Gebrauch der Notfall-CDs von AVG, Kaspersky und Comodo - Forschungszentrum Jülich
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
FORSCHUNGSZENTRUM JÜLICH GmbH
Jülich Supercomputing Centre
D-52425 Jülich, Tel. (02461) 61-6402
Beratung Netzwerk, Tel. (02461) 61-6440
Technische Kurzinformation
FZJ-JSC-TKI-0411
Dr. Frank Mohr, JSC-KS
21.06.2018
Gebrauch der Notfall-CDs von
AVG, Kaspersky und Comodo
Inhalt
1. Einleitung ............................................................................................................................... 1
2. Verwendung der AVG Rescue CD ........................................................................................ 2
2.1. Normale Verwendung ..................................................................................................... 2
2.2. Problembehebung beim Update .................................................................................... 12
2.3. Erzeugen eines bootfähigen USB-Sticks mit der AVG Rescue CD ............................. 15
3. Verwendung der Kaspersky Rescue Disk 2018 ................................................................... 17
4. Verwendung der Comodo Rescue Disk ............................................................................... 27
4.1. Normale Verwendung ................................................................................................... 27
4.2. Verwendung im Textmodus .......................................................................................... 35
5. Troubleshooting ................................................................................................................... 40
1. Einleitung
Mit den Lösungen AVG Rescue CD, Kaspersky Rescue Disk 2018 und Comodo Rescue Disk
stehen den Mitarbeitern des Forschungszentrums Jülich (auch für den privaten Einsatz) drei
leistungsfähige Notfall-CDs zur Verfügung, um Windows- und (im Fall der Kaspersky
Rescue Disk 2018 sowie der Comodo Rescue Disk) auch Linux-Partitionen auf Malware zu
untersuchen. Dabei sollen eventuelle Infektionen erkannt und auch bekämpft werden.
Voraussetzung hierfür sind tagesaktuelle Virensignaturen, weswegen alle Lösungen
entsprechende Update-Prozeduren besitzen. Es wird dringend empfohlen, vor der eigentlichen
Untersuchung auch tatsächlich ein solches Update durchzuführen, damit die Notfall-CDs ihre
volle Leistungsfähigkeit entfalten können.
Das JSC empfiehlt die Anwendung mit der hier gewählten Priorität: Zuerst die AVG Rescue
CD, dann Kaspersky Rescue Disk 2018 und schließlich die Comodo Rescue Disk. Beachten
1
Sie bitte, dass Linux-Partitionen nur mit der Kaspersky Rescue Disk 2018 sowie der Comodo
Rescue Disk geprüft werden können.
Grundsätzlich kann keine Garantie dafür übernommen werden, dass die Notfall-CDs mit allen
vorliegenden Hard- und Softwarekombinationen korrekt funktionieren oder dass die Update-
Prozeduren mit allen verfügbaren Netzwerkadaptern zusammenarbeiten. Sollten
diesbezüglich Probleme auftreten, sind einige Tipps in den jeweiligen Anleitungen sowie in
Kapitel 5-Troubleshooting aufgeführt; ebenso können Sie sich an die JuNet-Hotline unter der
Durchwahl 6440 wenden.
Darüber hinaus kann ebenfalls keine Garantie übernommen werden, dass jede Infektion durch
die CDs korrekt erkannt und geheilt werden kann. Wird ein System von einer Notfall-CD als
nicht oder nicht mehr infiziert gemeldet, sollte dies vorsichtshalber von mindestens einer der
anderen noch bestätigt werden. Einmal befallene Systeme sind zunächst als nicht mehr
vertrauenswürdig anzusehen, auch wenn eine Notfall-CD eine erfolgreiche Bekämpfung
meldet. In Abhängigkeit der Umstände ist mittelfristig eine erneute Untersuchung oder gar
eine Neuinstallation sinnvoll.
Als Alternative zu den drei Notfall-CDs soll noch der Microsoft Safety Scanner erwähnt
werden, der im konkreten Bedrohungsfall kostenlos heruntergeladen und 10 Tage lang
benutzt werden kann. Es handelt sich dabei um ein Sicherheitstool, welches nur nach Bedarf
gestartet wird, also nicht permanent im Hintergrund arbeitet und daher auch keinen
Virenscanner ersetzen kann. Auf bereits infizierten Systemen hilft es jedoch bei der
Bekämpfung der Schadsoftware, wenn der vorhandene Virenscanner als nicht mehr
vertrauenswürdig betrachtet werden muss.
Die Möglichkeit des Downloads sowie eine Kurzeinführung und weiterführende Links finden
Sie unter
https://www.microsoft.com/de-de/wdsi/products/scanner
2. Verwendung der AVG Rescue CD
2.1. Normale Verwendung
Sie finden ein ISO-Image der AVG Rescue CD auf dem PCSRV unter
\\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\01-AVG-Notfall-CD\
welches in regelmäßigen Abständen aktualisiert wird (was jedoch nicht das tagesaktuelle
Updaten der Virensignaturen ersetzt!).
Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in
das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser.
Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres
Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig bzw.
die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den
Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige
Laufwerk aus und bestätigen Sie mit .
Alternativ bietet AVG auch eine Applikation zum Download an, mit der Sie einen
bootfähigen USB-Stick erzeugen können. Die Bedienung der Notfall-CD ist identisch, Sie
2
sparen dadurch den Brennvorgang einer CD. Wie Sie den USB-Stick erzeugen, finden Sie in
Kapitel 2.3 beschrieben; fahren Sie danach an dieser Stelle fort.
Es erscheint das Bootmenü der Notfall-CD:
Im Normalfall können Sie dieses Menü einfach mit bestätigen, da der Start der
Notfall-CD als erster Menüpunkt bereits voreingestellt ist. Nach einer Wartezeit von 10
Sekunden startet der Bootvorgang selbständig, wenn Sie noch keine Eingabe gemacht haben.
Sollte es im weiteren Verlauf zu Problemen, z.B. mit der Bildschirmanzeige,
kommen, können Sie auch die Menüpunkte und ausprobieren; bei letzterem kann der verwendete Grafikmodus
manuell gewählt werden.
