Zweitmeinungsvirenscanner: Avira PC Cleaner und Safety Scanner (MS)

AviraLogoDer Avira PC Cleaner ist ein Malware-Scanner der quasi als zweite Meinung zu einem installierten Virenscanner eine Sicherheitsprüfung des Systems durchführen kann. Der PC Cleaner braucht weder eine Installation, Registrierung noch zusätzliche Treiber.

Nach dem Download (am Ende der Seite: „PC Cleaner“, grüner Download-Button) und Start des Scantools entpackt sich der Scanner nach „C:\Users\<Benutzername>\AppData\Local\Temp\cleaner\avwebloader.exe“ automatisch. Im Avira PC Cleaner Fenster kann der Button „System überprüfen“ gedrückt werden und das Tool sucht nun nach Schadsoftware auf dem Rechner. Die aktuelle Version des Tools wird immer aus dem Internet geladen. Der Benutzer kann zwischen einem normalen und einem langsameren vollständigen Scan wählen. Als Ergebnis des Scans werden gefundene Schädlinge angezeigt und die Schadsoftware kann per Knopfdruck entfernt werden.

Mit der Funktion „Auf USB-Gerät kopieren“ kann der Malware-Scanner in Form einer exe-Datei auf einen externen USB-Stick kopiert werden.

Microsoft bietet mit dem Tool Safety Scanner auch eine Ergänzung zu einem bereits installierten Virenscanner an. Das Tool sucht detailliert nach Spyware, Malware, Trojaner und Viren. Nach dem Download kann zwischen einer Schnellanalyse und einer vollständigen bzw. benutzerdef. Analyse gewählt werden. Ein Malwarefund wird berichtet und automatisch entfernt. Der Scanner ist immer bis zu 10 Tage nach dem Download gültig bzw. einsetzbar.

„Deutschlands beste Notfall-DVD“

beste_notfall_dvdMit Heft 04/2014 stellt die Redaktion der Zeitschrift PC Magazin eine spezielle Notfall-DVD „Einlegen, Booten, Retten“ zur Verfügung, die als beste Notfall-DVD in Deutschland bezeichnet wird. Das Rettungsmedium setzt sich aus unterschiedlichen Notfall-Einzelsystemen zusammen, die aus einer iso-linux-Umgebung (Version 4.07) gebootet werden können:

  • Datenwiederherstellung: LessLinux Search and Rescue
  • Datenwiederherstellung: PartedMagic 2013_08_01 auf Basis Linux Kernel 3.10.4
  • Sicherheit: Avira Rescue System auf Basis Ubuntu 12.04 LTS
  • Sicherheit: Kaspersky Rescue Disk 10.0.32.17
  • nicht bootfähig: USB-Schlüssel, Anonym, Portable Apps, USB-Installation

Eine Besonderheit der „LessLinux Search and Rescue“-Umgebung ist der Datenzugriff auf Windows-Schattenkopien. Mit dem Tool vshadowinfo und vshadowmount wird in dem dazugehörigen Artikel auf S. 42 der offline-Zugriff auf Schattenkopien einer Windows-basierten Systempartition beschrieben. Beispielhaft wird der Zugriff auf die offline VSS-Umgebung folgendermaßen durchgeführt:

vshadowinfo /dev/sda2 (liefert Store-NR der verfügbaren Schattenkopien für Partition sda2)

Die höchste Store-Nummer soll anhand des neusten „Creation Time“-Eintrages ermittelt werden, z.B. Store 2.

mkdir -p /temp/vss/sda2 (erstellt temp. Verz. zum Einhängen von Dateistrukturen)
vshadowmount /dev/sda2 /temp/vss/sda2 (erstellt Datei(en) - vss<NR> - zu jedem Store-Eintrag)
losetup /dev/loop2 /temp/vss/sda2/vss2 (verknüpft den Loop-Geräteknoten "loop2" mit der Datei "vss2")

Das sda2 Laufwerk mit Festplatten-Tool (über graph. Benutzeroberfläche) mounten.

mount -t ntfs-3g -o ro /dev/loop2 /media/disk/sda2 (Stellt /media/disk/sda2 in den Dateibaum ein, als wäre /dev/loop2 eine ganz normale Festplatte)

Nun können die Datenstrukturen mit dem VSS-Schnappschuss im Verzeichnis „/media/disk/sda2“ auf ein externes Sicherungsmedium kopiert werden.

