Ein Computer ist auch nur ein Mensch? Natürlich nicht, aber er reagiert im Vergleich ebenso empfindlich auf eine Infektion wie ein Mensch. Gemeint sind damit die unzähligen Schadprogramme (Viren, Trojaner, Würmer.-..), die einem PC das Arbeiten vermiesen können. Infizieren lässt sich ein PC auf allen Wegen, auf denen Daten übertragen werden. Sei es durch den Besuch einer verseuchten Internetseite, das Einlegen einer mit Schadsoftware befallenen CD/DVD, über einen USB-Stick, kompromittierte Software oder das Öffnen eines Mailanhangs. Immer dann, wenn unerwünschte ausführbare Dateien den Weg auf die Festplatte gefunden haben und nichts Gutes im Schilde führen, ist das Problem akut. Wie werden wir diese Plagegeister also wieder los? Was ist zu tun, wenn der PC nach einem Virenbefall nicht mehr startet? Ist überhaupt noch etwas zu retten? Auf diese Fragen möchten wir eine Antwort finden. Häufig wird dabei von Desinfec't 2013 gesprochen. Was es damit auf sich hat und ob dieses Programm das leistet, was es verspricht, werden wir in diesem ausführlichen Praxis Test beleuchten, dazu wünschen wir viel Vergnügen...






Bei Desinfec't 2013 handelt es sich um eine bootfähige Linux-Live-DVD, auf welcher unter einer Oberfläche 4 Virenscanner vereint sind. Aus lizenzrechtlichen Gründen darf diese DVD nicht zum Download angeboten werden. Sie ist als Beilage in der Ausgabe 10/2013 des c't-Magazins zum Preis von 3,90 € enthalten. Wer am Kiosk kein Exemplar mehr bekommt, kann es beim Heise-Zeitschriftenverlag im Shop online bestellen.

Windows 8 Besonderheiten:

Um Desinfec't 2013 mit Windows 8 nutzen zu können, sind einige Einstellungen zu beachten:

• UEFI-Secure Boot sollte deaktiviert werden. Dieses Feature lässt nur das Booten von Microsoft digital signierten Betriebssystemen zu. Da es sich um ein Linux-System handelt, wird der Start verhindert. Zwar wurde Ubuntu signiert, trotzdem kann es auf einigen Systemen zu Startproblemen in Form eines nicht mehr reagierenden Boot-Loaders kommen.
• Der Schnellstart-Modus (Hyperboot-Modus) muss ebenfalls deaktiviert werden. Wurde der Computer in diesem Modus heruntergefahren, werden auch Hinweise auf Speicherorte bestimmter Dateien in der hyberfil.sys abgelegt. Wird nun durch Desinfec't eine Änderung nach einem Virenfund vorgenommen kann es passieren, dass bestimmte Dateien nicht gefunden werden und somit ein ordnungsgemäßes Funktionieren des Computers nicht mehr gewährleistet ist. Nach dem Start von Desinfec't wird eine entsprechende Meldung mit dem Hinweis, den Computer vollständig herunterzufahren, angezeigt .Wie dieser Modus abgeschaltet wird, ist in diesem Artikel beschrieben.
• Die c't arbeitet bereits daran, den Umgang von Desinfec't mit Windows 8 zu erleichtern. Resultate sind jedoch nicht vor 2014, also der nächsten Version, zu erwarten.
  

Die DVD enthält neben einem Linux-Live-System folgende aktuelle Antiviren-Programme:

• Avira
• Bitdefender
• Kaspersky
• ClamAV

Ferner ist die Fernwartungs-Software TeamViewer enthalten. Hiermit lässt sich problemlos eine Verbindung über das Internet zu einem entfernten PC eines Freundes aufbauen, um weitere Hilfe zu bekommen, oder sie selbst zu leisten.