Warten Sie, bis die Notfall-CD alle benötigten Dateien und Einstellungen geladen hat.
Zunächst wird der Disclaimer angezeigt, den Sie mit bestätigen müssen. Sie
können mit den Tasten und durch den Text blättern.
3
Danach testet die Notfall-CD die Internet-Verbindung, da vor der eigentlichen Untersuchung
des Systems ein Update der Virensignaturen durchgeführt wird. Verläuft der Test erfolgreich,
erscheint die folgende Meldung:
Bestätigen Sie die Meldung mit , um ein Update der Virusmusterdefinitionen
durchzuführen.
4
Wenn der Test dagegen fehlschlägt, wird die Meldung „Cannot connect
to AVG Update server. Do you want to configure
internet connection?“ ausgegeben. Bestätigen Sie diese Meldung mit
, woraufhin Sie in das Menü der Netzwerkkonfiguration gelangen.
Folgen Sie dann der Anleitung in Kapitel 2.2, um die Problembehebung für
Updates zu durchlaufen.
Nach dem erfolgreichen Update erscheint die Meldung „Update was successfully
completed.“, welche Sie mit bestätigen können.
Schlägt das Update dagegen mit der Meldung „Update failed: General error“
fehl, kann dies an einem zu kleinen Hauptspeicher liegen. Die Notfall-CD
benötigt für die zuverlässige Funktion 2GB RAM; passen Sie z.B. die
Konfiguration von virtuellen Maschinen entsprechend an.
Es erscheint das Hauptmenü der Notfall-CD. Grundsätzlich können Sie in den Menüs mit den
Tasten und durch die Menüpunkte wechseln.
Haben Sie im bisherigen Verlauf noch kein Update der Virusmusterdefinitionen durchgeführt,
so können Sie dies noch nachholen: Wählen Sie im Hauptmenü zunächst , dann
und dann . Kehren Sie nach dem Update wieder in das Hauptmenü
zurück, indem Sie das Update mit quittieren und dann wählen.
Um die eigentliche Untersuchung des Systems durchzuführen, wählen Sie nun an.
5
Im nächsten Dialog können Sie wählen, ob ganze Festplattenpartitionen (), einzelne Verzeichnisse () oder nur die Windows-Registry () durchsucht werden sollen. Im Normalfall
empfiehlt sich die Untersuchung ganzer Partitionen; einzelne Verzeichnisse oder
Bootsektoren bzw. die Windows-Registry sollten nur dann eingegrenzt werden, wenn die
Infektion(en) bereits in diesen zweifelsfrei lokalisiert werden konnte(n).
Bestätigen Sie daher den ersten Eintrag mit ; in dieser Anleitung wird davon
ausgegangen, dass die Durchsuchung ganzer Partitionen gewählt wurde.
Im nächsten Dialog wählen Sie die zu untersuchende Partition; es werden alle durchsucht, die
mit einem Stern [*] markiert sind. Drücken Sie die Leertaste, um Partitionen aus der
Untersuchung ein- oder auszugrenzen. Beachten Sie, dass die Laufwerksbezeichnungen den
aus der Linux-Welt gewohnten entsprechen.
Im nachfolgenden Screenshot sind zwei Festplattenpartition im System vorhanden, die auch
beide durchsucht werden sollen (erkennbar an dem Stern [*] vor der Laufwerksbezeichnung):
Grundsätzlich sollten Sie alle Partitionen durchsuchen lassen, die im Verdacht einer Infektion
stehen. Sind Sie unsicher, welche dies sind, so lassen Sie alle vorhandenen Partitionen
durchsuchen. Bootfähige Partitionen sollten auf jeden Fall durchsucht werden!
Bestätigen Sie Ihre Auswahl mit . Im nächsten Dialog können Sie verschiedene
Parameter der Untersuchung einstellen. Wie bereits oben werden auch hier alle Optionen
berücksichtigt, die mit einem Stern [*] versehen sind; mit der Leertaste können Sie
Optionen zu- und abschalten.
6
Scan inside archives: Es werden auch Archive durchsucht. Diese Option wird
empfohlen.
Report password protected files: Im Prüfbericht werden passwortgeschützte
Dateien gemeldet. Diese Option ist nur in Verbindung mit
möglich und muss nicht zwingend aktiviert werden, sofern sich kein akuter Verdacht in diese
Richtung ergibt.
Report archive bombs: Eine archive bomb ist eine mehrfach gepackte Datei, die den
installierten Virenscanner bezüglich seiner Ressourcenauslastung überfordern soll und damit
der Entdeckung entgehen will. Wird diese Option aktiviert, werden auch archive bombs
gemeldet, was empfohlen wird. Sie ist nur in Verbindung mit möglich.
Use heuristics for scanning: Es wird die heuristische Suche verwendet, was die
Wahrscheinlichkeit der Erkennung von Bedrohungen erhöht, die derzeit noch nicht bekannt
sind. Diese (voreingestellte) Option wird daher empfohlen.
Scan for potentially unwanted applications und Scan for
enhanced set of potentially unwandet applications: Diese Optionen
suchen zusätzlich nach Schadsoftware im erweiterten Sinne, die sich in bestimmten Bereichen
Administratorrechte verschaffen will. Dies betrifft z.B. Sniffer oder ohne Wissen des Users
installierte FTP-Server und IRC-Clients. Es wird empfohlen, diese beiden Optionen zu
aktivieren.
Scan cookies: Bei Aktivierung dieser Option werden auch http-Cookies untersucht, was
nicht zwingend notwendig ist.
Recognize hidden extensions: Mit dieser Option werden auch versteckte
Dateiendungen wie Beispiel.doc.exe erkannt, die Aktivierung macht durchaus Sinn.
Report documents with macros: Besteht der Verdacht, das System könnte mit
Makroviren befallen sein, macht die Aktivierung dieser Option Sinn. Hierdurch werden
Dokumente mit Makros dem Prüfbericht hinzugefügt.
