu www.sardu.pro, und melden Sie sich auf der Seite mit dem Passwort aus der Mail an. Klicken Sie auf Your account. Nun sehen Sie bei Your serial number Ihren persönlichen Freischaltschlüssel für SARDU.
Wechseln Sie zum SARDU-Fenster, gehen Sie in der Menüleiste auf Registrieren und geben Sie Ihre Mailadresse und den Schlüssel in die entsprechenden Felder ein. Nutzen Sie SARDU regelmäßig, ist die optionale Jahreslizenz von SARDU Pro für rund 10 Euro interessant. Sie bietet eine größere Auswahl an Rettungssystemen – Infos lesen Sie im Kasten auf der nächsten Seite.
Virenscanner auswählen und laden
Das Zusammenklicken der von Ihnen benötigten Antiviren-Systeme und das Ausgeben des Virenkiller-Sticks erfolgt in mehreren Schritten, angelehnt an einen Assistenten. Sie können auch ISO-Dateien einbinden, die Sie bereits heruntergeladen haben. Die Anleitung dazu finden Sie als PDF-Dokument auf der Heft-DVD.
Die Auswahl der Live-CDs, die als Basis des Multiboot-Sticks dienen, nehmen Sie über die Schaltflächen am linken Fensterrand vor. Klicken Sie auf den Button AV für Antivirus und dann in das Kästchen vor den gewünschten Virenscanner. Renommiert und aufgrund ihrer ordentlichen Suchleistung für einen ersten Probe-Stick empfehlenswert sind AVG Rescue CD, Avira Rescue System, Acronis Antimalware, Bitdefender, ESET SysRescue Live, F Secure sowie Kas
persky Rescue Disc. Diese Live-Systeme lädt das Tool direkt aus dem Internet. In der Pro-Version von SARDU werden alle gewählten Live-CDs in einem Rutsch geladen, in der Gratis-Variante bestätigen Sie das Hinweisfenster beim Anklicken des ersten Live-Systems. Gehen Sie anschließend links auf die Download-Schaltfläche mit dem Pfeil nach unten und auf Start. Warten Sie, bis das Herunterladen abgeschlossen ist, dann wählen Sie das nächste System aus und laden es ebenso herunter.
Zusätzliche Rettungs-Tools
Virenscanner, die Sie erfolgreich auf Ihren Rechner geladen haben, werden in der Liste mit einem blauen Symbol hinter dem Namen hervorgehoben. In der Spalte Größe erfahren Sie, wie viel Speicherplatz die Live-CD auf dem USB-Stick belegt. Außerdem wird der vollständige Pfad zur ISODatei auf Ihrem Rechner angezeigt.
Mit einem roten Download-Pfeil hinter dem Namen gekennzeichnete Systeme lassen sich nicht direkt in SARDU herunterladen. Ein Klick auf das Icon mit der Weltkugel öffnet die Download-Seite der entsprechenden ISO-Datei im Browser. Laden Sie die
Image-Datei dann manuell in den Ordner ISO im SARDU-Verzeichnis. Systeme, die von ihrem Hersteller als ZIP-Archiv angeboten werden, müssen Sie nach dem Download in den ISO- Ordner noch entpacken. Die Utility- Schaltfläche mit WerkzeugSymbolen am linken Fensterrand bringt Sie zu Auswahl der Erste-Hilfe-Tools für Ihren Stick. Der Pinguin darunter steht für die Linux-Systeme, die Sie in die MultibootUmgebung einbinden können. Im Bereich Windows finden sich einige Installationsmedien und weitere Boot-CDs.
