Desinfec't 2014: die Neuerungen



Eingangsbild Desinfect 2014

- Update 16.07.2015 -

Einleitung

Bekanntermaßen sind die Entwickler von Schadsoftware stets bemüht, Computersysteme zu schädigen oder an unsere Daten zu gelangen und das leider mit immer größerem Erfolg und viel krimineller Energie. Wenn es zu einem Befall mit Malware/Viren gekommen ist, bricht beim User vorsichtige Panik aus und er fragt sich, was dagegen zu unternehmen ist. Jedoch gibt es seit einiger Zeit ein wirkungsvolles Gegenmittel, um den Computer von den Plagegeistern zu befreien: Desinfec't. Es handelt sich dabei um ein Live-System auf Linux-Basis, genauer gesagt um Ubuntu. Bereits in den vergangenen Jahren hat dieses System bei der Entfernung von Schadsoftware sehr gute Dienste geleistet. Es werden bis zu vier Virenjäger nacheinander über das kompromittierte System geschickt. Wie bereits bei der Version Desinfec't 2013, so sind auch in der neuen Version Desinfect 2014 vier bekannte Antiviren-Programme integriert. Selbstverständlich sind auch die Entwickler dieses Live-Systems eifrig dabei, mit den Anforderungen an ein "Desinfektionsmittel" für verseuchte Systeme Schritt zu halten. Die Oberfläche von Desinfec't 2014 wurde ebenfalls leicht verändert. Ob das alles in der Summe funktioniert und welche Neuerungen integriert wurden, werden wir in diesem Artikel beleuchten. Wir wünschen Euch viel Vergnügen beim Lesen unserer Ergebnisse...







Die Vorbereitungen, wichtige Hinweise:


Bei Desinfec't 2014 handelt es sich um eine bootfähige Linux-Live-DVD, auf welcher unter einer Oberfläche 4 Virenscanner vereint sind. Aus lizenzrechtlichen Gründen darf diese DVD nicht zum Download angeboten werden. Sie ist als Beilage in der Ausgabe 12/2014 des c't-Magazins zum Preis von 4,20 € enthalten. Wer am Kiosk kein Exemplar mehr bekommt, kann es beim Heise-Zeitschriftenverlag im Shop online bestellen.

Windows 8.0 und 8.1 Besonderheiten:

Desinfec't 2014 wurde weiterentwickelt, um das Tool auch unter Windows 8.0 und 8.1 uneingeschränkt nutzen zu können. Auf unserem Testsystem klappte das Booten vom Stick und von der DVD trotz aktiviertem UEFI-Secure Boot ohne Probleme. Sollte dennoch auf anderen Systemen der Start von Desinfec't 2014 scheitern, so sind nachfolgende Tipps hilfreich:
  • UEFI-Secure Boot sollte deaktiviert werden. Dieses Feature lässt nur das Booten von Microsoft digital signierten Betriebssystemen zu. Da es sich um ein Linux-System handelt, wird der Start verhindert. Zwar wurde Ubuntu signiert, trotzdem kann es auf einigen Systemen zu Startproblemen in Form eines nicht mehr reagierenden Boot-Loaders kommen.
  • Der Schnellstart-Modus (Hyperboot-Modus) muss ebenfalls deaktiviert werden. Wurde der Computer in diesem Modus heruntergefahren, werden auch Hinweise auf Speicherorte bestimmter Dateien in der hyberfil.sys abgelegt. Wird nun durch Desinfec't eine Änderung nach einem Virenfund vorgenommen kann es passieren, dass bestimmte Dateien nicht gefunden werden und somit ein ordnungsgemäßes Funktionieren des Computers nicht mehr gewährleistet ist. Nach dem Start von Desinfec't wird eine entsprechende Meldung mit dem Hinweis, den Computer vollständig herunterzufahren, angezeigt .Wie dieser Modus abgeschaltet wird, ist in diesem Artikel beschrieben.
Die DVD enthält neben einem Linux-Live-System folgende aktuelle Antiviren-Programme:
  • Avira
  • Bitdefender
  • Kaspersky
  • ClamAV
Ferner ist die Fernwartungs-Software TeamViewer enthalten. Hiermit lässt sich problemlos eine Verbindung über das Internet zu einem entfernten PC eines Freundes aufbauen, um weitere Hilfe zu bekommen, oder sie selbst zu leisten.