Als weitere Maßnahme zur Datenrestauration steht mit der Funktion „Rettungswerkzeuge/ Daten retten“ das Tool PhotoRec zur Verfügung, welches per Assistent eine Datenrestauration auf Blockebene ermöglicht.

Die Virenscantools Avira Rescue System und die Kaspersky Rescue Disk 10 wurden hier im Blog schon beschrieben. Beide Tools beinhalten einen WLAN-Client und führen per Assistent eine automatisierte Aktualisierung der Virensignaturdateien durch. Auch das Mounten der Offline-Umgebung erfolgt automatisiert. Der Benutzer muss nur noch diejenigen Laufwerke auswählen, welche gescannt bzw. gesäubert werden sollen. Beide Tools beinhalten auch einen Registry-Editor, der den Zugriff auf die Registry des Windows-basierte Offlinesystems ermöglicht.

Kaspersky Rescue Disk 10

kasperskyDie Kaspersky Rescue Disk Version 10.0.31.4 basiert auf einem Gentoo-Linux System mit einer Windows-ähnlichen graphischen Benutzeroberfläche. Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder eine (offline) Virenüberprüfung (inkl. Ransomware) des PCs durchzuführen. Das Rescue System kommt mit unterschiedlicher Hardware (VESA-kompatible Grafikkarte) gut zurecht. Im Textmodus bootet die Textoberfläche in Form des Konsolen-basierten Dateimanagers Midnight Commander.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. Die Kaspersky Rescue Disk kann z.B. auch per SARDU auf einem USB-Stick abgelegt werden. Ebenso ist möglich die Rescue Disk 10 mit dem Tool Kaspersky USB Rescue Disk Maker (rescue2usb.exe) auch auf einem USB-Stick zum Einsatz zu bringen. Wählen Sie bei der Installation des Tools die iso-Datei der Rescue Disk 10 aus und schließen einen mind. 250 MB großen leeren USB-Stick an ihrem Rechner an. Nach einem Klick auf „START“ wird die iso-Datei auf dem USB-Stick installiert.

Die Virensignaturen der Rescue Disk können mit einem Netzwerkkabel über einen DSL-Router mit DHCP aktualisiert werden; eine Handvoll WLAN-Treiber stehen in der aktuellen Version des Rescue-CD zur Verfügung. Im Zweifel ist der Rechner per LAN-Kabel mit dem Router zu verbinden.

Nach dem Start der Rescue-CD startet neuerdings erst einmal der Midnight Commander im Textmodus. Mit Auswahl der Option „x“ startet die grafische Benutzeroberfläche. Um hohe Kompatibilität zu erreichen, wählt man im nächsten Schritt den Standard-Desktop Xorg-Run. Im Grafikmodus wird nun versucht die Laufwerke zu mounten. Parallel wird unten rechts angezeigt, ob verfügbare WLAN-Geräte erkannt wurden. Im Dialogfenster Betriebssystem kann das zu untersuchende Betriebssystem ausgewählt werden. Im Idealfall gelingt das Mounten und die erkannten Laufwerke werden auf dem Desktop angezeigt.

Noch bevor die Virensignaturen zu aktualisieren sind, kann eine statische Bereinigung der Offline-Registry des Rechners durchgeführt werden. Im Terminal-Fenster ist zur Bereinigung von Randsomware (BKA-Trojaner, Ukash-Trojaner, etc.) nur der Befehl „windowsunlocker“ einzugeben. Die Standard-Option „1“ ist zu bestätigen und die Registry wird automatisch von verdächtigen Autostart-Einträgen bereinigt (auch googleupdate.exe muss daran glauben). Ist die Bereinigungsaktion abgeschlossen wird mit Option „0“ der Unlocker beendet.

