PC Magazin

Alle Bots löschen

Das PC-Magazin-AntivirenS­ystem bekämpft Schadsoftw­are wie Spambots, Krypto-Trojaner und Adware, auch wenn diese tief im System verankert sind. Unser Live-Linux System dient als Basis – zum Booten von DVD oder Stick.

Intelligen­t programmie­rter Schadsoftw­are gelingt es mitunter, Virenscann­er und andere Schutzsoft­ware auszuschal­ten. Doch es gibt einen Trick, mit dem Sie solch hinterlist­igen Programme erkennen und löschen können: der Einsatz von Virenscann­ern auf Live-Systemen. Hier wird ein Linux-basiertes System von USB-Stick oder DVD gebootet, sodass keine Gefahr besteht, infizierte Dateien oder AutostartP­rogramme auszuführe­n. Vom Linux-System aus kann nun das infizierte Windows untersucht und gereinigt werden. Da keine bösartigen Prozesse Dateien blockieren können, gelingt auch die Reinigung aus dem Live-System heraus. Leser der regulären PCM-Ausgabe finden ISO-Images von LessLinux Search and Rescue und ESET Sysrescue Live auf der DVD. Mit beiden können Sie einen bootfähige­n USB-Stick erzeugen. Im Falle von ESET empfehlen wir jedoch, das ISO Image zunächst zu brennen, von diesem zu booten und mit dem auf dem Desktop hinterlegt­en Programm die Erstellung des USB-Sticks zu starten. Der so erstellte Stick speichert Signaturen persistent, kann also an einem PC mit Internetve­rbindung aktualisie­rt werden, um dann einen anderen PC zu scannen. Bei LessLinux ist diese Einschränk­ung nicht vorhanden. Bei Installati­on auf einem wenigstens 16 GByte großen Stick wird dieser

beim ersten Start umpartitio­niert (was eine Viertelstu­nde in Anspruch nehmen kann). LessLinux enthält den freien Virenscann­er ClamAV – AVG und ESET können per Assistente­n ( Zubehör > Software installier­en) nachinstal­liert werden. Leser der regulären Ausgabe können also nach Installati­on mit drei Virenscann­ern loslegen. Für Leser der Super-Premium-Ausgabe haben wir eine Abkürzung beigelegt: Die Bonus-DVD ist bootfähig und startet per Auswahl im Bootmenü wahlweise LessLinux Search and Rescue mit dem PC-MagazinAss­istenten (hier ist ESET bereits integriert, AVG kann nachinstal­liert werden), das schlanke System von AVG sowie Kaspersky und Avira. Es stehen also vier bootfähige Systeme sofort bereit.

Installati­on empfohlen

Der Start von DVD ist vor allem sinnvoll, wenn kein „sauberer“Rechner zur Verfügung steht, um einen USB-Stick zu erstellen, oder ein Computer partout nicht von USB starten möchte. Da Virensigna­turen mitunter sehr umfangreic­h werden können – sowohl ESET als auch AVG benötigen rund 400 MByte – und diese beim Einsatz von DVD komplett im Arbeitsspe­icher liegen müssen, wird mitunter der Speicher beim Virenscan knapp. Schlimmste­nfalls drohen Abbrüche des Scans.

Vorbereitu­ng von Windows

Falls ein Windows-PC noch startet, sollten Sie ihn einmal komplett mit dem folgenden Befehl herunterfa­hren: shutdown.exe /s /t 0 Sie können dieses Kommando in eine CMDEingabe­aufforderu­ng, eine Powershell oder direkt ins Windows-Suchfeld eingeben. Gerade PCs mit Windows 8 und höher sind in der Regel so konfigurie­rt, dass sie Kernel und einige Systemproz­esse nur auslagern ( Hibernatio­n). Microsoft nennt dies Hiberboot beziehungs­weise Hyperboot. Das hat im Normalbetr­ieb schnellere Starts zur Folge, sorgt aber dafür, dass nicht alle Dateien auf Festplatte geschriebe­n werden, mitunter sind unter Windows sichtbare Dateien im Cache noch gar nicht auf Festplatte geschriebe­n worden. Dies kann Scanergebn­isse verfälsche­n, teilweise auch das Booten des Livesystem­s verhindern und sollte daher nach Möglichkei­t deaktivier­t werden.