Wo liegt der Vorteil eines Live-Systems?
Wie bereits erwähnt, handelt es sich um eine bootfähige DVD mit einem Linux-Live-System. Das hat den Vorteil, über ein unabhängiges und vollständig autarkes Betriebssystem zu verfügen, unser Windows wird also nicht gestartet. Wenn ein kompromittiertes System gebootet wird, so ist auch eventuell vorhandene Schadsoftware sofort aktiv. Diese Eindringlinge werden automatisch beim Systemstart mit gestartet und verrichten sofort ihr Unwesen. Es gibt Viren, die auch den Start des Virenscanners unterbinden und dieser kann dann natürlich nicht aktiv werden. Deshalb booten wir ein fremdes System von einem anderen Datenträger und lassen unser Windows samt Malware schlafen. Auch die hinter "Tarnkappen" versteckten Unholde ahnen nicht, dass es ihnen gleich an den Kragen geht.

Den USB-Stick erstellen:
In der Dokumentation wird empfohlen, einen entsprechend präparierten USB-Stick zu erstellen. Der Empfehlung werden wir folgen, denn sie hat durchaus ihre Vorzüge:

• Der Bootvorgang läuft wesentlich schneller ab
• Die Viren-Signaturen können gespeichert werden
• Desinfec't 2013 ist auch auf Tablet-PC oder ähnlichen Geräten ohne optisches Laufwerk einsetzbar
• Alle Einstellungen werden gespeichert
• Protokolle werden gespeichert
• Kein störendes Laufwerksgeräusch
• Bequemer zu transportieren, um auswärts zu helfen
  

Wichtig:
Alle anderen USB-Speicher-Medien müssen abgestöpselt werden, um Irritationen bei der Erstellung des Stick zu vermeiden.

Die Erstellung des Stick wurde userfreundlich gelöst. Benötigt wird ein Stick der Spezifikation USB 2.0 mit einer Mindestkapazität von 4 GB. Eine Investition, die sich lohnt. Nach dem Einlegen der DVD und Verbringen des Stick in einen USB-Port starten wir den PC neu und rufen gemäß Handbuch das Boot-Menü des BIOS/UEFI auf. Nach der Auswahl des Laufwerks bootet der PC von der DVD und nach wenigen Augenblicken sehen wir das Startfenster:


Die obere Option sollte bereits selektiert sein, andernfalls holen wir das mit einem Druck auf die Pfeiltaste nach oben nach. Danach betätigen wir die Enter-Taste und nach einem kurzen Augenblick startet das autarke Linux-System. Dieser Vorgang nimmt etwas Zeit in Anspruch, bitte nicht die Geduld verlieren. Wenn alle Routinen durchgelaufen sind, befinden wir uns auf dem Desktop.


Unsere erste Aktion wird das Erstellen des USB-Stick sein. Dazu klicken wir das selbsterklärende Icon doppelt an und es wird uns sofort der angeschlossene Stick gezeigt. Sollte das Feld leer sein, so erfolgt ein Klick auf Neu einlesen. Den Haken für die Kompatibilität belassen wir in dem Kästchen und klicken auf Anwenden. Somit ist sicherghestellt, dass Desinfec't auf einem UEFI-System startet aber auch auf einem "normalen" BIOS. Es wird noch einmal ein Hinweis angezeigt mit der Information, dass alle Daten gelöscht werden. Wir entscheiden uns für Ja.


Der Vorgang startet und im Fortschrittsfenster sehen wir die aktuellen Aktionen. Es dauert nun eine geraume Zeit, bis unser Stick fertiggestellt ist, also bitte nicht ungeduldig werden. Mit der von uns verwendeten Hardware war die Aktion in 10 Minuten erfolgreich abgeschlossen. Das wird uns durch eine entsprechende Meldung mitgeteilt, OK. Zu erkennen sind drei Partitionen, erstellt wurden insgesamt 4. Die nicht sichtbare Partition ist eine Windows-Partition, auf der sich unter Windows noch weitere Daten speichern lassen. Die nächste Aufforderung nehmen wir natürlich an, denn für einen erfolgreichen Suchvorgang benötigen wir die aktuellen Virensignaturen. Also bestätigen wir mit Ja.


