Alle Bots löschen
Das PC-Magazin-AntivirenSystem bekämpft Schadsoftware wie Spambots, Krypto-Trojaner und Adware, auch wenn diese tief im System verankert sind. Unser Live-Linux System dient als Basis – zum Booten von DVD oder Stick.
Intelligent programmierter Schadsoftware gelingt es mitunter, Virenscanner und andere Schutzsoftware auszuschalten. Doch es gibt einen Trick, mit dem Sie solch hinterlistigen Programme erkennen und löschen können: der Einsatz von Virenscannern auf Live-Systemen. Hier wird ein Linux-basiertes System von USB-Stick oder DVD gebootet, sodass keine Gefahr besteht, infizierte Dateien oder AutostartProgramme auszuführen. Vom Linux-System aus kann nun das infizierte Windows untersucht und gereinigt werden. Da keine bösartigen Prozesse Dateien blockieren können, gelingt auch die Reinigung aus dem Live-System heraus. Leser der regulären PCM-Ausgabe finden ISO-Images von LessLinux Search and Rescue und ESET Sysrescue Live auf der DVD. Mit beiden können Sie einen bootfähigen USB-Stick erzeugen. Im Falle von ESET empfehlen wir jedoch, das ISO Image zunächst zu brennen, von diesem zu booten und mit dem auf dem Desktop hinterlegten Programm die Erstellung des USB-Sticks zu starten. Der so erstellte Stick speichert Signaturen persistent, kann also an einem PC mit Internetverbindung aktualisiert werden, um dann einen anderen PC zu scannen. Bei LessLinux ist diese Einschränkung nicht vorhanden. Bei Installation auf einem wenigstens 16 GByte großen Stick wird dieser
beim ersten Start umpartitioniert (was eine Viertelstunde in Anspruch nehmen kann). LessLinux enthält den freien Virenscanner ClamAV – AVG und ESET können per Assistenten ( Zubehör > Software installieren) nachinstalliert werden. Leser der regulären Ausgabe können also nach Installation mit drei Virenscannern loslegen. Für Leser der Super-Premium-Ausgabe haben wir eine Abkürzung beigelegt: Die Bonus-DVD ist bootfähig und startet per Auswahl im Bootmenü wahlweise LessLinux Search and Rescue mit dem PC-MagazinAssistenten (hier ist ESET bereits integriert, AVG kann nachinstalliert werden), das schlanke System von AVG sowie Kaspersky und Avira. Es stehen also vier bootfähige Systeme sofort bereit.
Installation empfohlen
Der Start von DVD ist vor allem sinnvoll, wenn kein „sauberer“Rechner zur Verfügung steht, um einen USB-Stick zu erstellen, oder ein Computer partout nicht von USB starten möchte. Da Virensignaturen mitunter sehr umfangreich werden können – sowohl ESET als auch AVG benötigen rund 400 MByte – und diese beim Einsatz von DVD komplett im Arbeitsspeicher liegen müssen, wird mitunter der Speicher beim Virenscan knapp. Schlimmstenfalls drohen Abbrüche des Scans.
Vorbereitung von Windows
Falls ein Windows-PC noch startet, sollten Sie ihn einmal komplett mit dem folgenden Befehl herunterfahren: shutdown.exe /s /t 0 Sie können dieses Kommando in eine CMDEingabeaufforderung, eine Powershell oder direkt ins Windows-Suchfeld eingeben. Gerade PCs mit Windows 8 und höher sind in der Regel so konfiguriert, dass sie Kernel und einige Systemprozesse nur auslagern ( Hibernation). Microsoft nennt dies Hiberboot beziehungsweise Hyperboot. Das hat im Normalbetrieb schnellere Starts zur Folge, sorgt aber dafür, dass nicht alle Dateien auf Festplatte geschrieben werden, mitunter sind unter Windows sichtbare Dateien im Cache noch gar nicht auf Festplatte geschrieben worden. Dies kann Scanergebnisse verfälschen, teilweise auch das Booten des Livesystems verhindern und sollte daher nach Möglichkeit deaktiviert werden.