Worin liegt der Vorteil eines Live-Systems?
Wie bereits erwähnt, handelt es sich um eine bootfähige DVD mit einem Linux-Live-System. Das hat den Vorteil, über ein unabhängiges und vollständig autarkes Betriebssystem zu verfügen, unser Windows wird also nicht gestartet. Wenn ein kompromittiertes System gebootet wird, so ist auch eventuell vorhandene Schadsoftware sofort aktiv. Diese Eindringlinge werden automatisch beim Systemstart mit gestartet und verrichten sofort ihr Unwesen. Es gibt Viren, die auch den Start des Virenscanners unterbinden und dieser kann dann natürlich nicht aktiv werden. Deshalb booten wir ein fremdes System von einem anderen Datenträger und lassen unser Windows samt Malware schlafen. Auch die hinter "Tarnkappen" versteckten Unholde ahnen nicht, dass es ihnen gleich an den Kragen geht.






Den USB-Stick nutzen:

In der Dokumentation wird empfohlen, einen entsprechend präparierten USB-Stick zu erstellen. Der Vorgang hat an Aktualität nichts eingebüßt. Wie dabei vorzugehen ist, entnehmt bitte dem Schwesterartikel. Der Empfehlung werden wir folgen, denn sie hat durchaus ihre Vorzüge:
  • Der Bootvorgang läuft wesentlich schneller ab
  • Die Viren-Signaturen können gespeichert werden
  • Desinfec't 2013 ist auch auf Tablet-PC oder ähnlichen Geräten ohne optisches Laufwerk einsetzbar
  • Alle Einstellungen werden gespeichert
  • Protokolle werden gespeichert
  • Kein störendes Laufwerksgeräusch
  • Bequemer zu transportieren, um auswärts zu helfen

Soll der Stick wieder als normales Speichermedium verwendet werden, so muss er für Windows lesbar neu formatiert  und re-partitioniert werden. Auch diesen Vorgang übernehmen wir aus unserem vorhandenen Artikel.






Der UEFI-Start:

Moderne Computer mit einem aktuellen Windows-Betriebssystem ab Windows 7 bieten die Möglichkeit, den UEFI-Modus zu nutzen. Wenn der Desinfec't-Stick entsprechend erstellt wurde, muss im Boot-Menü des Mainboards die entsprechende Option natürlich aktiviert sein und der richtige Eintrag ausgewählt werden. Da der Stick während der Erstellung in drei Partitionen aufgeteilt wurde, finden sich im Boot-Menü ebenfalls drei Einträge. Auf unserem Testsystem führte die Auswahl des letzten UEFI-Eintrags des Stick zum Erfolg. Desinfec't wurde erfolgreich und zügig gestartet.

Hinweis:
Das Booten per UEFI funktioniert ausschließlich auf einem 64-Bit-System! Auf einem 32-Bit-System steht jedoch der BIOS-Modus zu Verfügung und Desinfec't 2014 kann uneingeschränkt genutzt werden.

Auswahl UEFI-Start

Sofort wird ein weiteres Fenster gezeigt. Es ist nur ein Eintrag gelistet, welchen wir mit einem Druck auf die Enter-Taste aktivieren. Der weitere Desinfec't-Systemstart läuft an. Nach wenigen Augenblicken steht uns das Live-System zur Verfügung.

Desinfect UEFI Start







Die Netzwerkverbindung einrichten:


Netzwerkverbindung einrichten

Wofür benötigen wir eine Netzwerkverbindung? Dafür gibt es drei wichtige Gründe:
  • zur Aktualisierung der Virensignaturen
  • um Funde auf Virus Total überprüfen zu lassen (NEU)
  • um über den TeamViewer einem entfernten Anwender zu helfen
Selbstverständlich kann über den integrierten Browser auch einfach das Internet für weitere Recherchen oder zum Surfen genutzt werden. Ferner kann Ubuntu über die Updatefunktion aktualisiert werden, sofern Desinfec't von einem USB-Stick gestartet wurde.