Enable paranoid mode: Aktiviert eine noch sorgfältigere Überprüfung, die jedoch
deutlich mehr Systemressourcen erfordert. Die Prüfung dauert daher deutlich länger, ist aber
auch gründlicher als der Standard-Scan. Ob dies wirklich notwendig ist, hängt vom Einzelfall
ab.
Scan boot sector: Es werden auch Boot-Sektoren durchsucht, was dringend
empfohlen wird.
Wenn Sie Ihre Einstellungen vorgenommen haben, wählen Sie . Der eigentliche
Scanvorgang beginnt nun, Sie können ihn bei Bedarf mit unterbrechen.
Während der Untersuchung sieht der Bildschirm wie folgt aus:
7
Sofern keine Infektionen oder sonstigen Bedrohungen gefunden wurden, sieht der Bildschirm
nach Abschluss des Vorgangs so aus (alle Zähler mit Ausnahme von „Files scanned“
zeigen 0):
8
Verlassen Sie diese Ansicht mit , wodurch sie wieder das Hauptmenü
erreichen. Sie können nun die Scanoptionen verändern und erneut scannen oder die
Benutzung der Notfall-CD durch den Menüpunkt beenden, woraufhin Sie
zwischen (System herunterfahren) oder (System neu starten)
wählen können.
Wurden dagegen Infektionen gefunden, werden diese nach folgendem Schema dargestellt:
Also im obigen Beispiel: Die Datei whackamole.exe enthält ein Trojanisches Pferd vom Typ
Backdoor.Netbus.
Verlassen Sie diese Ansicht mit . Sie gelangen nun in die Ansicht, wie mit den
gefundenen Infektionen verfahren werden soll:
9
Im obigen Beispiel wurde nur eine Infektion gefunden. Handelt es sich um mehrere, so
können diese auf die gewohnte Weise mittels der Leertaste markiert werden [*] oder mittels
alle markiert werden.
Dann wählen Sie . Im nächsten Dialog können Sie für die soeben gewählten
Infektionen zwischen den folgenden Alternativen wählen:
: Es wird zunächst versucht, die Datei(en) von der Infektion zu befreien, ohne
sie zu löschen. Gelingt dies nicht, wird die Löschung vorgenommen.
: Die Datei wird umbenannt, aber die Infektion wird nicht aus der Datei gelöscht.
: Es wird nichts unternommen, die Infektion bleibt in diesem Fall unverändert
bestehen!
: Zeigt erneut einen Bericht über den Scanvorgang an.
10In dieser Anleitung wird davon ausgegangen, dass die infizierte Datei geheilt bzw. gelöscht
werden soll. Wählen Sie also an und dann .
Die erfolgreiche Heilung wird durch diese Meldung bestätigt:
Sollte dagegen eine Fehlermeldung erscheinen, dass die Datei nicht gelöscht,
geheilt oder umbenannt werden konnte, so ist davon auszugehen, dass die
Infektion weiterhin besteht und mit dieser Notfall-CD nicht erfolgreich
bekämpft werden konnte.
Bestätigen Sie eventuelle weitere Meldungen und kehren Sie mittels in das
Hauptmenü der Notfall-CD zurück. Sie können die Benutzung der Notfall-CD durch den
Menüpunkt beenden, woraufhin Sie zwischen (System
herunterfahren) oder (System neu starten) wählen können.
112.2. Problembehebung beim Update
Wechseln Sie in das Menü zur Netzwerkkonfiguration, sofern noch nicht geschehen. Wählen
Sie dazu im Hauptmenü der Notfall-CD den Punkt und danach :
Bestätigen Sie mit . Im nächsten Dialog erhalten Sie eine
Übersicht über alle verfügbaren Netzwerkadapter; falls mehrere vorhanden sind, wählen Sie
einen Netzwerkadapter mit Zugang zum öffentlichen Netzwerk. Im nachfolgenden Beispiel ist
nur ein Netzwerkadapter im System zu finden.
Die gewählte Option wird mit (*) markiert. Quittieren Sie das Dialogfeld mit .
Sollten Sie einen WLAN-Adapter gewählt haben, werden Sie anschließend
nach der SSID und der Verschlüsselungsmethode gefragt; geben Sie die Werte
an, die auf das drahtlose Netz zutreffen, für das das Endgerät angemeldet ist.
Ggfs. kann hier Ihr Administrator oder Netzwerkansprechpartner weiterhelfen.
Im nächsten Dialog können Sie wählen, ob die Netzwerkkonfiguration per DHCP bezogen
oder manuell (statisch) eingestellt werden soll.
12Versuchen Sie zunächst die bereits voreingestellte Variante , indem Sie mit bestätigen. Erfolgt die Meldung
„eth0 configured. Internet connection test successful.“, wurde die
Konfiguration vorgenommen und die Internetverbindung erfolgreich getestet. Quittieren Sie
diese mit , woraufhin Sie mit der Verwendung der Notfall-CD in Kapitel 2.1
fortfahren können, indem Sie mit in das Hauptmenü zurückkehren.
Erscheinen dagegen eine Fehlermeldung, so ist keine Konfiguration per DHCP möglich.
Versuchen Sie dann die manuelle Einstellung, indem Sie die Meldung mit
bestätigen und im Dialog Network Configuration zum Eintrag wechseln. Beachten Sie auch hier, dass Ihre
Auswahl erst übernommen wird, wenn Sie sie mit der Leertaste bestätigen. Quittieren Sie nun
mit .
Im nächsten Dialog „Network Static Configuration“ können Sie IP-Adresse,
Netzmaske, Standardgateway und DNS-Server eintragen, die auf das zu prüfende System
zutreffen; diese Angaben können Sie bei Ihrem Administrator oder Netzwerkansprechpartner
erfragen. Nach Abschluss der Eingaben wechseln Sie mit der Tabulator-Taste in den unteren
Bereich des Dialogfeldes und bestätigen mit .
Die nachfolgenden Schritte entsprechen den bereits oben geschilderten. Es wird erneut die
Internetverbindung getestet; verläuft der Test erfolgreich, können Sie mit der Verwendung der
Notfall-CD fortfahren, indem Sie in das Hauptmenü zurückkehren. Folgen Sie dann wieder
den Ausführungen in Kapitel 2.1.
