Microsoft Standalone System Sweeper Tool

microsoftMicrosoft stellt eine Beta-Version des Malewarescanners Standalone System Sweeper Tool als Live-CD/Stick zum Download (ca. 205 MB, 32/64-bit) bereit. Die auf Windows PE basierende Live-CD/Stick verwendet die Microsoft-eigene AV-Engine, die auch beim Virenscan-Produkt Microsoft Security Essentials (MSE) zum Einsatz kommt. Der Download erfolgt über ein spezielles 1 MByte großes Tool, welches die aktuelle Version des System Sweepers und die aktuellen Signaturdateien als iso-Image fertig zur Verfügung stellt (ähnlich dem Avira AntiVir Rescue System). Das iso-Image kann mit dem Tool auf eine CD/DVD gebrannt werden oder alternativ auf einen bootbaren USB-Stick zum Einsatz kommen.

Nachdem Sie mit der CD/Stick den Rechner gebootet haben, scannt das Tool automatisch alle erkannten Laufwerke. Erkennt das Tool einen Virus, Maleware, Spyware oder etc. können Sie wählen wie Sie mit der Maleware-Erkennung umgehen wollen (clean system, remove, quarantine, clean, allow). Die PE Umgebung bietet neben dem Virenscan keine weiteren Funktionen an. Mit einer bestehenen Boot-CD/Stick können allerdings aktualisierte Virensignaturen auf einem USB-Stick eingebunden werden, um nicht bei jedem neuen Scan eine neue CD brennen zu müssen. Praktisch ist auch die Option, die Live-CD als iso-Datei schreiben zu lassen.

Ob Sie die 32-bit oder 64-bit Version des Tools zum Einsatz bringen wollen, ist abhängig von der Windows-Umgebung, welche Sie scannen wollen (und nicht von der Windows-Version auf welcher Sie die Live-CD erstellen).

c’t Notfall-Windows 2011

ctDie bisher vorgestellten Live-CDs basierten entweder auf einer Windows PE Umgebung mit umfangreicher Toolsammlung oder auf einem Linux-basierten Virenscannerprodukt. In der ct 2011 Heft 17 wird nun eine Kombination aus beiden Umgebungen möglich. Im ersten Winbuilder-Projekt (CC7PE2011) wird eine Windows PE 3.0 basierte iso-Datei erzeugt, die in einem zweiten Multiboot-Projekt (CCMultiboot2011) mit anderen Live-CDs integriert wird. Das Ergebnis der Mulitboot-Umgebung (Grub4DOS 0.4.5b) kann auf einem USB-Stick abgelegt werden, der sowohl eine Windows PE 3.0 Umgebung mit zahlreichen Windows-Tools als auch mehrere Virenscanner-Live-CDs beinhaltet.

Als Datenquelle für das erste Windows PE Projekt kann wie bei den zuvor vorgestellten Winbuilder-Installationen die Setup- bzw. Installations-DVD von Windows 7 (Starter, Home Premium, Prof., etc.) verwendet werden. Alternativ kann eine 90-Tage Testversion von Windows7 bei Microsoft heruntergeladen werden. Auf dem Begleitdatenträger der ct 2011 Heft 17 befindet sich eine vorbereitete Winbuilder-Umgebung, die in das Verzeichnis „c:\ctNotPE2011“ zu entpacken ist. Wenn Sie den Winbuilder gestartet haben geben Sie zuerst als Datenquelle die Windows7-Setup-DVD an (analog den zuvor hier im Blog besprochenen Winbuilder-Installationen). Wenn Sie zunächst keine virtuelle Umgebung erstellen wollen, entfernen Sie unter „VirtualTest/Best Emulation“ das Häkchen. Damit ist das erste Projekt fertig für die Erstellung, die Sie oben rechts mit der Play-Taste starten können. Als Ergebnis bekommen Sie im Unterordner „Projekte/iso“ eine bootbare iso-Datei generiert, die auf eine CD gebrannt werden kann (alternativ über „CC7PE2011\Finalize\Create ISO/CD“ und „Burn current ISO“).