Nachdem das System vollständig geladen wurde, können wir damit arbeiten. Zunächst empfehlen wir, die Signaturen der Scanner zu aktualisieren. Dazu benötigen wir eine Netzwerkverbindung. Wer den Computer an einem Router angeschlossen hat, braucht weiter nichts zu unternehmen. Ubuntu erkennt die Netzwerkverbindung, die Signaturen können sofort aktualisiert werden.

Bei einer WLAN-Verbindung muss das richtige WLAN-Netz ausgewählt und der Schlüssel eingegeben werden. In der rechten, oberen Ecke des Monitors ist ein auf die Spitze gestelltes Dreieck sichtbar. Es ist das vierte Symbol von rechts. Ein Klick darauf listet die gefundenen WLAN-Netzwerke auf.

Symbol WLAN einrichten

Sollte das gewünscht Netzwerk nicht dabei sein, so öffnen wir den Eintrag Weitere Netzwerke. Dort ist das benötigte Netzwerk vorhanden.

WLAN einrichten

Nach der Eingabe des Schlüssels können die Signaturen der Virenscanner aktualisiert und weitere Internetmöglichkeiten genutzt werden.





Die Neuerungen von Desinfect 2014:

Neben den nicht sichtbaren Änderungen in den Tiefen des Systems (Ubuntu Linux 12.0.4.4 LTS) fällt eine Neuerung nach dem Start von Desinfec't 2014 ins Auge: die Info-Box rechts oben am Monitorrand. Hier werden auf einen Blick die wichtigsten Informationen über die Auslastung der Hardware, die Aktualität der Virensignaturen und die Aktivität des Netzwerks angezeigt. In der zweiten Zeile erkennen wir auch, dass es sich um einen USB-Stick handelt, von dem das System gestartet wurde, nämlich von unserem USB-Stick:

Systemübersicht

Eine weitere Neuerung ist die Möglichkeit, gelistete Virenfunde direkt auf VirusTotal hochzuladen. Hier werden die Dateien von vierzig Virenscannern untersucht. Damit ist die Identifikation einfacher, als bisher. Erstmalig wurde diese Möglichkeit der Identifikation eines Virenfundes in Desinfec't implementiert. Auf zwei Wegen ist es möglich, diesen Dienst in Anspruch zu nehmen. Zum Einen direkt aus der "Fundliste" nach einem Scan. Es ist ein blauer Schriftzug sichtbar mit der Bezeichnung VirusTotal. Nach einem Klick darauf wird eine Kopie der Datei hochgeladen und bei VirusTotal analysiert. Zeigen fast alle Virenscanner eine Bedrohung an, so ist eine Aktion des Anwenders erforderlich. Umbenennen ist eine Option, über den Dateimanager zum Speicherort der Datei zu navigieren und zu löschen ist eine weitere Option. Im ersten Schritt sollte die Datei umbenannt werden. Dann wird die Endung .VIRUS angehängt und die Dateirechte bleiben erhalten. Lediglich das Ausführen ist unterbunden. Wenn sich nach einem mehrtägigen Test des Systems keine Probleme einstellen, kann die Datei gelöscht werden. Andernfalls ist die Aktion mit Desinfec't rückgängig zu machen.

Direktlink zu VirusTotal

Zum Anderen kann eine Datei mit der rechten Maustaste angeklickt und aus dem Kontext-Menü der Eintrag Skripte und Auf VirusTotal hochladen ausgewählt werden. Das haben wir mit einem von den Entwicklern des Programms erstellten Skript getestet. Hier sehen wir das Ergebnis:
Analyse bei VirusTotal

Wie deutlich erkennbar ist, sind die Virenscanner durchaus nicht immer einer Meinung. Dies ist nur ein Ausschnitt aus den Ergebnissen. Fünf Scanner haben eine Feststellung getroffen, alle Anderen waren neutral oder der grüne Haken war gesetzt. Bei der Datei handelt es sich um ein Skript, welches Windows 8 vollständig beendet. Das Skript ist also ungefährlich und es bedarf keiner weiteren Aktion.