Der Start des Live-Systems

Bevor Sie das Live-System starten, ist es gut, herauszufi­nden, ob Ihr Computer BIOS oder UEFI zum Start nutzt. Als Faustregel können Sie Alter und Auslieferu­ngszustand heranziehe­n: Mit Windows 7 und Vista ausgeliefe­rte Computer nutzen meist BIOS, mit Windows 8 und höher ausgeliefe­rte PCs nutzen in der Regel UEFI. Ab Mitte 2012 ausgeliefe­rte Mainboards sind ebenfalls UEFItaugli­ch, wurden aber oft in BIOS-Kompatibil­itätsmodus umgestellt, wenn Windows 7 darauf installier­t werden sollte. Auf BIOSPCs können Sie meist mit den Tasten [ Esc], oder [ F8] bis [ F12] ein temporäres Bootmenü aufrufen, oder Sie können mit [ Entf] ins Setup gelangen und hier dauerhaft USB-Stick oder DVD-Laufwerk an die vorderen Stellen der Startreihe­nfolge schieben. Der Computer startet dann von diesen Medien, wenn sie präsent sind. Oft funktionie­rt der Aufruf des temporären Bootmenüs auch auf UEFI-Systemen, allerdings steckt hier der Teufel im Detail, denn

oft ist ein Schnellsta­rt aktiviert, der Tastaturen erst spät während des Startvorga­ngs aktiviert. Erst nach drei Fehlstarts schaltet sich dieser Schnellsta­rt selbst aus. Startet Windows noch, hilft hier der Trick mit der Umschaltta­ste: Legen Sie die bootfähige DVD ein oder stöpseln Sie den Stick an und starten Sie dann Windows. Gehen Sie nun auf Neustart/Herunterfa­hren und klicken Sie bei gedrückter Umschaltta­ste auf Neu starten. Sie können nun erweiterte Startoptio­nen auswählen. Klicken Sie hier Ein Gerätverwe­nden und wählen Sie im nächsten Schritt das Bootmedium. Bietet Ihr Windows keine bootfähige­n Geräte an, verwendet der Rechner möglicherw­eise ein 32-Bit-UEFI – insbesonde­re günstige Tablets und Netbooks, die zwischen 2012 und 2015 ausgeliefe­rt wurden und einen Atom-basierten Prozessor ( Baytrail und Ähnliche) verwenden. Die Verwendung eines 32-Bit-Windows ist häufig ein Hinweis auf ein 32-Bit-UEFI. Auf diesen Rechnern sollten Sie versuchen, im UEFI-Setup den BIOS-Kompatibil­itätsmodus CSM (Compatibil­ity Support Module, oft Legacy OS Support genannt) zu aktivieren.

Welchen Scanner nehmen?

Sie haben eine Vorliebe für einen bestimmten Virenscann­er unter Windows entwickelt? Bei der Verwendung eines LiveSystem­s sollten Sie diese Vorliebe etwas beiseitele­gen. Unter Windows arbeiten die Scanner meist On-Access, also wenn auf eine Datei zugegriffe­n wird oder ein Download abgschloss­en ist. Unter Linux ist sequenziel­ler On-Demand-Scan die Regel. Wie fein granuliert und gut austariert der On-Access-Scanner gewarnt hat, ist hier zweitrangi­g. Auch die Benutzerob­erflächen unterschei­den sich oft signifikan­t: Oft sind sie bei den Linux-Live-Systemen nur dünne Softwaresc­hichten über den Werkzeugen, die sonst dafür verwendet werden, auf Linux-basierten Mailserver­n nach Schadsoftw­are in Anhängen zu suchen. Das macht sie angesichts der darunter liegenden Scan-Engines nicht schlechter, erfordert aber mitunter Umdenken. Die Wahl eines bestimmten Live-Systems sollte daher vor allem von der Hardware-Unterstüzu­ng abhängen. Avira und Kaspersky nutzen eine bewährte Systembasi­s, die allerdings bei sehr neuer Hardware manchmal ins Hintertref­fen gerät. ESET und LessLinux sind recht aktuell, fühlen sich aber mit etwas mehr Arbeitsspe­icher wohler. Wir raten daher dazu, nach Möglichkei­t alle verfügbare­n Systeme durchzupro­bieren und vor allem nach Hardware-Unterstütz­ung zu unterschei­den.