Verläuft der Test immer noch nicht erfolgreich, nehmen Sie ein Update per USB-Stick vor:
Halten Sie dazu einen USB-Stick mit mindestens 150 MB freiem Speicherplatz bereit, der frei
von Malware ist; lassen Sie ihn im Zweifelsfall vom Virenscanner eines nicht-infizierten
Systems überprüfen.
Sie finden die zum USB-Update notwendige bin-Datei unter
\\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\01-AVG-Notfall-CD\
Kopieren Sie diese in das Hauptverzeichnis des USB-Sticks. Der Dateiname sollte ähnlich
wie u16iavi13094yh.bin lauten.
Alternativ können Sie von einem vertrauenswürdigen PC aus den AVG-Downloadbereich zur
Rescue CD unter
13https://www.avg.com/de-de/download.prd-arl
besuchen. Suchen Sie in der Rubrik Updates den Eintrag Virendefinitionen. Laden
Sie die zugehörige Datei herunter und speichern Sie sie im Hauptverzeichnis des USB-Sticks.
Werfen Sie danach den USB-Stick aus und stecken Sie ihn in einen freien USB-Port des zu
untersuchenden Systems. Warten Sie einige Sekunden, bis das System die neue Hardware
erkannt hat, und wählen Sie im Hauptmenü der Notfall-CD den Menüpunkt .
Stellen Sie bei virtuellen Maschinen sicher, dass der USB-Stick korrekt in die VM
eingebunden wurde. Sie sollten kurz die folgende Meldung sehen:
Wählen Sie im Hauptmenü der Notfall-CD den Eintrag und im nächsten Dialog
den Eintrag . Sie erhalten eine Ansicht aller erkannten Laufwerke und
Partitionen; wählen Sie den USB-Stick aus.
Beachten Sie, dass Ihre Auswahl nur übernommen wird, wenn Sie sie mit der Leertaste
bestätigen! Sie erkennen dies daran, dass der Eintrag des USB-Sticks mit einem Stern (*)
markiert wird. Verlassen Sie den Dialog nun mit .
Es wird nun ein Hilfetext für den nächsten Dialog angezeigt. Quittieren Sie diesen mit
.
14In der nächsten Ansicht müssen Sie das Verzeichnis auswählen, in das Sie die *.bin-Datei
kopiert haben. Wenn Sie (wie oben beschrieben) das Hauptverzeichnis verwendet haben,
müssen Sie hier nur mit bestätigen. Ansonsten wählen Sie durch Verwendung der
Tasten und das korrekte Verzeichnis aus und bestätigen dann.
Der erfolgreiche Abschluss des Updates wird anschließend durch die Meldung „Update
was successfully completed.“ angezeigt. Sie können dann mit
bestätigen und mit der Verwendung der Notfall-CD in Kapitel 2.1 fortfahren.
Erhalten Sie dagegen eine Fehlermeldung, so wurde vermutlich ein Verzeichnis ausgewählt,
welches nicht die Update-Datei enthielt. Beheben Sie das Problem, indem Sie das USB-
Update mit der korrekten Verzeichnisangabe wiederholen.
2.3. Erzeugen eines bootfähigen USB-Sticks mit der AVG Rescue CD
Besuchen Sie von einem vertrauenswürdigen PC aus den AVG-Downloadbereich zur Rescue
CD unter
https://www.avg.com/de-de/download.prd-arl
und laden Sie die Datei unter dem Eintrag „Rescue CD (for USB sticks)“ herunter.
Öffnen Sie die gepackte Datei (Typ ZIP) und entpacken Sie den gesamten Inhalt in ein
beliebiges Verzeichnis. Stecken Sie außerdem den zu verwendenden USB-Stick mit
mindestens 2GB freiem Speicherplatz ein.
Führen Sie jetzt aus dem entpackten Verzeichnis die Datei setup.exe aus. Eine eventuelle
Sicherheitswarnung, dass der Herausgeber der Software nicht verifiziert werden konnte,
können Sie mit bestätigen. Es erscheint der folgende Dialog:
15In dem Dropdown-Feld werden alle im System vorhandenen USB-Sticks aufgeführt, falls
mehrere vorhanden sein sollten. Wählen Sie den Richtigen aus (im Beispiel oben das
Laufwerk G: mit der Datenträgerbezeichnung USB-Stick, dem Dateisystem FAT und
2022MB freiem Speicherplatz). Klicken Sie danach auf .
Die Applikation kopiert nun alle benötigten Dateien auf den USB-Stick und macht ihn
bootfähig. Der Kopiervorgang kann einige Minuten dauern; eventuelle Meldungen, die
Anwendung reagiere nicht mehr, können ignoriert werden, dies ist kein Hinweis auf eine
Fehlfunktion.
Erscheint die folgende Meldung, so wurde der Vorgang erfolgreich abgeschlossen:
Bestätigen Sie die Meldung mit und danach ggfs. die weitere Meldung, dass das
Programm nicht richtig installiert wurde, mit .
Sie können den USB-Stick nun auswerfen, mit diesem das zu untersuchende System booten
und mit der Verwendung der Notfall-CD unter Kapitel 2.1 fortfahren.
163. Verwendung der Kaspersky Rescue Disk 2018
Sie finden ein ISO-Image der Kaspersky Rescue Disk 2018 auf dem PCSRV unter
\\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\02-Kaspersky-Rescue-Disk-2018
welches in regelmäßigen Abständen aktualisiert wird (was jedoch nicht das tagesaktuelle
Updaten der Virensignaturen ersetzt!).
Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in
das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser.
Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres
Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig bzw.
die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den
Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige
Laufwerk aus und bestätigen Sie mit .
Alternativ können fortgeschrittene Benutzer die Kaspersky Rescue Disk 2018
auch auf einem USB-Stick installieren, eine ausführliche Anleitung dazu
finden Sie unter
https://support.kaspersky.com/14226
Quittieren Sie die Meldung „Press ESC to load Kaspersky Rescue Disk…“
innerhalb von zehn Sekunden mit , ansonsten wird das System ohne Start der Notfall-
CD normal gebootet.