Der Start des Live-Systems
Bevor Sie das Live-System starten, ist es gut, herauszufinden, ob Ihr Computer BIOS oder UEFI zum Start nutzt. Als Faustregel können Sie Alter und Auslieferungszustand heranziehen: Mit Windows 7 und Vista ausgelieferte Computer nutzen meist BIOS, mit Windows 8 und höher ausgelieferte PCs nutzen in der Regel UEFI. Ab Mitte 2012 ausgelieferte Mainboards sind ebenfalls UEFItauglich, wurden aber oft in BIOS-Kompatibilitätsmodus umgestellt, wenn Windows 7 darauf installiert werden sollte. Auf BIOSPCs können Sie meist mit den Tasten [ Esc], oder [ F8] bis [ F12] ein temporäres Bootmenü aufrufen, oder Sie können mit [ Entf] ins Setup gelangen und hier dauerhaft USB-Stick oder DVD-Laufwerk an die vorderen Stellen der Startreihenfolge schieben. Der Computer startet dann von diesen Medien, wenn sie präsent sind. Oft funktioniert der Aufruf des temporären Bootmenüs auch auf UEFI-Systemen, allerdings steckt hier der Teufel im Detail, denn
oft ist ein Schnellstart aktiviert, der Tastaturen erst spät während des Startvorgangs aktiviert. Erst nach drei Fehlstarts schaltet sich dieser Schnellstart selbst aus. Startet Windows noch, hilft hier der Trick mit der Umschalttaste: Legen Sie die bootfähige DVD ein oder stöpseln Sie den Stick an und starten Sie dann Windows. Gehen Sie nun auf Neustart/Herunterfahren und klicken Sie bei gedrückter Umschalttaste auf Neu starten. Sie können nun erweiterte Startoptionen auswählen. Klicken Sie hier Ein Gerätverwenden und wählen Sie im nächsten Schritt das Bootmedium. Bietet Ihr Windows keine bootfähigen Geräte an, verwendet der Rechner möglicherweise ein 32-Bit-UEFI – insbesondere günstige Tablets und Netbooks, die zwischen 2012 und 2015 ausgeliefert wurden und einen Atom-basierten Prozessor ( Baytrail und Ähnliche) verwenden. Die Verwendung eines 32-Bit-Windows ist häufig ein Hinweis auf ein 32-Bit-UEFI. Auf diesen Rechnern sollten Sie versuchen, im UEFI-Setup den BIOS-Kompatibilitätsmodus CSM (Compatibility Support Module, oft Legacy OS Support genannt) zu aktivieren.
Welchen Scanner nehmen?
Sie haben eine Vorliebe für einen bestimmten Virenscanner unter Windows entwickelt? Bei der Verwendung eines LiveSystems sollten Sie diese Vorliebe etwas beiseitelegen. Unter Windows arbeiten die Scanner meist On-Access, also wenn auf eine Datei zugegriffen wird oder ein Download abgschlossen ist. Unter Linux ist sequenzieller On-Demand-Scan die Regel. Wie fein granuliert und gut austariert der On-Access-Scanner gewarnt hat, ist hier zweitrangig. Auch die Benutzeroberflächen unterscheiden sich oft signifikant: Oft sind sie bei den Linux-Live-Systemen nur dünne Softwareschichten über den Werkzeugen, die sonst dafür verwendet werden, auf Linux-basierten Mailservern nach Schadsoftware in Anhängen zu suchen. Das macht sie angesichts der darunter liegenden Scan-Engines nicht schlechter, erfordert aber mitunter Umdenken. Die Wahl eines bestimmten Live-Systems sollte daher vor allem von der Hardware-Unterstüzung abhängen. Avira und Kaspersky nutzen eine bewährte Systembasis, die allerdings bei sehr neuer Hardware manchmal ins Hintertreffen gerät. ESET und LessLinux sind recht aktuell, fühlen sich aber mit etwas mehr Arbeitsspeicher wohler. Wir raten daher dazu, nach Möglichkeit alle verfügbaren Systeme durchzuprobieren und vor allem nach Hardware-Unterstützung zu unterscheiden.
! Reichliche Aktualisierungen
Bitte nutzen Sie die Aktualisierungsfunktion, die in LessLinux respektive der PC-Magazin-Notfall-DVD unter dem Menüpunkt Zubehör/Suche nach Aktualisierungen enthalten ist, um auch nach Updates für die anderen Rettungssysteme zu prüfen: Von Kasperskys Rescue CD etwa durften wir die neueste Version bereits ausprobieren, allerdings war diese zum Redaktionsschluss noch nicht freigegeben. Sie sollte kurz nach Verkaufsstart des Heftes verfügbar sein. Über ein mögliches Update mit direkter USB-Installationsmöglichkeit informieren wir über die Aktualisierungsfunktion von LessLinux. ESET stellte uns zwischen DVD-Mastering und Redaktionsschluss ebenfalls einen Schlüssel zur Verfügung, mit dem Sie ein auf USB installiertes LessLinux mit ESET-Virenscanner statt 100 Tagen ein ganzes Jahr nutzen können.
Keine Laufwerksbuchstaben
Linux verwendet keine Laufwerksbuchstaben, sondern Gerätedateien nach dem Muster /dev/sda1, was die erste Partition der zuerst gefundenen Festplatte ( sda) anzeigt. Meist werden interne SATA-Platten und SSDs zuerst enumeriert, sodass sda und gegebenenfalls sdb die internen Laufwerke sind, USB folgt mit höheren Buchstaben. Die Live-Systeme von Avira, ESET und Kaspersky versuchen beim Start unbeschädigte
Partitionen schreibbar einzubinden, sodass Sie gleich einen Virenscan mit Desinfektion durchführen können. Erleichtert wird die Scan-Auswahl bei diesen Systemen dadurch, dass sie versuchen, Windows-Laufwerksbuchstaben abzubilden. LessLinux ist ein wenig vorsichtiger, es bindet zunächst keine Laufwerke ein, dies müssen Sie selbst durch das Tool Laufwerke im Tray erledigen. Hier helfen Ihnen Größenangaben und gegebenenfalls vergebene Labels bei der Zuordnung. Prinzipiell sind alle Frontends der Virenscanner so eingestellt, dass sie zunächst Viren suchen und keine Änderung ganz ohne Rücksprache durchführen. Gerade den ersten Scan sollten Sie benutzen, um sich zunächst einen Überblick zu verschaffen. Sichern Sie Protokolle der verschiedenen Scanner auf USB-Stick und verwenden Sie bei Funden ein wenig Zeit auf Recher- che. Hier hilft oft LessLinux, das einen kompletten Notfall-Arbeitsplatz inklusive Textverarbeitung, Browser, E-Mail etc. mitbringt. Wurde beispielsweise ein Crypto-Trojaner gefunden, versuchen Sie herauszufinden, welche Dateiendungen dieser benutzt, und suchen Sie auf Ihrer Festplatte, ob bereits Dateien verschlüsselt wurden. Starten Sie in diesem Fall keinesfalls Windows, denn hier besteht die Gefahr, dass der Trojaner die Verschlüsselung beginnt oder damit weitermacht.