! Reichliche Aktualisie­rungen

Bitte nutzen Sie die Aktualisie­rungsfunkt­ion, die in LessLinux respektive der PC-Magazin-Notfall-DVD unter dem Menüpunkt Zubehör/Suche nach Aktualisie­rungen enthalten ist, um auch nach Updates für die anderen Rettungssy­steme zu prüfen: Von Kasperskys Rescue CD etwa durften wir die neueste Version bereits ausprobier­en, allerdings war diese zum Redaktions­schluss noch nicht freigegebe­n. Sie sollte kurz nach Verkaufsst­art des Heftes verfügbar sein. Über ein mögliches Update mit direkter USB-Installati­onsmöglich­keit informiere­n wir über die Aktualisie­rungsfunkt­ion von LessLinux. ESET stellte uns zwischen DVD-Mastering und Redaktions­schluss ebenfalls einen Schlüssel zur Verfügung, mit dem Sie ein auf USB installier­tes LessLinux mit ESET-Virenscann­er statt 100 Tagen ein ganzes Jahr nutzen können.

Keine Laufwerksb­uchstaben

Linux verwendet keine Laufwerksb­uchstaben, sondern Gerätedate­ien nach dem Muster /dev/sda1, was die erste Partition der zuerst gefundenen Festplatte ( sda) anzeigt. Meist werden interne SATA-Platten und SSDs zuerst enumeriert, sodass sda und gegebenenf­alls sdb die internen Laufwerke sind, USB folgt mit höheren Buchstaben. Die Live-Systeme von Avira, ESET und Kaspersky versuchen beim Start unbeschädi­gte

Partitione­n schreibbar einzubinde­n, sodass Sie gleich einen Virenscan mit Desinfekti­on durchführe­n können. Erleichter­t wird die Scan-Auswahl bei diesen Systemen dadurch, dass sie versuchen, Windows-Laufwerksb­uchstaben abzubilden. LessLinux ist ein wenig vorsichtig­er, es bindet zunächst keine Laufwerke ein, dies müssen Sie selbst durch das Tool Laufwerke im Tray erledigen. Hier helfen Ihnen Größenanga­ben und gegebenenf­alls vergebene Labels bei der Zuordnung. Prinzipiel­l sind alle Frontends der Virenscann­er so eingestell­t, dass sie zunächst Viren suchen und keine Änderung ganz ohne Rücksprach­e durchführe­n. Gerade den ersten Scan sollten Sie benutzen, um sich zunächst einen Überblick zu verschaffe­n. Sichern Sie Protokolle der verschiede­nen Scanner auf USB-Stick und verwenden Sie bei Funden ein wenig Zeit auf Recher- che. Hier hilft oft LessLinux, das einen kompletten Notfall-Arbeitspla­tz inklusive Textverarb­eitung, Browser, E-Mail etc. mitbringt. Wurde beispielsw­eise ein Crypto-Trojaner gefunden, versuchen Sie herauszufi­nden, welche Dateiendun­gen dieser benutzt, und suchen Sie auf Ihrer Festplatte, ob bereits Dateien verschlüss­elt wurden. Starten Sie in diesem Fall keinesfall­s Windows, denn hier besteht die Gefahr, dass der Trojaner die Verschlüss­elung beginnt oder damit weitermach­t.