Der USB-Stick wurde somit erfolgreich erstellt und kann auf jedem aktuellen Computer verwendet werden. Einzige Voraussetzung ist, dass er ein Booten von USB unterstützt. Informationen dazu findet ihr im jeweiligen Handbuch.







Soll der soeben erzeugte Stick wieder für Windows verfügbar sein, so müssen die Partitionen gelöscht und eine neue Partitions-Tabelle erstellt werden. Das funktioniert nicht mit der Windows-Datenträgerverwaltung und auch nicht mit Acronis DiscDirektor. Hierfür benötigen wir ein Linux-Tool. Nur nicht verzweifeln, auch das ist in Desinfec't 2013 integriert. Es heißt GParted und ist ganz schnell aufgerufen. Dazu klicken wir nach dem Start von der DVD oben links auf das kleine, runde Icon, genannt Dash. Vergleichbar mit der Suchleiste von Windows, hier geben wir den Buchstaben g ein. Sofort sehen wir die Suchergebnisse, wir klicken auf das Icon mit der Bezeichnung GParted.

Wichtig: Der Stick darf noch nicht eingesteckt sein.


Nach dem Start des Tools stecken wir den Stick in einen Port, klicken in der Bearbeitungsleiste auf GParted und auf Laufwerke aktualisieren.


Anschließend nutzen wir den selben Menüpunkt, wählen dann die Option Laufwerke und klicken auf den Stick. Im unteren Teil des Fensters sehen wir die Partitionen. Auf der Bearbeitungsleiste klicken wir auf Laufwerk, danach auf Partitionstabelle erstellen. Die Warnung nehmen wir zur Kenntnis, belassen die Einstellung und klicken auf Anwenden.


Die Aktion ist in wenigen Sekunden erledigt und wir sehen unzugeordneten Speicherplatz. Ein Rechtsklick darauf öffnet das Kontextmenü und wir wählen Neu.


Wir befinden uns im Auswahlfenster zur Erstellung einer Partition. Als Dateisystem entscheiden wir uns für das gängige Format FAT32. Der Stick kann als Primäre Partition oder Logisches Laufwerk formatiert werden. Optional kann eine Bezeichnung vergeben werden, dann klicken wir auf Hinzufügen.


Zu sehen ist nun die Vorschau der auszuführenden Aktion, die mit einem Klick auf den grünen Haken gestartet wird. Wir werden erneut gewarnt, möchten unsere Entscheidung aber Anwenden. Nach wenigen Sekunden ist der Job erledigt und wir Schließen das Fenster.


Am linken Bildschirmrand sehen wir die Laufwerkssymbole, nach einem Rechtsklick auf den Stick können wir ihn Sicher entfernen. Somit steht uns der Stick wieder für Windows zur Verfügung.







Wir empfehlen, den Computer vom eben erstellten USB-Stick neu zu starten. Wir klicken auf das entsprechende Icon, um den Scan zu starten. Wir sehen ein neues Fenster mit den empfohlenen Voreinstellungen und belassen es so. Dazu später mehr. Ein Klick auf die breite Schaltfläche Virenscan starten führt nun die Aktion aus. Es werden nochmals die Signaturen auf den neusten Stand gebracht. Dieser Vorgang dauert dieses mal nicht so lange, denn beim Erstellen des Stick wurden bereits die letzten, aktuellen Signaturen geladen und gespeichert. Desinfec't 2013 bindet automatisch alle gefundenen Laufwerke im Nur-Lesemodus ein. Dadurch können natürlich keine Schreiboperationen ausgeführt werden, was für das Aufspüren von Schädlingen auch nicht nötig ist. Gleichzeitig sind die Daten vor übereifrigen Aktionen eines der Scanner geschützt.


Hinweis:
Für unseren Test wurde eine spezielle Textdatei verwendet, die keinerlei Schaden anrichten kann. Sie eignet sich sehr gut, um die Funktion eines Virenscanners zu prüfen.

