Notfall-Stick auf Basis Windows XP

Der ein oder andere fühlt sich auch in Notfallsituationen in seiner vertrauten Windows-Umgebung wohler und setzt auch lieber Windows-basierte Tools zur Rettung ein. Im Computer-Magazin com! 10/09 wurde ein Verfahren beschrieben, wie Windows XP auf einem USB-Stick installiert werden kann. Bei dieser Vorgehensweise wird auf eine Bart/Vista PE Lösung verzichtet. Bei der Virtual PC basierten com!-Lösung sind jedoch die Installationsdateien bzw. die Setup-CD für Windows XP erforderlich. Eine OEM-Recovery-Lösung per CD reicht mit hoher Wahrscheinlichkeit nicht aus. Somit sind folgende SW-Produkte Voraussetzung für das Erstellen des XP-USB-Sticks:

Die Vorgehensweise zur Erstellung des USB-Sticks soll hier nur kurz beschrieben werden.

Der USB-Stick ist mit dem HP-Tool mit FAT32 zu formatieren. Aus der Windows Embedded Umgebung sind sechs Dateien für den EWF-Treiber (ewf.sys, ewfapi.dll, ewfdll.dll, ewfinit.dll, ewfmgr.exe, ewfntldr) zu extrahieren, die für einen Schreibschutz auf dem USB-Stick sorgen. Windows XP ist nun in einer virtuellen Umgebung (z.B. mit Virtual PC) zu installieren und danach ist das Usboot Tool in der erstellten VM auszuführen. Die EWF-Treiber werden im ersten Schritt in die VM-Umgebung integriert. Usboot kopiert die VM im letzten Schritt auf den USB-Stick.  Schließlich kann mit dem EWF-Manager der EWF-Treiber enabled und disabled werden. Als Ergebnis bekommt man einen XP-basierten USB-Stick, der sich jetzt mit beliebigen portablen Windows-Applikationen/Tools ergänzen läßt.

Im nächsten Beitrag wird eine Vista PE basierte Lösung vorgestellt, die auch ohne Setup-CD funktioniert. Danach folgen Windows 7 basierte USB-Stick-Lösungen für den Notfalleinsatz.

Best Practice: Virenalarm

Was tun wenn der Virenscanner „dreimal klingelt“? Statt in Panik zu verfallen kann folgende Vorgehensweise sinnvoll sein.

1. Analyse

Zunächst einmal sollte man sich fragen, wer überhaupt den Virusverdacht gemeldet hat. Die heutigen Virenscanner beinhalten unterschiedliche Wächtermodule wie z.B. Signaturerkennung, Heuristik (Virenmeldungen mit „heur“), Verhaltens-erkennung (Virenmeldungen mit „gen“) oder In-the-Cloud-Erkennung. Der Pfad und Dateiname der Virusmeldung ist festzuhalten. Die verdächtige Datei sollte zunächst nur gesperrt oder protokolliert werden, bevor Sie zu schnell auf Desinfizieren oder Löschen drücken. In vielen Fällen ist es sinnvoll erst mal von einem Notfall-System zu booten und eine Kopie der identifizierte (dann ungesperrten) Datei an einen Analysedienst im Internet zu schicken. Der Hinweis gilt umso mehr, wenn die Viruserkennung auf Heuristik oder Verhaltenserkennung basiert.

2. Informationen sammlen

Oft sind die Hinweise der Virenmeldungen wenig aussagekräftig. Ein spezialisierter Online-Dienst liefert meist mehr Informationen und ergänzt damit eine zweite Beurteilung.

2a. Virustotal

Virustotal scannt jede hochgeladene Datei mit mehr als 40 Virenscannern. Klicken Sie auf der Website zum Hochladen einer verdächtigen Datei auf „Durchsuchen.. “ Wenn die Datei schon bekannt ist, erscheint die Meldung „File already submitted“. In diesem Fall klicken Sie auf „Reanalyse“, um den mehrfachen Virenscan erneut mit aktualisierten Signaturen anzustoßen. Nach Abschluß des Virenscans weisen rote Einträge im Log auf eine virulente Datei hin. Mit den roten LOG-Einträgen ist eine weitere Recherche z.B. über google möglich.

2b. Threat Expert

Auch Threat Expert kann hochgeladene Dateien in einer Sandbox-Umgebung analysieren. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link auf das Prüfergebnis.

2c. Jottis Malwarescanner

Eine Alternative bietet auch der speziell auf Malware optimierte Linux-basierte Virenscanner von Jotti.

2d. Virenlexikon

Noch speziellere Informationen bekommen Sie über ein Virenlexikon. Beispielsweise  verwaltet Kaspersky Lab eine große Virendatenbank.