Richtig gut wird die Notfall-Umgebung durch Kombination mit weiteren Live-CDs. Eine solche Multiboot-Umgebung kann mit dem zweiten Projekt „CCMultiboot2011“ erstellt werden. Die Live-CDs von Parted Magic 6.2, Memtest 86+, AVG Rescue CD, Avira AntiVir Rescue System, Kaspersky Rescue Disk 10, Panda SafeCD und der zuvor erstellten Windows PE-Umgebung sind im ct-Paket schon integriert. Kostenlos ergänzen können Sie die Live-CD-Pakete von Bitdefender Rescue CD, Dr. Web, F-Secure Rescue CD, Microsoft System Sweeper und die Windows XP Recovery Console. Die erforderlichen Downloads können über den Projektbaum der Winbuilder-Umgebung vorgenommen werden. Automatisch integriert ist das iso-File des ersten CC7PE2011-Projektes, falls es zuvor mit dem Play-Button erstellt wurde. Im Zweig „Finalize“ der Baumstruktur des Multiboot-Projektes kann schließlich das Ausgabemedium gewählt werden. Mit Auswahl „Create USB drive from target folder“ wird die Multiboot-Umgebung auf einem USB-Stick erstellt, der bootfähig generiert wird.

In die Multiboot-Umgebung kann auch die Hiren’s CD 13.2 integriert werden. Dazu ist in der Multiboot-Struktur unterhalb von „%files%\hiren“ das heruntergeladene zip-File zu entpacken. Hiren’s CD 14.0 funktioniert hier nicht, da ein anderer Bootloader zum Einsatz kommt. Schließlich ist auch die Knoppix-CD in die Multiboot-Umgebung integrierbar. Dazu sind nur die beiden Ordner „boot“ und „KNOPPIX“ von der Knoppix-Boot-CD in die entspr. Dateistruktur nach „%files%\knoppix\“ zu kopieren.

Im Gegensatz zu den zuvor vorgestellten Winbuilder-Paketen funktioniert bei diesem ct-Paket (CC7PE2011) keine WLAN-Unterstützung in der Notfall-Umgebung, selbst wenn man versucht den passenden WLAN-Treiber nachzuinstallieren.

Für den Einsatz der Windows XP Recovery Console in der Multiboot-Umgebung ist das Häkchen bei Catch22fix nicht zu setzen, da sonst ein Fehler beim Build auftritt. Die erforderlichen Dateien für die Recovery Console werden automatisch mit dem Build (Play-Taste) heruntergeladen.

Auf meinem Core i3 Notebook habe ich weiterhin einige Probleme mit den Live-CDs: Bei der Kaspersky CD wird die Maus nicht erkannt, die Avira CD, Dr. Web CD und F-Secure CD zeigen kein Bild, Parted Magic 6.2 und AVG bieten keine WLAN-Unterstützung zum Update der Virensignaturen, etc.

Notfall-Stick mit Winbuilder 080 auf Basis Windows 7PE

Mit diesem Beitrag möchte ich wiederholt die Beschreibung eines Verfahrens zur Erstellung eines Notfall-Sticks auf Basis der (aktuellen) Winbuilder Version 080 (mit USB 3.0 Unterstützung) vorstellen. Im com! Computer-Magazin 08/11 wurde u.a. auch dargestellt, wie Windows 7 (Win PE 3.0) auf einem Rettungs-Stick installiert werden kann. Sie benötigen dazu die Installationsdateien von Windows 7 auf der Setup-DVD. Habe Sie die Setupdateien nicht zur Hand (z.B. aufgrund einer vorinstallierten Win7-OEM-Version) dann können sie hier (eine Microsoft-Website) das 2,3 GB große iso-Image für Windows 7 kostenlos herunterladen.

Laden Sie nun die Winbuilder-Umgebung als 7z-Datei herunter und entpacken diese z.B. im Verz. „C:\Winbuilder080“. Sie sollten noch ca. 15 GB freie Festplattenkapazitäten haben und einen leeren mind. 2 GB großen USB-Stick an ihren PC anschließen.