Zwar nicht mehr ganz neu, aber dennoch ein weiteres Highlight: die "Nachbarschaftshilfe" über TeamViewer. Hierbei handelt es sich um ein Fernwartungstool, welches für den privaten Gebrauch kostenlos genutzt werden darf. Damit lässt sich ein entfernter Computer Fernwarten, sofern er noch funktioniert. Das Tool muss auf beiden Computern vorhanden sein, eine Internetverbindung muss bestehen und ein Telefon verfügbar sein. Dann werden die Partner-ID und das Kennwort per Telefon dem Helfer genannt und die Verbindung zum "Patienten" kann hergestellt werden. Das funktioniert von Desinfec't zu Desinfec't oder von Desinfec't zum Computer und umgekehrt. Steht die Verbindung, kann die Hilfsaktion starten. Dieses Tool war bereits in Desinfec't 2013 integriert.

Fernsteuerung eines fremden Computers

Das waren die für den Anwender sichtbaren Neuerungen in Desinfec't 2014. Ebenfalls hat sich unter der Motorhaube Einiges getan, was für den Anwender aber nicht erkennbar ist.






Troubleshooting:

Desinfec't 2014 funktioniert auf über 90% der Computer problemlos. Dennoch kann es hilfreich sein, bei Schwierigkeiten ein paar Dinge zu beachten. Welche das sind, haben wir in dieser Liste zusammengetragen:
  • Der USB-Stick wurde neu erstellt, beim Scan meldet Desinfec't Lizenzprobleme
Wer einen USB-Stick mit Desinfec't 2013 zur Erstellung mit Desinfec't 2014 nutzen möchte, darf ihn erst nach dem Start von der DVD am PC anschließen. Ist er bereits vor dem Start von der DVD angeschlossen, kommt Deinfec't 2014 bei der Erstellung des Stick durcheinander, sodass er wegen der Lizenzprobleme nicht aktualisierbar ist.

  • Die Signaturen lassen sich nicht aktualisieren
Die Netzwerkverbindung wurde nicht eingerichtet. Bei Computern hinter einem Router erkennt Desinfec't 2014 automatisch das Netzwerk, bei WLAN-Netzwerken muss der Schlüssel jedoch manuell eingegeben werden. Einige Router bieten die Möglichkeit, nur bekannte Geräte zuzulassen. Diese Einstellung muss dann temporär deaktiviert werden, damit der neue Zugang akzeptiert wird. Bitte anschließend diese Sicherheitseinstellung wieder aktivieren!

  • Der UEFI-Start mißlingt
Der UEFI-Start funktioniert nur auf 64-Bit-Systemen. Auf 32-Bit-Systemen muss im Boot-Menü der Stick ohne die Bezeichnung UEFI ausgewählt werden. Zusätzlich sollte gemäß Handbuch des Mainboards Secure-Boot und UEFI im UEFI-BIOS temporär ausgeschaltet werden. Dann sollte der Start von der Desinfec't-DVD klappen. Letzteres gilt auch für 64-Bit-Systeme.