Schattenkopien als Rettung
Wenn Dateien verschlüsselt wurden und noch keine Entschlüsselungstools vorhanden sind, können Sie zunächst in den Schattenkopien ( Virtual Shadow Snapshots ) nachsehen, ob von älteren Systemwiederherstellungspunkten unverschlüsselte Versionen zugänglich sind (LessLinux: Zugriff
auf VSS-Laufwerke). Ist dies nicht der Fall, erstellen Sie idealerweise ein bitgetreues Image der Festplatte. Dieses hilft, wenn später herausgefunden wird, dass der Trojaner möglicherweise Schlüssel in der Registry oder an anderen Stellen des Dateisystems versteckt hat. Steht diese Möglichkeit nicht zur Verfügung oder ist der Wert der Dateien nicht übertrieben hoch, sichern Sie wenigstens den Krypto-Trojaner und die verschlüsselten Dateien – vorzugsweise in einem VeraCrypt-Container oder einem verschlüsselten Archiv.
Zweistufig Viren entfernen
Einige Kategorien von Schadsoftware wie Adware, Miner für Kryptowährungen oder Spambots sollten zweistufig entfernt werden. Löschen Sie zunächst die Schadsoftware mit dem Linux-basierten Live-System und erkundigen Sie sich, ob es passend zur Schadsoftware Reinigungswerkzeuge gibt, die Registry-Einträge und Autostart-Scripte entfernen, gegebenenfalls Browsereinstellungen zurücksetzen und möglicherweise noch vorhandene Downloader entfernen. Den Download dieser Reparaturtools starten Sie im LiveLinux. Ausführen werden Sie es anschließend in einem komplett vom Internet getrennten Windows – vorzugsweise stecken Sie dazu einfach den DSL-Router aus.
Nicht immer sind Viren schuld
Immer wieder kommt es vor, dass Symptome wie Abstürze, häufig laufende Lüfter und eine zähe Bedienung auf einen Virenbefall hindeuten, aber kein Virenscanner etwas Verwertbares findet. Prüfen Sie in diesem Fall einmal Ihre Hardware. LessLinux zeigt beispielsweise im Systemmonitor auf dem Desktop die CPU-Temperatur an, geht diese bereits bei kleiner Last hoch, ist dies ein Indiz für einen mit Staub zugesetzten oder vom Prozessor gelösten Kühlkörper oder einen defekten Lüfter. Mitunter beschädigen sterbende Festplatten nicht nur Dateien, sondern sorgen auch für Abstürze, dann nämlich, wenn eine Speicherseite in die Auslagerungsdatei geschrieben wurde, beim Schreiben aber ein oder mehrere Bits „gekippt“und nun beim Zurücklesen Code oder Daten beschädigt sind. Für den Fall beschädigter Festplatten stehen in LessLinux Werkzeuge zum Klonen von Festplatten und zum Erzeugen von Images zur Verfügung.
Zeit nehmen, nicht in Eile verfallen!
In jedem Fall sollten Sie nicht überhastet handeln. Selbst wenn bei einem Schadsoftwarebefall nicht ganz klar ist, ob diese rückstandsfrei zu entfernen ist, oder wenn zu ihr zu wenige Erkenntnisse vorliegen, um den Schaden abschätzen zu können, ist es oft besser, einige Tage abzuwarten. Das ist weniger schlimm, als es klingt. Sie können etwa LessLinux mit einer verschlüsselten Heimatpartition für Lesezeichen und MailAbruf einrichten, indem Sie beim ersten Start vom vorzugsweise 32 GByte großen USB-Stick die Boot-Kommandozeile ändern (Tab-Taste im Bootmenü), von homecont=0000-00000 auf homecont=4000-12000 Dann wird ein – zwischen 4 und 12 Gigabyte großer – verschlüsselter Bereich angelegt. An die unter Windows gespeicherten Daten kommen Sie ja heran, und mit Programmen wie dem VLC Media Player, einem AudioPlayer, LibreOffice, PDF-Betrachter und sogar einigen Spielen ist alles da, was für die tägliche Arbeit benötigt wird. tr