Zunächst einmal Ruhe bewahren. Es sind zwar Schädlinge, die unser System extrem und nachhaltig kompromittieren können, jedoch für den menschlichen Organismus nach dem letzten Stand der Erkenntnisse unschädlich...
Neben jedem Fund sehen wir zwei Optionen, Dateimanager oder umbenennen. Doch bevor wir uns damit näher beschäftigen, vergewissern wir uns, ob es sich tatsächlich um Schadsoftware handelt, denn kein Virenscanner ist vor Fehlalarmen gefeit. Eine erste Anlaufstelle ist die Direktverlinkung zum Hersteller des jeweiligen Anti-Viren-Programms mittels des blauen Schriftzuges des vermeintlichen Übeltäters. Oft reichen diese Informationen zur genauen Identifizierung nicht aus. Dann nutzen wir die Verlinkungen am oberen Rand des Browsers und setzen uns somit ins rechte Bild. Sind wir sicher, dass es sich um einen bösartigen Eindringling handelt, löschen wir ihn trotzdem noch nicht. Was liegt näher, als ihm einfach einen anderen Namen zu geben? Wir klicken auf den blauen Schriftzug umbenennen. Es geht weiter mit der Option Nur umbenennen, es folgt ein Klick auf OK.. Es wird die Endung "VIRUS" hinzugefügt, die Datei kann nicht mehr von Windows gestartet werden. Sofort wird das Ergebnis angezeigt. Kleiner Nachteil: Bei einem erneuten Scan mit Desinfec't würde diese Datei trotzdem erneut als Virus erkannt. Doch auch dagegen ist ein Kraut gewachsen, wie wir noch sehen werden. Ein Klick auf Dateimanager lässt uns zum Fundort des Schädlings navigieren und wir können uns das Ergebnis ansehen.






Sollte sich herausstellen, dass es sich um eine benötigte Programm-Komponente handelt, kann die Umbenennung auf einfache Weise wieder rückgängig gemacht werden. Dazu öffnen wir auf der Programmoberfläche den Ordner Expertentools, klicken doppelt auf das Skript Umbenennung rückgängig machen.


Um den Vorgang durchzuführen, muss das Laufwerk mit der entsprechenden Datei im Schreibmodus eingebunden werden. Wir werden das Windows-Laufwerk einbinden. Dazu klicken wir einmal auf das Icon mit der Bezeichnung Persönlicher Ordner, vergleichbar mit dem Windows-Explorer. Im oberen Abschnitt unter Geräte werden die Laufwerke gelistet, wir wählen WIN8 aus. Es werden alle ausgewählten Laufwerke nach Dateien mit der Endung "VIRUS" durchsucht und diese Endung wird wieder entfernt. Im rechten Fenster seht ihr ein einfaches Textdokument (unser Testvirus), welchem die Endung .VIRUS angehängt wurde. Dieses Dokument soll wieder umbenannt respektive die Endung entfernt werden. Ein Klick auf OK startet den Vorgang. Es hat den Anschein, als würde nichts passieren. Lasst euch nicht täuschen, Desinfec't arbeitet still vor sich hin. Je nach Datenmenge verstreicht nun einige Zeit.


Nach wenigen Minuten wird das Ergebnis präsentiert. Mit Erfolg, wie zu erkennen ist. Das kommt euch bekannt vor? Na ja, es ist die gleiche Meldung wie beim Umbenennen mit der Endung .VIRUS.


Auf diese Weise lassen sich in einem Rutsch alle versehentlich umbenannte Dateien wiederherstellen und eventuell falsche Aktionen rückgängig machen.






Eine weitere Möglichkeit, den Schädling an seinem Vorhaben zu hindern und eine erneute Erkennung durch Desinfec't zu unterbinden, ist die Verschlüsselung. Hierbei wird dem Virus die Endung CRYPT angehängt und mit dem Standardpasswort desinfect verschlüsselt. Der Vorgang läuft analog zum Umbenennen ab und ist in wenigen Augenblicken erledigt. Vorteil: Bei einem erneuten Scan wird der Schädling nicht erneut gelistet.