  • Ubuntu bootet normal, dann wird der Monitor dunkel und Desinfec't kann nicht ausgewählt werden
Nachdem diese Stelle erreicht ist, lässt sich die Benutzeroberfläche mit folgenden Tastenkombinationen erreichen: Zunächst mit STRG-ALT-F1 in die Konsole umschalten, anschließend mit STRG-ALT-F7 zurück auf die Benutzeroberfläche wechseln. Danach lässt sich Desinfec't 2014 auswählen und starten.
  • Der Monitor bleibt nach der Auswahl von Desinfec't dunkel
Das kann passieren, wenn der Monitor am Displayport der Grafikkarte angeschlossen ist. Entweder ist dann ein anderer Ausgang an der Karte zu nutzen oder der Monitor muss zunächst ausgeschaltet und dann wieder eingeschaltet werden.
  • Auf Systemen mit Realtec 8273-WLAN-Chip kann kein Netzwerkzugriff eingerichtet werden
Der hierfür benötigte Treiber ist nicht integriert. Um die Virensignaturen zu aktualisieren ist es möglich, auf einem anderen Computer einen USB-Stick zu erstellen und die Signaturen darauf zu aktualisieren. Dieser Stick wird dann an dem Computer mit dem inkompatiblen WLAN-Chip angeschlossen. Sollte der Start mit dem Stick nicht klappen, so kann von der DVD (sofern ein Laufwerk vorhanden ist) gestartet werden. Desinfec't 2014 nutzt dann automatisch die auf dem Stick gespeicherten Signaturen. Alternativ kann auch ein kompatibler WLAN-Stick genutzt werden, um den Netzwerkzugriff einzurichten.

  • Auf älteren Systemen bootet Ubuntu respektive Desinfec't nicht
Dabei handelt es sich um Windows-Systeme vor Windows 2000. Sie unterstützen PAE nicht, worauf Ubuntu angewiesen ist. Auf diesen Systemen ist Desinfec't 2014 leider nicht nutzbar.
  • Desinfec't warnt vor einer Partition mit SRT-Signatur
In dem Fall handelt es sich um ein System, in dem eine kleine SSD als Cache verwendet wird. Es geht um die Intel Smart Response Technology (SRT). Soll Desinfec't schreibenden Zugriff auf die Festplatte bekommen, muss zuvor das Caching im Rapid-Storage-Technology-Treiber (RST) oder im Option-ROM deaktiviert werden. Diese Systeme sind zwar nicht weit verbreitet, dennoch existieren sie. 

Natürlich ist das nur ein kleiner Überblick der am häufigsten auftretenden Probleme und deren Lösung. Die Vielfalt der verschiedenen Systeme ist sehr groß und im Netz finden sich noch weitere Hinweise und Lösungsvorschläge zum Thema.






Das Fazit und Praxiserfahrungen:

Wie bereits bei den vorigen Versionen von Desinfec't, so haben wir mit der aktuellen Ausgabe wieder ein probates Mittel zur Verfügung, um ein verseuchtes System zu reinigen. Die in dieser Version implementierten Neuerungen sind wohl durchdacht und helfen dem Anwender, schnell einen Überblick der vermeintlichen Virenfunde zu bekommen. Besonders die Möglichkeit, die Dateien bei VirusTotal direkt und sofort analysieren zu lassen, findet unseren Zuspruch. Je mehr Virenscanner sich einig sind und das gleiche Ergebnis liefern, desto leichter ist es für den Anwender, die richtige Entscheidung zu treffen. Die bekannte Option zum Umbenennen ist dabei eine gute Wahl. Auch die Info-Box auf dem Desktop oben rechts ist eine hilfreiche Einrichtung. Wir sehen auf einen Blick die wichtigsten Informationen. Hier ist die Übersicht der Aktualität der Signaturen hervorzuheben. Des Weiteren bekommen wir Informationen über die Auslastung des Systems angezeigt. Die Nutzung und Funktionsweise von Desinfec't 2014 blieb unverändert selbsterklärend, wie in unserem Artikel für Desinfec't 2013 bereits beschrieben. Leider lassen sich auch bei diesem Virenjäger Fehlalarme nicht ausschließen. Wird Desinfec't fündig, so bewahrt erst einmal Ruhe. Es ist keinesfalls sichergestellt, dass es sich wirklich um einen Schädling handelt. Nutzt bitte die angebotenen Möglichkeiten zur Diagnose des Fundes. Insbesondere die neue Funktion zur Analyse bei VirusTotal ist hierbei eine sehr gute Entscheidungshilfe.