Im Verzeichnis „C:\Winbuilder080“ ist nun die Datei “Win7PESE_Builder.exe” zu starten. Klicken Sie auf den Button “Source” und verweisen bei „Source directory“ auf die Windows 7 Installationsdateien (z.B. Laufwerksbuchstaben des CD/DVD-Laufwerkes der Setup-DVD). Im linken Teil des Fensters können Sie noch Konfigurationsänderungen vornehmen. Sie können dem Notfall-Stick noch weitere Tools hinzufügen. Klicken Sie dazu rechts oben auf Download. In unteren Teil des Fensters wählen Sie das Projekt „vistape.winbuilder.net“ aus. Im linken Fensterbereich wird nun eine neue Baumstruktur angezeigt. Entfernen Sie darin alle Markierungen, sodass nur noch der Pfad „Vista-PE-CAPI/ VistaPE-CAPI/ Apps“ markiert bleibt. Mit einem Klick auf den Download-Button können Sie nun zusätzliche Tools hinzufügen. Die ergänzenden Vista-Tools müssen jetzt noch richtig in die Win7PE-Struktur integriert werden. Schließen Sie dazu den Winbuilder. Kopieren Sie nun den gesamten Inhalt des Verzeichnis „c:\winbuilder080\projects\vistape-capi\apps“ nach „c:\winbuilder080\projects\win7pe_se\apps“. Bestehende Ordner sollen integriert werden und vorhandene Dateien brauchen nicht überschrieben zu werden. Starten Sie nun erneut den Winbuilder. Jetzt müssen Sie nur noch die Parameter für die Erstellung des USB-Sticks angeben.

Wählen Sie dazu nur den Menüeintrag “Win7PE_SE/WriteMedia”, “Copy to USB-Device” aus und geben auf der rechten Seite den Laufwerksbuchstaben des USB-Sticks an. Mit “Play” beginnt die Erstellung des bootfähigen USB-Sticks. Es folgt noch eine Neuformatierung des Sticks (am besten NTFS als Dateisystem wählen) und der grub4dos-Installer 1.1, der zur Auswahl des USB-Laufwerkes auffordert. Bitte beachten Sie, dass der USB-Stick durch die Neuformatierung komplett gelöscht wird. Nach ein paar Bestätigungen ist der bootfähige Notfall-USB-Stick fertig erstellt.

Als Bootmanager kommt auf dem erstellten Notfall-Stick grub4dos 0.4.4 zum Einsatz. Die Netzwerkkarte meines Core i3 Notebooks wurde erkannt, allerdings nicht mein WLAN-Modul.

Standardmäßig sind folgende (System-) Tools auf dem generierten USB-Stick verfügbar:

a43 V3.2 (Datei-Manager), 7-Zip 9.20, Unstoppable Copier 4.2, Super Finder XT 1.6, HD Tune 2.55, Recuva 1.37, MbrFix 1.3, Partition Find and Mount 2.31, Testdisk und PhotoRec 6.11.3, Opera USB, TrueCrypt 7.0a, Opera USB, Spybot S&D 1.6.2, WindowsGate 1.1, Sumatra PDF Portable 1.1, System Explorer 2.4, RegShot 1.8, Runscanner 1.0.0.25, ServiWin 1.48, NTPWEdit 0.3, ProduKey NirSoft 1.45, SIW gtopola 2010 (HW-Info), Memtest86+ 4.20.

Weitere Windows-Tools und Treiber können über einen wiederholten Aufruf des WinBuilders auf dem USB-Stick integriert werden.

Als Virenscanner können Sie auf dem generierten Notfall-USB-Stick die zuvor im Blog erwähnten Stickware-Virenscanner „Clamwin Portable“ und/oder „Emsisoft Emergency Kit“ zum Einsatz bringen. Der im Winbuilder integrierte Avira AntiVir hat bei mir nicht funktioniert.

Im WinBuilder kann im linken Fenster zusätzlich unter “Drivers” der Eintrag “Driver Package Installer” ausgewählt werden. Zusätzlich würde ich in der Auswahlliste weiter unten noch das Tool “BGInfo” hinzunehmen. Da in der Standardkonfiguration mein WLAN-Treiber “Realtek RTL8191SE WLAN 802.11n PCI-E-NIC” nicht erkannt wurde, habe ich zusätzlich das WLAN-Treiber-Paket für Windows 7 (x86) heruntergeladen, wo auch der Realtek-Treiber meines Core i3 Notebooks beinhaltet ist (eine Textdatei im Treiberpaket listet die verfügbare Treiber auf). Das Treiberpaket wurde nach “C:\Winbulider\Projects\Win7PE_SE\Drivers\ <folder>” extrahiert. Danach wurde die Winbuilder-Installation mit “Play” erneut angestoßen. Ergänzend habe ich nach Fertigstellung der Generierung des USB-Sticks die Treiberdateien auch unter USB-Stick-Laufwerk\DriverPacks abgelegt. Nach dem Booten der Live-Umgebung des USB-Sticks konnte ich unter Startmenü/ Computermanagement/ Drives den Eintrag “Dpinst GUI choose Folder” auswählen und starten. Als Treiberquelle habe ich im Verzeichnis “USB-Stick-Laufwerk\DriverPacks” den passenden Realtek-WLAN-Treiber ausgewählt und installiert. Nun wird über “PE Netzwerk” das WLAN-Modul erkannt und ich kann durch Eingabe des WLAN-Schlüssels den Internetzugang per WLAN starten.