Entscheiden Sie aufgrund gesicherter Informationen, ob es sich tatsächlich um einen Virus oder ähnliches handelt. Bei Virenbefall können Sie meist selber über die Notfall-Live-CD den Virus manuell löschen. Vorsicht ist beim Löschen von Systemdateien geboten!

3. Online-Scanner

Wenn auf einem PC ein Virus entdeckt wurde, sind häufig noch mehrere Dateien betroffen. Nach einer ersten Virenbereinigung mit einem Offline-Einsatz einer Live-CD können Sie nach dem Reboot in ihre Produktionsumgebung einen Online Virenscanner zur weiteren Analyse starten

3a. F-Secure Online Scanner

Der javabasierte Virenscanner kann nach dem Start mit „Prüfung durchführen“ und Auswahl „Vollständigen Scan“ gestartet werden. Entscheiden Sie pro Datei wie mit einem möglichen Virus umgegangen werden soll.

4. Einsatz von Live-CDs

Hier im Blog wurden schon mehrere Live-CDs zum Virenscan (Avira Antivir Rescue System, Kaspersky Rescue Disk, AVG/F-Secure Rescue CD, Desinfec’t, etc.) beschrieben. Entscheiden Sie je nach Konfiguration welches Rettungssytem für Sie geeignet ist.

5. Weitere Tools zur Virenbeseitigung

Sie können auch auf ihrem Produktionssystem weiter Virenscan-Tools installieren. Hier eine Auswahl:

5a. Bitdefender Free Edition

Der kostenlose Virenscanner verfügt über einen Hintergrunddienst, der sich auch als Zweitscanner bzw. Zweitmeinung eignet.

5b. Anti-Malware

Anti-Malware ermöglicht eine schnelle und gründliche Suche nach Trojanern.

5c. Rootkit Buster

Das TrendMicro-Produkt Rootkit Buster analysiert tief im System nach Rootkits. Es werden Registry-Einträge untersucht, Prozesse und Treiber analysiert und auch der MBR geprüft.

5d. Blitzblank

Das Freeware-Tool Blitzblank läuft nicht als Dienst sondern integriert sich in den Windows-Explorer (ohne Installation). Beim Neustart des Computers können markierte (virulente) Dateien automatisch gelöscht werden.

5e. c’t-Helper

Im c’t Magazin 05/08 wurden 22 essenzielle Hilfswerkzeuge u. a auch zum Säubern von PC-Systemen vorgestellt. Das c’t-Projekt stellt Hilfsprogramm zur Seite, die quasi automatisch für die Aktualisierung der einzelnen SW-Produkte sorgen.

Säuberungs-Tools innerhalb c’t-Helper:

  • CleanHandlers (entmistet AutoPlay-Handler unter XP und Vista),
  • Disk Cleaner (säubert Browser-Caches, Temp-Verzeichnisse, Cookies, etc.),
  • EasyCleaner (säubert Windows-Registry, auf Wunsch auch temporäre Dateien u.ä.),
  • EasyCleaner Blacklist (Ausnahmen für Registry-Säuberer von EasyCleaner),
  • ICSweep (säubert IE-Cache, TEMP-Verzeichnisse aller Anwender),
  • RegAlyzer (umfangreicher Editor für die Registrierungsdatenbank)

Malware-Scanner innerhalb c’t-Helper:

  • Ad-Aware 2007 Free (Inst., sucht und entfernt Ad- und Spyware),
  • Ad-Aware 2007 Malware Definition File (Malware-Sign. für Ad-Aware 2007 Free),
  • Avast Virus Cleaner (sucht und entfernt bestimmte Trojaner, Viren und Würmer),
  • Catchme Userland Rootkit Detector (sucht und erkennt einfache Rootkits),
  • F-Secure Blacklight Rootkit Eliminator (sucht und entfernt Rootkits),
  • Gmer (Stickware, sucht und entfernt Rootkits auch auf Offline-System)
  • McAfee Stinger (Inst., sucht und entfernt ausgewählte Trojaner, Viren und Würmer),
  • McAfee Avert Stinger for W32_Polip (sucht u. entfernt W32/Polip, säubert infiz. Files),
  • RootkitRevealer (spürt Rootkits auf von Sysinternals bzw. Microsoft),
  • Spybot – S&D (Inst., sucht u. entfernt Ad- sowie Spyware, immunisiert PC),
  • Spybot – S&D Detection Updates (Malware-Signaturen für Spybot aus Internet),
  • Tool zum Entfernen bösartiger Software (sucht und entfernt Trojaner und Rootkits)

Neben Säuberungstools und Malwarescanner liefert c’t-Helper noch mehrere Analysewerkzeuge. Die Tool-Sammlung ist ein Muss für jeden sysadmin.