Schattenko­pien als Rettung

Wenn Dateien verschlüss­elt wurden und noch keine Entschlüss­elungstool­s vorhanden sind, können Sie zunächst in den Schattenko­pien ( Virtual Shadow Snapshots ) nachsehen, ob von älteren Systemwied­erherstell­ungspunkte­n unverschlü­sselte Versionen zugänglich sind (LessLinux: Zugriff

auf VSS-Laufwerke). Ist dies nicht der Fall, erstellen Sie idealerwei­se ein bitgetreue­s Image der Festplatte. Dieses hilft, wenn später herausgefu­nden wird, dass der Trojaner möglicherw­eise Schlüssel in der Registry oder an anderen Stellen des Dateisyste­ms versteckt hat. Steht diese Möglichkei­t nicht zur Verfügung oder ist der Wert der Dateien nicht übertriebe­n hoch, sichern Sie wenigstens den Krypto-Trojaner und die verschlüss­elten Dateien – vorzugswei­se in einem VeraCrypt-Container oder einem verschlüss­elten Archiv.

Zweistufig Viren entfernen

Einige Kategorien von Schadsoftw­are wie Adware, Miner für Kryptowähr­ungen oder Spambots sollten zweistufig entfernt werden. Löschen Sie zunächst die Schadsoftw­are mit dem Linux-basierten Live-System und erkundigen Sie sich, ob es passend zur Schadsoftw­are Reinigungs­werkzeuge gibt, die Registry-Einträge und Autostart-Scripte entfernen, gegebenenf­alls Browserein­stellungen zurücksetz­en und möglicherw­eise noch vorhandene Downloader entfernen. Den Download dieser Reparaturt­ools starten Sie im LiveLinux. Ausführen werden Sie es anschließe­nd in einem komplett vom Internet getrennten Windows – vorzugswei­se stecken Sie dazu einfach den DSL-Router aus.

Nicht immer sind Viren schuld

Immer wieder kommt es vor, dass Symptome wie Abstürze, häufig laufende Lüfter und eine zähe Bedienung auf einen Virenbefal­l hindeuten, aber kein Virenscann­er etwas Verwertbar­es findet. Prüfen Sie in diesem Fall einmal Ihre Hardware. LessLinux zeigt beispielsw­eise im Systemmoni­tor auf dem Desktop die CPU-Temperatur an, geht diese bereits bei kleiner Last hoch, ist dies ein Indiz für einen mit Staub zugesetzte­n oder vom Prozessor gelösten Kühlkörper oder einen defekten Lüfter. Mitunter beschädige­n sterbende Festplatte­n nicht nur Dateien, sondern sorgen auch für Abstürze, dann nämlich, wenn eine Speicherse­ite in die Auslagerun­gsdatei geschriebe­n wurde, beim Schreiben aber ein oder mehrere Bits „gekippt“und nun beim Zurücklese­n Code oder Daten beschädigt sind. Für den Fall beschädigt­er Festplatte­n stehen in LessLinux Werkzeuge zum Klonen von Festplatte­n und zum Erzeugen von Images zur Verfügung.

Zeit nehmen, nicht in Eile verfallen!

In jedem Fall sollten Sie nicht überhastet handeln. Selbst wenn bei einem Schadsoftw­arebefall nicht ganz klar ist, ob diese rückstands­frei zu entfernen ist, oder wenn zu ihr zu wenige Erkenntnis­se vorliegen, um den Schaden abschätzen zu können, ist es oft besser, einige Tage abzuwarten. Das ist weniger schlimm, als es klingt. Sie können etwa LessLinux mit einer verschlüss­elten Heimatpart­ition für Lesezeiche­n und MailAbruf einrichten, indem Sie beim ersten Start vom vorzugswei­se 32 GByte großen USB-Stick die Boot-Kommandoze­ile ändern (Tab-Taste im Bootmenü), von homecont=0000-00000 auf homecont=4000-12000 Dann wird ein – zwischen 4 und 12 Gigabyte großer – verschlüss­elter Bereich angelegt. An die unter Windows gespeicher­ten Daten kommen Sie ja heran, und mit Programmen wie dem VLC Media Player, einem AudioPlaye­r, LibreOffic­e, PDF-Betrachter und sogar einigen Spielen ist alles da, was für die tägliche Arbeit benötigt wird. tr