Wie auf dem zweiten Bild zu erkennen, wird auch gleich die Methode zum Entschlüsseln gezeigt. Wer sich mit Linux nicht auskennt, hat vermutlich viele Fragezeichen vor Augen. Keine Sorge, so kompliziert ist das nicht. Notiert euch am Besten den Befehl, dann klappt das auch. Hier mal im Klartext:

sudo decrypt.sh /media/Win8/Neuestextdokument.txt.CRYPT

Beachtet bitte die beiden Leerschritte hinter sudo und .sh. Win8 ist unser Laufwerk, was bei jedem User anders lauten kann, Neuestextdokument ist unser Test-Virus. Auch diese Bezeichnung lautet anders, versprochen.






Was für das Umbenennen gilt, trifft natürlich auch auf die Verschlüsselung zu, sie lässt sich umkehren. Dazu öffnen wir ein Terminal, vergleichbar mit der bekannten Eingabeaufforderung CMD bei Windows. Wir klicken auf das entsprechende Icon.


In diesem Fenster geben wir den genannten Befehl ein und bestätigen mit der Enter-Taste. Die nun sichtbare Frage beantworten wir mit Ja, ebenso die nächste Abfrage. Wer die Sicherungsdatei behalten möchte, kann natürlich auch Nein wählen.


Somit haben wir die zuvor verschlüsselte Datei entschlüsselt und sie in den Originalzustand zurückversetzt. Das machen wir nur, wenn wir sicher sind, dass eine benötigte Programmdatei versehentlich verschlüsselt wurde.

• Auf älteren Systemen wird der Start vom USB-Stick nicht funktionieren. Das hängt mit der Dual-Kompatibilität für UEFI und BIOS zusammen, außerdem wird er als GPT-Laufwerk partitioniert. Diese Partitionstabelle wird von einigen älteren BIOS nicht unterstützt. Hier kann ein BIOS-Update helfen, eine Garantie ist es aber nicht. Versuchsweise sollte der Stick ohne diese Option erstellt werden, denn auf einigen Systemen hat er danach wie erwartet funktioniert. Sollte der Start dann trotzdem nicht klappen empfehlen wir, dieses Medium in jedem Fall zu erstellen und parallel mit der DVD einzusetzen. Es werden die heruntergeladenen Signaturen darauf gespeichert, was die Download-Zeit bei einem erneuten Scan deutlich verkürzt. Scan-Ergebnisse werden ebenfalls dort gesichert und können erneut eingesehen werden.
• Auf Systemen mit SSD-Cache und installiertem RST sollte die Beschleunigung temporär deaktiviert werden. Desinfec't zeigt einen Warnhinweis, wonach die Gefahr eines Datenverlusts besteht. Das kann passieren, wenn die SSD nach einem Virenfund im Schreibmodus eingebunden wird.
• Mit TrueCrypt verschlüsselte Partitionen oder Festplatten können zunächst nicht gescannt werden. Das benötigte Programm wurde nicht in Desinfec't 2013 integriert und muss nachträglich hinzugefügt werden. Dazu bietet sich nur der USB-Stick an. Eine Anleitung dazu gibt es hier.
  
• Wurde eine Datei verschlüsselt und soll entschlüsselt werden, so darf im Dateinamen kein Leerzeichen enthalten sein. Dann verweigert Desinfec't die Arbeit. Hier hilft das manuelle umbenennen bzw. entfernen des Leerzeichens über den Dateimanager und die Option Umbenennen.
• ClamAV sollte nur in Zweifelsfällen eingesetzt werden. Der Virenscanner erzeugt häufig Fehlalarme, was zu unbedachten Löschaktionen durch den Anwender führen kann.
• Kaspersky kann dazu neigen, beim Scan von Mail-Archiven und gepackten Dateien abzustürzen. Hier hilft nur testen.
• Nach Virenfunden bitte unbedingt alle Passwörter ändern, da niemand weiß, wie lange die Malware schon ihr Unwesen treibt.
  