Live-CDs in den Stick einbinden
Wechseln Sie über die AV- Schaltfläche ganz links zurück zu den Virenscannern. Setzen Sie vorne Häkchen vor die bereits heruntergeladenen Live-CDs, die SARDU auf den Stick schreiben soll. Durch das Setzen und Entfernen von Häkchen haben Sie jederzeit die Möglichkeit, die Systeme für Ihren Virensuch-Stick immer wieder aufs Neue individuell abzustimmen und leicht abzupassen. Je nach Auswahl erzeugen Sie zum Beispiel einen platzsparenden MultibootStick mit nur zwei Virenscannern, der auf einem älteren Stick Platz findet, oder einen universellen Antiviren-Stick mit zehn und mehr Virenscannern plus Rettungs-Tools. Gut: SARDU merkt sich die einmal getroffene Systemauswahl und zeigt sie beim nächsten Programmstart wieder an.
Die Pro-Version von SARDU kann einmal heruntergeladene Live-CDs und Tools automatisch aktualisieren. In der kostenlosen Version müssen Sie bereits geladene Systeme per Rechtsklick und den missverständlichen Kontextmenübefehl Entferne ISO Pfad manuell löschen, ehe Sie eine neuere Version herunterladen können.
Die Anzahl der ausgewählten Live-CDs und Rettungs-Tools wird Ihnen links in einem roten Kreis über den betreffenden Schaltflächen angezeigt. Wie viel Speicherplatz die gewählten Systeme auf dem Stick belegen, können Sie am rechten Fensterrand unter dem SARDU-Logo ablesen.
Multiboot-Umgebung testen
Das nützliche Testen der Multiboot-Virensuchumgebung in einer geschützten Sandbox mit dem Freeware-PC-Emulator QEMU ist eine der neueren Funktionen in SARDU. QEMU ist eine aufs Wesentliche reduzierte Alternative zu VirtualBox und Bestandteil von SARDU. Am besten funktioniert QEMU mit einer ISO-Datei. Klicken Sie rechts auf das CD-Symbol, und übernehmen Sie den vorgeschlagenen Dateinamen. Warten Sie, bis das Tool die ISO-Datei auf die Festplatte geschrieben hat. Klicken Sie dann oben in der Symbolleiste auf Test ISO, und wählen Sie die soeben erstellte ISO-Datei per Doppelklick aus. Nun startet QEMU im Fenster und zeigt eine Voransicht Ihres VirenkillerSticks, die Sie in Ruhe ausprobieren können. Auch der Start der im Auswahlmenü hinterlegten Virenscanner und Tools ist möglich. QEMU beschränkt sich jedoch auf grundlegende Funktionen, weshalb manche Live-CDs nicht richtig starten. Schließen Sie das QEMU- Fenster mit einem Klick auf das X rechts oben.
Vorbereitete Live-Systeme auf den Virenkiller-Stick übertragen
Aus der zum Testen mit dem integrierten QEMU-Emulator erstellten ISO-Datei können Sie in Ihrem Brennprogramm leicht eine Virenkiller-DVD erzeugen. In der registrierten Version von SARDU und SARDU Pro ist die Brennfunktion eingebaut.
Zum Erstellen des Virenkiller-Sticks verbinden Sie Ihren USB-Stick mit dem Rechner und klicken rechts oben auf die Schaltfläche mit der Lupe und dem Stick-Logo. SARDU scannt die Laufwerke des PCs und zeigt ein paar Infos an. Stellen Sie sicher, dass im Ausklappfeld unter der LupenStick-Schaltfläche das passende Laufwerk mit Ihrem USB-Stick eingestellt ist. Klicken Sie dann darunter auf die Schaltfläche mit dem USB-Stick, und bestätigen Sie die Nachfrage, ob Sie den Stick erstellen möchten, mit einem Klick auf Yes.
Nun kopiert SARDU die erforderlichen Dateien auf den Stick und macht ihn bootfähig. Über den Fortschritt informieren Sie die blauen Balken unten im Fenster. Der Vorgang ist abgeschlossen, sobald sich die Statuszeile ganz unten gelb färbt.
Stecken Sie den Virenkiller-Stick am gewünschten PC an, und starten Sie den Computer neu. Sind die Booteinstellungen auf einen USB-Stick festgelegt oder haben Sie den Start vom Stick per BIOS-Auswahlmenü eingeleitet, erscheint nach wenigen Sekunden das SARDU-Bootmenü.