In nächsten Bildschirm können Sie die gewünschte Sprache mit den Tasten und
auswählen und mit bestätigen. Für diese Kurzanleitung wurde die englische
Sprache gewählt.
17Es erscheint ein weiteres Menü, in welchem Sie durch Anwahl der entsprechenden Punkte die
Rescue Disk 2018 normal starten können () oder in einem vereinfachten Grafikmodus, falls im Graphic Mode Probleme auftreten
sollten (). Die Bedienung
der Notfall-CD ist in beiden Fällen identisch, die Abbildungen in dieser Kurzanleitung
beziehen sich auf den Graphic Mode.
Außerdem können Sie Sich durch Anwahl des Eintrags Informationen
zur erkannten Hardware anzeigen lassen, wodurch allerdings ein Neustart notwendig wird.
Die weiteren Menüpunkte erlauben es, die Rescue Disk 10 zu verlassen und den normalen
Bootvorgang des Systems zu veranlassen (), einen Neustart
einzuleiten () oder das System auszuschalten ().
Starten Sie die Rescue Disk 2018 zunächst im normalen Grafikmodus, indem Sie den
entsprechenden Menüpunkt mit bestätigen. Es wird nun die eigentliche Notfall-
CD gebootet, was insbesondere auf virtuellen Maschinen durchaus mit einer Wartezeit von
einigen Minuten verbunden sein kann. Sollte Ihr System jedoch auch nach längerer Zeit keine
Reaktion mehr zeigen, so ist es mit dem Grafikmodus nicht kompatibel und muss neu
gestartet werden; versuchen Sie in diesem Fall den Limited graphic mode oder verwenden Sie
eine der anderen Notfall-CDs.
18Es erscheint die Benutzeroberfläche der Rescue Disk 2018 und die Lizenzbedingungen
werden angezeigt.
Aktivieren Sie beide Checkboxes im unteren Bereich und klicken Sie auf .
Es erscheint das Fenster des eigentlichen Kaspersky Rescue Tool.
19Erscheint dagegen die nachfolgende Meldung, besteht keine Verbindung zum öffentlichen
Netz, weswegen kein Update der Virusmusterdefinitionen durchgeführt werden konnte.
Wurde der Update-Vorgang nicht korrekt ausgeführt, schauen Sie in Kapitel 5-
Troubleshooting nach und starten Sie die Notfall-CD neu, damit die
Netzwerkerkennung erneut durchgeführt wird. Fortgeschrittene Nutzer können
über die Bordmittel der Benutzeroberfläche eine manuelle Konfiguration
versuchen.
Je nach Alter der Virusmusterdefinitionen erhalten Sie im Hauptfenster des Kaspersky Rescue
Tool eine gelb hinterlegte Meldung, dass die Virusdatenbank nicht mehr aktuell ist:
20Klicken Sie in diesem Fall auf (sollten Sie keine solche Meldung erhalten
haben, überspringen Sie diesen Schritt einfach). Es wird ein Online-Update der
Virusmusterdefinitionen durchgeführt, was natürlich nur bei einer aktiven Verbindung zum
öffentlichen Netz funktionieren kann, siehe oben. Während des Update-Vorgangs erscheint
ein Terminal-Fenster mit dem aktuellen Status:
Nach erfolgreichem Abschluss kehrt die Notfall-CD wieder in die Hauptansicht zurück, Sie
müssen dabei ggfs. den Lizenzvertrag erneut bestätigen.
Wählen Sie in der Hauptansicht an. Erweitern Sie im nächsten
Dialog alle Einträge mittels der -Schaltflächen.
21Im hier gezeigten Beispiel erkennt die Rescue Disk eine Windows 7-Installation („Windows
7 x86“) und zwei Laufwerke bzw. Partitionen (im Screenshot unten abgeschnitten).
Sie können nun auswählen, welche Objekte einer Untersuchung unterzogen werden sollen:
Hauptspeicher (Fileless objects), Autostart-Objekte (Startup objects), das
Systemlaufwerk (System drive) und Bootsektoren (Boot sectors). Im unteren
Bereich können Sie zusätzlich ganze Festplatten bzw. Partitionen zu- und abwählen.
Wählen Sie alle Einträge bzw. Partitionen aus, die befallen sein könnten und geprüft werden
sollen. Sind Sie nicht sicher, welche dies sind, wählen Sie alle aufgeführten Einträge aus.
Bootfähige Partitionen sollten auf jeden Fall eingebunden werden. Wählen Sie auch den
Eintrag .
Bestätigen Sie Ihre Auswahl mit . Zurück in der Hauptansicht des Kaspersky Rescue
Tools können Sie die eigentliche Untersuchung nun mit beginnen.
Während der Untersuchung sieht der Bildschirm wie folgt aus:
Mittel kann die Untersuchung vorzeitig beendet werden.
Der Hinweis no threats found zeigt an, dass bislang keine verdächtigen Dateien
gefunden wurden; andernfalls ist an dieser Stelle die Meldung detected 1 object zu
finden (oder höher).
22Nach Abschluss der Untersuchung wird eine Zusammenfassung angezeigt, sofern verdächtige
Elemente gefunden wurden. Wurden solche nicht gefunden, kehrt das Kaspersky Rescue Tool
ohne weitere Meldung in die Hauptansicht zurück.
23Im gezeigten Beispiel wurden drei Infektionen gefunden. Es wird jeweils die Bezeichnung
ausgegeben, z.B. Backdoor.Win32.Netbus.160.a, gefolgt vom Dateinamen samt
Pfadangabe und dem Typ der Malware, z.B. Trojan program.
Im Auswahlfeld hinter jedem Listeneintrag schlägt das Rescue Tool eine Aktion vor, wie mit
der Infektion umgegangen wird. Es kommen in Frage:
: Ignorieren, keine weitere Aktion.
: Das Rescue Tool versucht, die Infektion aus der Datei zu entfernen, wobei diese
intakt bleiben soll.
: Die infizierte Datei wird gelöscht.