Mit Desinfec't 2013 steht uns ein probates und sehr empfehlenswertes Werkzeug zur Verfügung, um den Computer nach Viren zu durchsuchen und sie auch zu beseitigen. Da hier bis zu vier voneinander unabhängige Virenscanner in einer autarken Umgebung nacheinander auf die Pirsch gehen und ihre Ergebnisse in einer Protokolldatei übersichtlich ablegen, kann der Anwender selbst entscheiden, wie er damit verfahren möchte. Eine große Hilfe dabei ist die Internetfähigkeit des Programms und die voreingestellten Links, um Informationen über die Funde einzuholen. Die Bedienung gestaltet sich übersichtlich und weitestgehend intuitiv, so dass auch Anfänger mit Grundkenntnissen damit zurechtkommen sollten. Windows 8 wird derzeit nicht voll umfänglich unterstützt, doch mit der Version 2014 soll sich das ändern. Wegen der ständig ansteigenden Anzahl an Schadsoftware ist es unerlässlich, auf eine eventuelle Kompromittierung des Computers vorbereitet zu sein. Eine kleine Investition für eine praktikable Möglichkeit, Malware auf einem befallenen System zu eliminieren, was nachhaltig nur über ein solches externes Live System zu erreichen ist. Desinfec't 2013 überzeugt durch seine Vielseitigkeit, die auch anspruchsvolle User zufriedenstellen dürfte.

Bei aller Begeisterung für Desinfec't 2013 müssen dennoch ein paar wichtige Dinge beherzigt werden. Das fängt bei der Aktualität des Systems an. Es ist wichtig, stets die monatlichen Sicherheits-Patches via Automatischer Updates in unser Windows zu integrieren und auch die immer wieder zwischenzeitlich festgestellten Sicherheitslücken ernst zu nehmen. Es nützt nichts, nach einem Befall das System mit den letzten Patches zu versorgen, dann liegt unser Windows bereits im viel zitierten Brunnen. Auch das nachträgliche Schließen der Hintertüren (Backdoors) hilft dann genauso wenig wie der Einsatz der frei verfügbaren Säuberungs-Tools. Es ist nicht bekannt, seit wann der gefundene Schädling schon sein Unwesen treibt. Wurde bereits ein Passwort ausgespäht, so hat der Angreifer vielleicht den Zugang zum Bankkonto in Händen und räumt gerade das Guthaben ab. Hat der Virenscanner etwas gefunden, so ist einem kompromittierten System nicht mehr zu trauen. Das "Drüberinstallieren" ist auch nur eine Behelfsvariante, die nicht zum Ziel führt. Das gilt natürlich auch für die Inplace-Reparatur. Es gibt Schädlinge, die verhindern das Ersetzen der Systemdateien und somit die korrekte Wiederherstellung des Betriebssystems. Selbst die Ereignisprotokolle sehen gut aus, können aber von einem Angreifer manipuliert worden sein. Wer auf ein Image zurückgreifen möchte, muss sicherstellen, dass es auch sauber ist. Hier sollte vorsichtshalber eine etwas ältere Sicherheitskopie verwendet werden um zu gewährleisten, keine Malware wiederzubeleben. Bei Microsoft  gibt es dazu aus dem Jahre 2004 einen Artikel, der bis heute nichts an Aktualität verloren hat. Die sicherste Methode, um nach einer Kompromittierung des Systems wirklich ein sauberes System zu erhalten, ist und bleibt die Formatierung der Systempartition und die komplette Neuinstallation inklusive aller Programme.

• Update 05.02.2015: Link zum Paragon Festplatten Manager 15 Suite hinzugefügt
• Update 19.02.2015: weiterführende Links ergänzt
• Update 16.07.2015: weiterführende Links ergänzt