Die Kaspersky Rescue-CD eignet sich somit ganz besonders zum Löschen aller Art von Lösegeld-Trojaner wie BKA-/FBI-/Bundespolizei-Trojaner (Randsomware). Weitere Hinweise zu diesen Trojanern finden Sie auch auf der Website http://www.bka-trojaner.de

Im nächsten Schritt müssen die Virensignaturen aktualisiert werden. Bei Verwendung eines passenden WLAN-Clients kann unten rechts das Netzwerksysmbol doppel angeklickt werden. Im Idealfall wird der Name des WLANs angezeigt und nach Eingabe des Kennwortes ist dieses aktiviert.

Der Virenscan wird mit Doppelklick auf „Kaspersky Rescue Disk“ gestartet (falls das Fenster nicht schon automatisch gestartet ist). Im Register „Update“ kann die Aktualisierung der Virensignaturen angestoßen werden.

Als nächstes ist das Register „Untersuchung von Objekten“ auszuwählen. Hier können die zu untersuchenden Objekte ausgewählt werden (z.B. Laufwerke/Verzeichnisse, Bootsektoren, Autostarts, etc.). Nach Auswahl eines Laufwerkbuchstabens können mit „Hinzufügen“ auch Unterverzeichnisse für den Virenscan ausgewählt werden. Werden die Laufwerksbuchstaben nicht angezeigt, können im Dialogfenster „Untersuchungsobjekte auswählen“ im Feld „Objekt“ die Laufwerke/Verzeichnisse direkt eingegeben werden, z.B. mit „/mnt/…“. Die Mounteinträge können über den Dateimanager kopiert werden. Dazu ist der Dateimanager zu starten, „Benutzerdef. Pfad“ anklicken, Ordner „mnt“ wählen, Ordner „MountedDevices“ wählen, Orden-/Verz.-struktur wählen, rechte Maustaste und „Kopieren“ wählen. Im Dialogfenster „Untersuchungsobjekte auswählen“ nun im Feld „Objekt“ den Pfad mit STRG-V einfügen. Zu Beginn des Eintrags „file:///…“ löschen, so dass der Eintrag mit „/mnt/…“ beginnt.

Scanmethoden: Alle Dateien scannen, Einschränkungen durch Dateimasken möglich.

Aktion bei Malware-Fund: Aktion nach Abschluß der Untersuchung erfragen, Aktion sofort erfragen, Aktion ausfühen (Desinfizierung bzw. in Quarantäne oder Löschung).

Bedrohungen: Viren, Würmer, (Lösegeld-)Trojaner, Malware, Adware, Dialer, verdächtige Packer und heuristische Analysen.

Besonders gelungen ist auch der Kaspersky Registry Editor. Wenn dieser per Desktop-Icon gestartet wird, kann auf die Registry des Offline-Systems zugegriffen werden. Die grafische Benutzeroberfläche ermöglicht ein komfortables Arbeiten analog dem Tool Regedit. Veränderbar sind die Hives HKey_Local_Machine und HKey_Users. Über diese Hives können Autostarteinträge verändert werden. Dieser Registry-Zugang zum Offline-System ist vor allem dann besonders hilfreich, wenn bei einem Windows Start im abgesicherten Modus ein Aufruf von Regedit nicht mehr möglich ist.

Um eine Datensicherungen des Offline-Systems durchführen zu können steht der Dateimanager x File Explorer zur Verfügung. Unter „/mnt/MountedDevices“ kann auf die Partitionen des Offline-Systems zugegriffen werden. Angeschlossene USB-Sticks werden erkannt und eingebunden, wenn sie beim Booten eingesteckt waren.

Neben dem Dateimanager steht auch ein Mozilla Firefox, ein Terminal und ein Screenshot-Tool zur Verfügung. Die Konfiguration des Netzwerkes (Proxy, etc.) kann über den Menüpunkt „Netzwerk konfigurieren“ durchgeführt werden.

Away Vir 2.0 der Firma Langmeier Software GmbH

awayvirLaut Hersteller ist Away Vir 2.0 ein portables und kostenloses Säuberungstool, welches 98 Prozent der gängigen Malware-Produkte deaktivieren kann, so dass die Schadprogramme keine Risiken mehr für den PC darstellen. In einem zweiten Schritt kann ein herkömmliches Antiviren-Programm die bekannten und nun inaktiven Schadprogramme von der Festplatte löschen. Der Hersteller empfiehlt das Freeware-Tool im abgesicherten Modus (F8 Taste drücken beim Windows-Start) auf einem USB-Stick zu starten.