: Die infizierte Datei wird in einen Quarantäne-Bereich
verschoben, um bei zukünftigen Systemstarts nicht mehr aktiviert zu werden.
Der Benutzer kann nun für jeden Listeneintrag eine individuelle Aktion einstellen.
Andernfalls kann mit den Schaltflächen im oberen Bereich auch eine einheitliche Aktion für
alle Listeneinträge gewählt werden: für den Quarantäne-
Bereich, für Heilung/Löschung (je nachdem, ob Heilung möglich)
und zum Ignorieren. Mittels können die
vom Rescue Tool vorgeschlagenen Aktionen wiederhergestellt werden.
Bestätigen Sie Ihre Auswahl mit .
Abhängig von den gefundenen Bedrohungen schlägt die Notfall-CD vor, einen intensiveren,
deutlich zeitaufwändigeren Scanvorgang durchzuführen. Wählen Sie zu dessen Durchführung
; möchten Sie diesen dagegen nicht
durchführen, können Sie diesen Schritt mit
überspringen.
24Wurden die gewählten Aktionen durchgeführt, kehrt die Notfall-CD in die Hauptansicht
zurück. Mittels Klick auf können Sie eine Übersicht der Dateien im
Quarantäne-Bereich aufrufen:
Mittels Klick auf können Sie eine Übersicht aller Scan-Vorgänge aufrufen.
Erweitern Sie den Eintrag eines Vorgangs mittels der Schaltfläche , um weitere
Informationen anzeigen zu lassen. Nun können Sie sehen, welche Aktionen die Notfall-CD
durchgeführt hat und ob sie erfolgreich verlaufen sind.
25Im Beispiel oben ist beim Zeitindex 10:30:47.972 der Versuch einer Heilung fehlgeschlagen,
weswegen die Datei schließlich gelöscht wurde.
Um die Nutzung der Notfall-CD zu beenden, klicken Sie auf und wählen Sie
. Wählen Sie anschließend zwischen für einen Neustart und für das Ausschalten der Maschine.
264. Verwendung der Comodo Rescue Disk
4.1. Normale Verwendung
Sie finden ein tagesaktuelles ISO-Image der Comodo Rescue Disk auf dem PCSRV unter
\\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\03-Comodo-Rescue-Disk\
Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in
das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser.
Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres
Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig bzw.
die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den
Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige
Laufwerk aus und bestätigen Sie mit .
Fortgeschrittene Benutzer können mittels entsprechender Tools aus dem ISO-Image einen
bootfähigen USB-Stick erzeugen, die Verwendung ist identisch.
Es erscheint der Bootdialog der Notfall-CD.
27Wählen Sie an und bestätigen Sie mit , um
die Notfall-CD zu starten. Nach zehn Sekunden wird die Notfall-CD automatisch gestartet.
Sollte es im weiteren Verlauf zu Problemen beim Bootvorgang oder mit der
Grafikdarstellung kommen, wählen Sie stattdessen an, bestätigen mit und folgen den Anweisungen in
Kapitel 4.2 zum Textmodus der Notfall-CD.
Warten Sie, bis die Notfall-CD alle benötigten Dateien und Einstellungen geladen hat. Dies
kann einige Minuten dauern, insbesondere auf virtuellen Maschinen. Es erscheinen die
Lizenzbedingungen, welche Sie mit bestätigen können.
Sollten Sie die Schaltfläche nicht sehen können, weil die
Darstellung am unteren Bildschirmrand abgeschnitten wird, besteht evtl. ein
Problem mit der Netzwerkverbindung. Beachten Sie in diesem Fall die
Angaben in Kapitel 5 zum Troubleshooting.
Es erscheint die Hauptansicht der Comodo Cleaning Essentials.
28Sollte die Meldung erscheinen, dass eine neue Version vorliegt (siehe unten), so können Sie
diese mittels schließen, für ein Update der Virusmusterdefinitionen ist dieser
Download nicht notwendig.
29Klicken Sie auf , um eine vollständige Untersuchung des Systems zu
beginnen. Alternativ kann mit eine Kurzuntersuchung besonders
gefährdeter Bereiche gestartet werden, die aber eine geringere Zuverlässigkeit bietet. Mittels
kann der Scanvorgang auf bestimmte Partitionen bzw. Ordner beschränkt
werden, was nur empfehlenswert ist, wenn Infektionen bereits vorab auf bestimmte Bereiche
eingegrenzt werden konnten.
In der nachfolgenden Kurzanleitung wird davon ausgegangen, dass ein Full Scan gewählt
wurde.
Sollten Sie die unten gezeigte Meldung erhalten, so besteht keine Internetverbindung,
weswegen kein Update der Virusmusterdefinitionen erfolgen kann.
Mittels Klick auf kann die Untersuchung trotzdem durchgeführt werden, was aber
nicht empfehlenswert ist, da die Zuverlässigkeit der Prüfung eingeschränkt ist. Klicken Sie
daher auf , beheben Sie das Problem (siehe Kapitel 5 – Troubleshooting) und starten
Sie die Comodo Cleaning Essentials erneut, indem Sie auf dem Desktop deren Icon
doppelklicken.
Fortgeschrittene Benutzer können die Netzwerkverbindung ggfs. manuell konfigurieren,
indem sie auf dem Desktop rechts oben das Symbol klicken und
anwählen.
30Sofern ein Update der Virusmusterdefinitionen vorliegt, wird dieses nun heruntergeladen.
Anschließend beginnt die eigentliche Untersuchung des Systems.
In der Mitte der Ansicht sehen Sie den Fortschritt der Untersuchung. Im Feld Threat(s)
Found sehen Sie, wie viele verdächtige Objekte bislang gefunden wurden; Sie können
bereits im noch laufenden Scanvorgang dieses Feld anwählen und damit eine Liste der
Objekte anzeigen lassen.
Mittels können Sie die Untersuchung unterbrechen und später fortsetzen, mit
abbrechen und mit die Comodo Cleaning Essentials verlassen.
Nach Abschluss des Scanvorgangs (Fortschrittsangabe zeigt 100%) erscheint die Meldung
Finished. Sofern keine Bedrohungen gefunden wurden, können Sie mittels
quittieren, woraufhin die Comodo Cleaning Essentials beendet werden.