Best Practice: Festplattenanalyse

Nachdem ich schon mehrfach gefragt wurde, welche Tools zur Festplattenanalyse im laufenden Betrieb sinnvoll sind, möchte ich hier mal fünf Tools vorstellen:

Crystal Disk Info 4.0.1

Crystal Disk Info ist als Stickware verfügbar, benötigt also keine Installation. Das einfach zu bedienende Tool liest SMART-Daten von der Festplatte aus und informiert über drohende Defekte. Das Freeware-Tool kann die Festplatte über einen längeren Zeitraum analysieren und liest auch die Temperatur-Daten aus, welche grafisch dargestellt werden können. Das Tool liegt dem hier im Blog vorgestellten Admin-Stick bei.

HDD Scan 3.3

Das Diagnose-Tool ermittelt SMART-Informationen und prüft interne/externe Festplatten auf physische Schäden. Das Stickware-Tool bietet nach dem Start zunächst die Möglichkeit eine zu analysierende IDE/SCSI/SATA/SAS/SDD-Festplatte auszuwählen. Nach der Anzeige von detaillierten SMART-Informationen kann die Geschwindigkeit von Lese- und Schreiboperationen ermittelt werden. Ein Temperaturmonitor prüft, ob die Festplatte heiß läuft. Bei der Anzeige der SMART-Werte sollte der Grenzwert (Threshold) durch die ermittelten Werte nicht unterschritten werden. Eine neue Platte (HDD) startet bei 100 und zählt dann abwärts. Unterschreitet der SMART-Eintrag (ID1) „Raw Read Error Rate“ (Anzahl der Lesefehler) den Grenzwert von 51, ist dies ein Hinweis auf einen anfälligen Schreib-Lese-Kopf. SMART-Werte von USB-Platten lassen sich nur selten auslesen (Link für Details).

Wer mal in eine Festplatte schauen möchte, klickt auf diesen Link.

SeaTools von Seagate

SeaTools ist ein umfassendes, einfaches und herstellerunabhängiges Diagnose-Tool, mit dessen Hilfe Sie schnell den Zustand Ihrer externen Festplatte sowie der Festplatte in Ihrem Desktop-PC oder Notebook ermitteln können. Das Freeware-Tool (keine Stickware) verfügt über ein ausführliches Handbuch. Nach der Installation des Tools müssen Sie zuerst die zu untersuchende Festplatte Ihres Rechners auswählen. Danach haben Sie unterschiedliche Testoptionen: SMART-Test, kurzer und langer Festplatten-Selbsttest, Festplatteninformationen, etc. Manche Analyseverfahren stehen zum Beispiel nicht bei allen USB-Festplatten zur Verfügung. Es ist auch eine Reparaturoption verfügbar.

Data Lifeguard Diagnostic (DLGDIAG) von Western Digital

Auch mit diesem Tool können Sie eine Festplatte (herstellerunabhängig) überprüfen. Suchen Sie dazu auf der Download-Seite das geeignete Festplatten-Laufwerk (EISE, SATA, USB, SSD, etc.) aus. Das Stickware-Tool müssen Sie als Administrator ausführen. Nach Start und Rechtsklick mit der Maus auf die angezeigte Festplatte steht Ihnen ein Schnell-Test und ein Erweiterter-Test zur Verfügung.

Drive Fitness Tool von Hitachi (Boot-CD)

Das Drive Fitness Freeware-Tool von Hitachi steht Ihnen als iso-Datei zum Download zur Verfügung. Nachden Sie die iso-Datei auf eine CD gebrannt haben, booten Sie den PC mit dem erstellen Datenträger. Die einfach gestaltete grafische Benutzeroberfläche ermöglicht Ihnen einen schnellen Festplattentest für unterschiedliche SCSI, IDE und SATA Festplattenlaufwerke.

Acronis Drive Monitor 1.0

Acronis Drive Monitor überwacht im Betrieb alle verfügbaren Festplatten und bietet eine aktive Benachrichtigung, wenn die Festplatte defekt oder zu heiß wird. Das Freeware-Tool integriert sich im System-Tray und kann mit der rechten Maustaste geöffnet werden. Über Optionen können unterschiedliche Alarmwerte definiert werden und mit dem Tool lassen sich Wochenberichte mit unterschiedlichen Festplatten-Parametern erstellen.

Smart Defrag 2.01

Smart Defrag ist ein Defragmentier-Tool, welches effizienter als das Windows-eigene Defrag-Tool arbeiten soll. Es werden z.B. nur größere Dateien verschoben. Das ca. 4 MB große Freeware-Tool muss auf dem Zielrechner installiert werden und integriert sich im System-Tray. Sie können über die Option „Automatisch“ bestimmen, in welcher Zeitspanne bzw. Nicht-Aktivität das Tool seine Arbeit verrichten soll. Das performant im Hintergrund agierende Tool optimiert auch während des Bootvorgangs die Dateiablage auf dem PC.