Das einfach gestaltete Tool kann auf einem USB-Stick mit Doppelklick auf die Datei „awayvir.exe“ gestartet werden. Nun den Button Viren-Säuberung drücken. Der Rechner bootet nun mindestens zweimal und stellt danach eine Liste der deaktivierten Autostart-Programme zusammen. Per Mausklick lassen sich die deaktivierten Programme wieder aktivieren, so dass die SW-Produkte beim nächsten Reboot wieder automatisch starten können.

Das Säuberungstool geht bei der Deaktivierung eher großzügig vor. Einige Systemtreiber, VMware-Dienste, etc. werden vom Säuberungstool zunächst einmal deaktiviert. In einem Protokoll läßt sich auch zu einem späteren Zeitpunkt nachvollziehen, welche SW-Produkte deaktiviert wurden. Das Tool beschäftigt sich eigentlich nur mit der Deaktivierung von Autostart-Einträgen, kümmert sich allerdings nicht um die Beseitigung der Schadsoftware.

Portabler Malware-Scanner: Emsisoft Emergency Kit 2.0

emsisoftEine schnelle Möglichkeit zur Viren- bzw. Malewaredesinfektion ist das Stickware-basierte Softwareprodukt Emergency Kit 2.0 der Firma Emsisoft. Das ca. 140 MB große Freeware-Softwarepaket kann auf der Homepage von Emsisoft als gezippte Datei heruntergeladen werden (entpackt ca. 160 MB). Die Stickware läßt sich auf einem USB-Stick entpacken (in der zip-Datei die start.exe ausführen) und kann auf einem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können. Die neue Version 2.0 soll ca. 450 Prozent schneller sein als die Vorgängerversion.

Nach dem Entpacken der zip-Datei kann wiederum die Datei „start.exe“ ausgeführt werden. Es stehen nun vier Systemtools zur Auswahl:

  • Emergency Kit Scanner: Malware-Scanner mit grafischer Oberfläche
  • Commandline Scanner: Skriptbasierter Malware-Scanner
  • HiJackFree: Systemanalyse Tool zur manuellen Virenbeseitigung
  • BlitzBlank: Löscht Dateien, Registryeinträge, etc. nach Neustart des Rechners

Der Emergency Kit Scanner durchsucht das Windows-Produktionssystem nach Viren, Trojaner, Spyware, Adware, Würmer, Dialer, Keylogger und allen anderen schädlichen Programmen (inkl. Cookieanalyse). Gefundene Malware kann entweder in Quarantäne verschoben oder endgültig gelöscht werden. Nach dem Start des Scanners wird auf Anfrage automatisch eine Aktualisierung der Virensignaturen (im Ordner ../Run/Signatures) über eine bestehende Internetverbindung durchgeführt. Der Virensignaturupdate kann auch zuvor auf einem anderen System mit Internetverbindung erfolgen.

Der Commandline Scanner enthält die gleichen Funktionen wie der Emergency Kit Scanner; er kommt jedoch ohne grafische Benutzeroberfläche aus. Das Kommandozeilen Tool richtet sich an sysadmins und kann in Skripten integriert werden.

Mit HiJackFree können Sie alle aktiven Prozesse, Treiber, Dienste, Autostarts, Registryeinträge und offene Ports analysieren, kontrollieren und verwalten. Werden z.B. in der aktiven Liste der Prozesse von HiJackFree rote Einträge markiert, dann ist diese rote Markierung ein Hinweis auf einen möglichen schadhaften Prozess. Details im Umgang mit HiJackFree finden Sie hier.

BlitzBlank ist ebenfalls ein Tool für Systemadministratoren. Hartnäckige Maleware-Schädlinge verankern sich immer häufiger tief im System und schützen sich vor einer Löschung im laufenden Windows-Betrieb. BlitzBlank löscht Dateien, Registry-Einträge und Treiber nach einem Rechnerneustart, also noch bevor Windows und andere Programme geladen sind. Als Alternative stehen auch Offline-Notfallumgebungen zur Verfügung, wie sie hier im Blog besprochen werden.