Wurden dagegen Bedrohungen gefunden, bestätigen Sie diese Ansicht mit .
31Sie erhalten nun eine Übersicht der gefundenen, verdächtigen Objekte:
32Sie erhalten für jedes Objekt eine Pfadangabe, den Dateinamen und eine Kurzbeschreibung
der Bedrohung, im gezeigten Beispiel Backdoor (unerlaubte Einrichtung eines Fernzugriffs
auf das System).
Schieben Sie mit der horizontalen Bildlaufleiste den Bildausschnitt ganz nach rechts, um für
jedes Objekt die geplante Aktion anzeigen zu lassen (Spalte Operation >).
Die von Comodo Cleaning Essentials vorgeschlagene Aktion ist von der Art der Bedrohung
abhängig. Sofern dies möglich erscheint, wird Clean bzw. Repair vorgeschlagen, wobei
der Schadcode aus der betroffenen Datei entfernt wird, ohne diese zu löschen. Sollte die
Reinigung nicht erfolgreich verlaufen, wird die Datei in einen Quarantäne-Bereich
verschoben.
Mittels Klick auf > werden die anderen möglichen Aktionen angezeigt:
Ignore um die Bedrohung unverändert zu lassen und Report um die Bedrohung dem
Hersteller der Notfall-CD als Falschmeldung anzuzeigen, sofern zutreffend.
Wählen Sie also Ihre gewünschte Aktion aus und bestätigen Sie mit . Anschließend
werden Sie informiert, ob die Aktionen erfolgreich ausgeführt wurden.
Bestätigen Sie mit . Die Abfrage, ob Sie die Ansicht tatsächlich schließen wollen,
können Sie mit bestätigen. Die Comodo Cleaning Essentials werden daraufhin
beendet.
Sie können bei Bedarf den Scanvorgang mit einer höheren Intensität wiederholen lassen.
Doppelklicken Sie dazu auf dem Desktop auf ; Sie
kommen damit erneut in die Hauptansicht. Wählen Sie rechts oben an.
33Aktivieren Sie das Feld , die
anschließende Sicherheitswarnung sollte jedoch vor der Quittierung mittels
unbedingt beachtet werden, da Änderungen am Master Boot Record (MBR) auch beabsichtigt
sein können. Sollten Abweichungen am MBR gefunden werden, so entscheiden Sie abhängig
von Ihren Softwareinstallationen, ob diese harmlos sein könnten.
Setzen Sie außerdem das Feld auf High. Beachten
Sie jedoch, dass durch diese Einstellung auch die Wahrscheinlichkeit von Falscherkennungen
erhöht wird.
Sollten sich auf dem zu untersuchenden System verdächtige Dateien von sehr großem
Volumen befinden, kann außerdem der Wert im Feld entsprechend erhöht werden.
Durch diese Einstellungen erhöht sich die Dauer eines Scanvorgangs, aber auch die
Genauigkeit. Bestätigen Sie den Dialog mit zu starten Sie eine erneute Untersuchung.
Sie können die Nutzung der Notfall-CD beenden, indem Sie auf dem Desktop links oben auf
klicken und wählen. Klicken Sie danach auf für einen Neustart oder auf , um das System
auszuschalten.
344.2. Verwendung im Textmodus
Nach dem Start der Notfall-CD im Textmodus sehen Sie zunächst die Lizenzbedingungen, die
Sie mit bestätigen können.
Es erscheint das Hauptmenü der Comodo Rescue Disk.
Sie können die Menüpunkte mit den Pfeiltasten und anwählen und mit
bestätigen. In den Untermenüs können Sie die verschiedenen
Auswahlmöglichkeiten mit der -Taste anwählen.
Wählen Sie , um eine vollständige Untersuchung des Systems zu beginnen.
Alternativ kann mit eine Kurzuntersuchung besonders gefährdeter
35Bereiche gestartet werden, die aber eine geringere Zuverlässigkeit bietet. Mittels kann der Scanvorgang auf bestimmte Partitionen beschränkt werden, was nur
empfehlenswert ist, wenn Infektionen bereits vorab auf bestimmte Bereiche eingegrenzt
werden konnten.
In der nachfolgenden Kurzanleitung wird davon ausgegangen, dass ein Full Scan gewählt
wurde.
Sollten Sie nach Auswahl eines Scanvorgangs die unten gezeigte Meldung erhalten, so
besteht keine Internetverbindung, weswegen kein Update der Virusmusterdefinitionen
erfolgen kann.
Mittels kann die Untersuchung trotzdem durchgeführt werden, was aber nicht
empfehlenswert ist, da die Zuverlässigkeit der Prüfung eingeschränkt ist. Wählen Sie daher
, beheben Sie das Problem (siehe Kapitel 5 – Troubleshooting) und starten Sie die
Comodo Rescue Disk erneut, um die Netzwerkerkennung erneut durchzuführen.
Sie können auch eine manuelle Konfiguration der Netzwerkanbindung versuchen. Wählen Sie
dazu im Hauptmenü .
Wählen Sie den Punkt an und aktivieren Sie ihn mittels der Leertaste.
Wählen Sie nun mit der -Taste nacheinander die Punkte ,
, und an und geben Sie die Werte ein, die
Ihnen von der JuNet-Administration oder Ihrem IT-Ansprechpartner übermittelt wurden.
Bestätigen Sie Ihre Eingaben mit , die Notfall-CD kehrt in das Hauptmenü zurück.
Starten Sie nun, wenn nicht schon geschehen, einen Full Scan. Die Notfall-CD führt zunächst
ein Update der Virusmusterdefinitionen aus.
36Wurde das Update erfolgreich durchgeführt, beginnt ohne weitere Meldung die eigentliche
Untersuchung des Systems. Währenddessen sieht der Bildschirm wie folgt aus:
Mittels der Tasten + können Sie den Scanvorgang vorzeitig abbrechen, die
Notfall-CD kehrt daraufhin in das Hauptmenü zurück.