Portabler Virenscanner: Clamwin Portable

Wenn Sie mal schnell ohne Installation einen Virenscanner benötigen, eignet sich der Portable Clamwin Version 0.97.1. Der ca. 30 MB große Virenscanner ist Bestandteil der Portable Apps Suite. Die Stickware kann auf einem USB-Stick abgelegt werden und mit dem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können.

Laden Sie die Setup-Datei „ClamWinPortable_0.97.1_English.paf.exe herunter, führen Sie die exe-Datei aus und geben als Ziel den Laufwerksbuchstaben und ein geeignetes Verzeichnis für den Stickware-basierten Virenscanner an. Nach dem ersten Start der Antiviren-Software werden bei bestehender Internetverbindung automatisch die aktuellen Virensignaturen heruntergeladen. Sie können nun ein Laufwerk oder ein Verzeichnis für den Virenscan auswählen. Standardmäßig werden erkannte virulente Dateien nur angezeigt. In den Einstellungen (Registerkarte „General“) können Sie angeben, ob die Virendateien gelöscht oder in einen Quarantäne-Ordner verschoben werden sollen. Über die Registerkarte „Filters“ können Dateimaskierungen vorgegeben werden.

Auf der gleichen Downloadseite kann auch der portable Malewarescanner Spybot – Search & Destroy 1.6.2 heruntergeladen und analog eingesetzt werden.

Sehr geschickt ist auch die Kombination aus portablen Tools und der Anwendung Dropbox. Dropbox ist ein Webdienst, der ein Netzwerk-Dateisystem für die Synchronisation von Dateien zwischen verschiedenen Rechnern und Benutzern bereitstellt und damit gleichzeitig eine Online-Datensicherung ermöglicht. Kopieren Sie die beiden Antiviren-Tools nicht auf einen USB-Stick sondern in einen Dropbox-Ordner, haben Sie auf unterschiedlichen Rechnern mit installiertem Dropbox-Client immer die Virencan-Produkte synchron verfügbar.

Maleware-Analyse mit Sysinternals-Tools

Zur Problembehebung, Diagnose, Virenanalyse, etc. eines PCs eignen sich hervorragend die Sysinternal-Tools von Mark Russinovich, die seit Juli 2006 über die Microsoft-Homepage zugänglich sind. Die Sysinternals-Tools können heruntergeladen oder – noch einfacher – Online gestartet werden.

Trojanerentdeckung (Carberp) mit Process Explorer

Im com! Sonderheft Sicherheit 5/6/7 2011 ist beschrieben, wie mit dem Process Explorer der Trojaner Carberp aufgedeckt werden kann. Der Trojaner manipuliert den Windows-Explorer und injiziert Schadcode. Zur Analyse starten Sie den Process Explorer indem alle aktiven Prozesse hierarchisch angezeigt werden. Wählen Sie den Prozess „explorer.exe“ aus und blenden Sie das Detailfesnter zu diesem Prozess ein (über View/ Show Lower Pane). Stehen in der Spalte „Type“ spezielle Thread-Einträgen mit Namen <Non-existent Prozess> kann dies ein Hinweis für einen Carberp Infektion sein. Zur Beseitigung des Trojaners können Sie das Carberp Removal Tool von Bitdefender ausführen.

Virenanalyse (Stuxnet) mit Autoruns, Process Explorer und Process Monitor

Der Entwickler der Sysinternals-Tools Mark Russinovich stellt in seinem Blog immer wieder sehr gelungene (auch sehr technische) Artikel zum Umgang der Tools vor. Eine Virenanalyse in drei Teilen zum Virus Stuxnet finden Sie hier. Viren verstecken sich häufig in unbekannten bzw. nicht verifizierten Autostart-Einträgen. Siehe dazu auch folgenden Blog-Eintrag.

Als Einstieg in die Sysinternals Suite eignen sich auch die CaseOfTheUnexplained-oder Sysinternals-Tools Videos.