GSmartControl

Manche Smart-Werte wie z.B. der Datendurchsatz ID2 (Throughput Performance) können nur durch einen Testlauf ermittelt werden. GSmartControl bietet für die Performance-Messung eine grafische Benutzeroberfläche, die  über „Perform Tests“ und einem Klick auf „Execute“ gestartet werden kann. GSmartControl ist seit Version 3.5 in der Live-CD Parted Magic integriert.

Parted Magic 6.1

Die linuxbasierte Live-CD Parted Magic Version 6.1 (boot/syslinux 4.04, Kernel 2.6.38, Xorg-Build, unetbootin-linux) ist eine mächtige Linux-Distribution, die zahlreiche Tools zum Partitionieren und Bearbeiten von Festplatten enthält. Neben dem Klassiker GParted finden sich auch Datenrettungstools wie Testdisk 6.12 und PhotoRec auf der Live-CD. Parted Magic bietet eine gute Hardwareerkennung (nur 64 MB Hauptspeicher für den Betrieb erforderlich) und das integrierte WLAN-Modul läßt sich auch mit neuerer Hardware problemlos starten. Die Live-CD mit einfach gestalteter GUI ist auch Bestandteil vieler Multiboot USB-Sticks, die um folgende Tools ergänzt werden:

  • Formatieren interner und externer Festplatten
  • Partitionsmanagement mit GParted
  • Kloning und Backup von Festplatten
  • Validierung von Festplatten, Sektorenanalyse
  • Hauptspeicheranalyse mit Memtest86+
  • Performanceanalyse des Rechners
  • Sicheres Löschen von Daten der Festplatte
  • Sicherung von Daten auf NTFS-Partitionen
  • Mozilla Firefox 4.0.1

Eine ausfürliche Liste der Tool finden Sie hier. Neben GParted 0.8.1 befinden sich auch chntpw (Windows Password manipulieren), stress (Stress Tool), smartctl (SMART Tool) und ddrescue auf der Live-CD.

Parted Magic (auch als PXE-Variante verfügbar) eignet sich besonders für den Einsatz bei PC-Systemen, deren Hardwareausstattung am unteren Ende der Skala anzusiedeln ist.

Admin-Stick 2.0.3

Der Admin-Stick 2.0.3 wurde im Computer-Magazin com! Spezial USB-Sticks 10/09 vorgestellt. Mit einem Admin-Stick-Builder kann man 25 Sofort-Tools und fünf Boot-Systeme auf einem ca. 2 GB großen USB-Stick installieren. Die Sofort-Tools und die Microsoft-Tools (Sysinternals Suite) können sinnvollerweise nur vom Produktionssystem angesprochen werden (\tools\asuite\asuite.exe starten). Die Boot-Systeme Avira Antivir, DBAN (Dariks Boot and Nuke – löscht Daten unwiederbringlich), HDT (Hardware Detection Tool), Memtest und Parted Magic sind Live-Systeme die (offline) auf das Produktionssystem zugreifen können.

Folgende Sofort-Tools beinhaltet der Admin-Stick:

  • Ccleaner: entfernt Daten und schafft Platz auf der Festplatte, mit Analysefunktion
  • Clam Win: Virenscanner mit Online-Update
  • Crystal CPU ID: Infos zu Mainboard (BIOS-Update?) und BIOS-Version
  • Crystal Disk Info: liest SMART-Daten der Festplatte aus
  • Crystal Disk Mark: prüft Schreib-und Lese-Performance der Festplatte
  • Eraser: löscht Daten unwiderruflich
  • Explore2fs: Lesezugriff auf Linux-Partitionen
  • GMER: beseitigt Rootkits
  • HW Monitor: liest Temperatur von Prozessoren und Grafikkarte aus
  • Keyfinder: findet Produktschlüssel von Windows-und Office-Versionen
  • My Defrag 4.1.1: defragmentiert die Festplatte
  • PC On/Off Time: analysiert An- und Ausschaltzeit des Rechners
  • PC Wizard 2009: liefert HW-Details und Benchmark-Informationen
  • System Explorer: liefert Infos zu Prozessen, Treibern und Add-ons
  • WinDirStat: analysiert die Festplatte hinsichtlich Speicherfresser
  • Windows-Optimierer: soll Performance bei XP und Vista verbessern

Im USB-Stick-Ordner „tools\syssuite“ befindet sich die bekannte Sysinternals Suite.