Wenn ein verdächtiges Objekt gefunden wird, erscheint eine solche Meldung:
37In der Zeile Name: sehen Sie eine Kurzbeschreibung der Bedrohung, hier Backdoor für
die unerlaubte Einrichtung eines Fernzugriffs auf das System. In der Zeile File: sehen Sie
die Pfadangabe des Objekts.
Sie haben nun die folgenden Möglichkeiten:
• oder : Hierbei wird versucht, den Schadcode aus der
betroffenen Datei zu entfernen, ohne diese zu löschen. Sollte die Reinigung nicht
erfolgreich verlaufen, wird die Datei in einen Quarantäne-Bereich verschoben.
• : Die Bedrohung wird unverändert gelassen.
• : Die Bedrohung wird dem Hersteller der Notfall-CD als Falschmeldung
angezeigt.
• : Die Aktion Clean wird auf dieses und alle weiteren gefundenen
Objekte angewendet.
• : Die Aktion Ignore wird auf dieses und alle weiteren gefundenen
Objekte angewendet.
• : Die Aktion Report wird auf dieses und alle weiteren gefundenen
Objekte angewendet.
Wählen Sie die gewünschte Aktion mit den Pfeiltasten und an und bestätigen
Sie mit .
Sollten Sie unsicher sein, welche Aktion die Richtige ist, wählen Sie . Vermeiden
Sie es, die -Optionen zu wählen, um den Überblick über die gefundenen
Bedrohungen zu behalten.
Nach Abschluss des Scanvorgangs und aller gewählten Aktionen kehrt die Notfall-CD in ihr
Hauptmenü zurück. Sie können den Scanvorgang mit einer höheren Intensität wiederholen
lassen; wählen Sie dazu an.
38Aktivieren Sie mit der Leertaste das Feld . Beachten Sie jedoch, dass Änderungen am Master Boot Record (MBR)
auch beabsichtigt sein können, z.B. durch bestimmte Backup-Lösungen. Sollten
Abweichungen am MBR gefunden werden, so entscheiden Sie abhängig von Ihren
Softwareinstallationen, ob diese harmlos sein könnten.
Setzen Sie außerdem das Feld mit den Pfeiltasten
und auf High. Beachten Sie jedoch, dass durch diese Einstellung auch die
Wahrscheinlichkeit von Falscherkennungen erhöht wird.
Sollten sich auf dem zu untersuchenden System verdächtige Dateien von sehr großem
Volumen befinden, kann außerdem der Wert im Feld entsprechend erhöht werden.
Durch diese Einstellungen erhöht sich die Dauer eines Scanvorgangs, aber auch die
Genauigkeit. Bestätigen Sie den Dialog mit zu starten Sie eine erneute Untersuchung.
Im Hauptmenü der Comodo Rescue Disk sollen darüber hinaus noch die folgenden
Wahlmöglichkeiten erwähnt werden:
• : Zugriff auf die von der Notfall-CD erzeugten Log-Dateien.
• : Anzeige aller Objekte, die in den Quarantäne-Bereich
verschoben wurden (sofern vorhanden). Sie können für jedes Objekt wählen, ob es
gelöscht werden soll () oder wiederhergestellt (). Mittels
werden alle gelisteten Objekte gelöscht, mittels kehren Sie
in das Hauptmenü zurück.
• : Die Nutzung der Notfall-CD wird beendet und das
System neu gestartet.
• : Die Nutzung der Notfall-CD wird beendet und das
System abgeschaltet.
395. Troubleshooting
Sollte die Internet-Verbindung unter den Notfall-CDs nicht korrekt funktionieren, überprüfen
Sie bitte die nachfolgenden Punkte (deren aufgeführte Reihenfolge nicht verbindlich ist, hier
muss vielmehr situationsabhängig entschieden werden):
• Der verwendete Netzwerkadapter muss richtig gewählt werden, die Notfall-CDs wählen
den Adapter zunächst automatisch. Eventuell werden einige WLAN-Adapter sowie USB-
basierte Lösungen nicht korrekt erkannt; binden Sie das betroffene Gerät daher für die
Dauer des Update-Vorgangs mittels einer internen Netzwerkkarte über einen
kabelgebundenen Anschluss an, sofern möglich.
Achten Sie bei fest integrierten Netzwerkadaptern darauf, dass diese im BIOS aktiviert
sind. Achten Sie bei nachgerüsteten Netzwerkkarten darauf, dass der verwendete
Slot/Anschluss im BIOS aktiviert ist.
• Prüfen Sie, ob das System tatsächlich mit einem JuNet-Anschluss verbunden ist. Der
Updatevorgang kann nur Erfolg haben, wenn der gewählte Netzwerkanschluss dem zu
prüfenden System Zugang zum öffentlichen Netz bereitstellt.
• Für die korrekte Funktion des Update-Vorgangs muss das betroffene System seine
Netzwerk-Konfiguration vom DHCP-Server beziehen (oder manuell konfiguriert werden).
Sollte das System aufgrund der Infektion für die JuNet-Nutzung gesperrt sein, ist ein
Update-Vorgang daher nicht möglich. Halten Sie in diesem Fall Rücksprache mit der
JuNet-Hotline unter der Durchwahl 6440.
• Beachten Sie, dass die Verwendung von KVM-Switches bei der Anwendung der Notfall-
CDs zu Problemen mit der Bildschirmdarstellung führen kann. Binden Sie den PC in
diesem Fall für die Dauer der Maßnahmen direkt an einen Monitor an.
Führen auch diese Maßnahmen nicht zum Erfolg, wenden Sie Sich an Ihren IT-
Ansprechpartner, IT-Dienstleister oder die JuNet-Hotline 6440.
Ein Fortfahren mit der Nutzung der verschiedenen Notfall-CDs ist zwar auch ohne Update
möglich, jedoch ist die Wahrscheinlichkeit beschränkt, dass eventuelle Infektionen mit
Malware erkannt und beseitigt werden können. Sollte ein Update trotz aller Versuche nicht
möglich sein, achten Sie darauf, die aktuellen Versionen der Notfall-CDs herunterzuladen.
40Sie können auch lesen