Noch ein paar Worte zur Performance:
Wir haben Desinfec't 2014 auf zwei Systemen getestet: Dabei handelt es sich um ein betagtes Notebook aus 2007 mit einem Mobile DualCore-Prozessor Intel Pentium T2330 mit 1,6 GHZ, 4 GB DDR2-Ram und einer Intel SSD X-25 mit 160 GB. Das Datenvolumen beträgt lediglich 49 GB. Gebootet wurde Desinfec't von der DVD und über WLAN wurden die Signaturen aktualisiert. Danach lief der Scan mit den ersten drei gelisteten Scannern durch. Zeitbedarf: 1 Std und 45 Min.

Auf unserem aktuellen System mit einem QuadCore Intel Core I 7 3770K 3,7 GHZ, 16 GB RAM, drei SSD und einer HDD, belegt mit 535 GB Daten folgte der zweite Test. Desinfec't bootete vom USB-Stick und die Signaturen wurden über LAN aktualisiert. Anschließend lief der gleiche Scan auch auf diesem System durch. Zeitbedarf: 1 STD und 30 Min.
Hier wird deutlich, je aktueller und performanter das System ist, desto zügiger arbeitet auch Desinfec't. Hänger oder Aussetzer/Verzögerungen bei der Bedienung des Programms waren auf beiden Systemen nicht zu erkennen.

Bei aller Begeisterung für Desinfec't 2014 dürfen wir die möglichen Unzulänglichkeiten nicht übersehen. Es gibt durchaus Konfigurationen, auf denen der Start des Live-Systems und somit von Desinfec't, genauer gesagt von Ubuntu, misslingt oder nur mit zusätzlichem Aufwand möglich ist. Im Abschnitt Troubleshooting haben wir die häufigsten Stolpersteine zusammengetragen und mögliche Lösungswege aufgezeigt. Hier wird deutlich, dass es sich meistens um Hardware-Inkompatibilitäten handelt. Natürlich ist auch der Anwender manchmal der Auslöser für Funktionsprobleme, denken wir nur mal an die Erstellung eines aktuellen USB-Stick. Auch so profane Dinge wie ein nicht kompatibler WLAN-Chip kann uns zusätzliche Arbeit bereiten und somit den Einsatz von Desinfec't 2014 erschweren. Nach Angaben der Entwickler funktioniert Desinfec't 2014 auf 90% aller Systeme problemlos, aber 10% können nicht oder nur unter Schwierigkeiten mit dem Virenjäger arbeiten.

Was vor einem Jahr galt, hat auch 2014 Bestand. Um ein aktuelles und sicheres System zu betreiben ist es erforderlich, die monatlichen Updates und Patches von Microsoft zu installieren. Empfohlen ist hier die Nutzung der automatischen Update-Funktion von Windows. Somit werden zwischenzeitlich entdeckte Sicherheitslecks des Betriebssystems oder des Internet-Explorers geschlossen. Ist ein System von Schadsoftware befallen nützt es nichts, jetzt erst die Sicherheitspatches zu installieren. Niemand weiß genau, was diese Software bereits angerichtet hat. Manipulationen am System können das Ergebnis sein oder aber das Mitloggen von Zugangsdaten. Bei einem Virenfund muss die erste Maßnahme die Änderung sämtlicher Passwörter für Online-Zugänge sein. Einige Schädlinge verhindern das Ersetzen von Systemdateien. Ein Drüberinstallieren des Betriebssystems oder die Inplace-Reparatur sind in diesem Fall ohne Erfolg. Bei Microsoft gibt es dazu aus dem Jahre 2004 einen Artikel, der bis heute nichts an Aktualität verloren hat. Die sicherste Methode, um nach einer Kompromittierung des Systems wirklich ein sauberes System zu erhalten, ist und bleibt die Formatierung der Systempartition und die komplette Neuinstallation inklusive aller Programme.
  • Update 06.07.2014: Im Fazit Abschnitt zur Performance hinzugefügt
  • Update 05.02.2015: Link zum Paragon Festplatten Manager 15 Suite hinzugefügt
  • Update 19.02.2015: weiterführende Links ergänzt
  • Update 16.07.2015: weiterführende Links ergänzt





Euer PC-Experience-Team

JT452