2409115

Virenscan „von außen“ - ist Ihr Windows noch sicher?

15.08.2019 | 10:09 Uhr | Hermann Apfelböck

Jeder Hersteller von Antivirensoftware bietet ein unabhängiges Rescue-Livesystem, um PCs garantiert sauber von außen auf Viren zu scannen. Diese Servicesysteme basieren immer auf Linux und analysieren typischerweise Windows-Installationen.

Digitale Viren sind unter Linux kein Thema. Das Ziel und Ökosystem für solche Schädlinge ist praktisch ausschließlich Windows. Wer kein Windows nutzt, braucht daher kein Antivirenprogramm und auch kein AV-Rescue-System. Nicht mehr ganz so eindeutig ist die Lage auf Linux-Servern, die über Samba auch von Windows-Rechnern besucht werden. Solche Linux-Server werden zwar durch eventuelle Windows-Viren nicht angegriffen, können aber zur Verbreitung auf andere Windows-Rechner beitragen. Wir empfehlen die periodische Prüfung von Windows-PCs sowie von Samba-Servern. Eines der zahlreichen AV-Livesysteme (Avira, Comodo, F-Secure, Kaspersky, Sophos, Trend Micro u. a. m.) hat die Heft-DVD startklar an Bord – die Bitdefender Rescue CD.

Bitdefender Rescue CD in Aktion

Für den flotten Unterbau des Servicesystems sorgt – durchaus typisch für pragmatische Hilfssysteme – ein schlankes Gentoo Linux. Wenn Sie mit der Heft-DVD booten, startet Bitdefender automatisch mit deutscher Oberfläche. Falls Sie das Abbild „bitdefender-rescue-cd.iso“ unter „/Image-Dateien“ von der Heft-DVD auf USB-Stick transportieren, ist der Start leicht modifiziert: Dann erscheint eine Abfrage, in welcher Sprache das System starten soll. Das bootfähige Schreiben des ISOs auf USB funktioniert übrigens nicht ganz so sorglos wie bei anderen Livesystemen: Unter Ubuntu mit Gnome-Disks („Laufwerksabbild wiederherstellen“) gelang uns der Transport, unter Windows mit dem Win 32 Disk Imager hingegen nicht.

PC-WELT Download Bitdefender Total Security 2019

Die Anmeldung mit dem Standardkonto „livecd“ erfolgt automatisch und ohne Kennwort. Danach lädt per Autostart der zentrale „Antivirus Scanner“, der nach Zustimmung zum Lizenzvertrag sofort die unentbehrlichen Virensignaturen aus dem Internet bezieht. Eine bestehende Internetverbindung, vorzugsweise über Ethernet, ist unerlässlich. Der Vorgang dauert geraume Zeit und ist bei jedem Einsatz des Livesystems zu wiederholen.

Nach Abschluss des Downloads beginnt sofort der Scan, es sei denn, die Software erkennt Zugriffsprobleme: Typisch sind gesperrte Windows-8/10-Partitionen, die mit „Herunterfahren“ beendet wurden und sich in einem hybriden Zustand befinden, was bei Außenzugriff zu Datenverlusten führen könnte. Sie müssen Windows nochmal starten und dann mit „Neu starten“ beenden, um Linux-Livesystemen wie der Bitdefender Rescue CD den Schreibzugriff auf die Windows-Partition zu ermöglichen. Der Standardscan umfasst alle lokalen Laufwerke und ist je nach Datenbestand sehr zeitaufwendig. Wenn solcher Umfang gar nicht notwendig ist, unterbrechen Sie den Vorgang und starten den Scanner manuell. Der Scanner ist prominent als Desktopverknüpfung und im Menü vertreten. Der manuelle Aufruf hat den Vorteil, dass Sie nach „Jetzt scannen“ gezielt einen bestimmten Datenträger auswählen oder sogar nur ein Verzeichnis auswählen können, wo Sie den Schaden befürchten.

Über „Einstellungen“ können Sie außerdem bestimmte Dateitypen ausschließen: Systemabbilder wie WIM, ISO, IMG sind normalerweise unverdächtig, kosten aber aufgrund ihrer Größe viel Analysezeit. Die gewünschten Extensionen schreiben Sie mit Doppelpunkt als Trennzeichen in das vorgesehene Feld.

Tipp: Für notwendige Texteingaben wie eben beschrieben ist das Tastaturlayout leider trotz deutscher Spracheinstellung englisch (der Doppelpunkt wäre auf Umschalt-Ö zu finden). Das kann für größere Wartungsarbeiten vor allem im Terminal sehr lästig werden. Der Umstand lässt sich nach unserer Erfahrung nur dadurch beheben, dass Sie unter „Einstellungen –› Tastatur –› Tastaturbelegung den Eintrag „en“ löschen, sodass nur noch „Deutsch“ stehenbleibt. „Deutsch“ steht dort zwar schon an oberster Stelle, wird aber offenbar nicht berücksichtigt, solange noch „en“ enthalten ist.

Aktionen nach Virenbefall

Für erkannte Schädlinge gibt es theoretisch mehrere Antworten: Die Option „Desinfizieren“ ist praktisch wertlos, da sich virenverseuchte Dateien so gut wie nie zuverlässig säubern lassen. Das „Umbenennen“ verhindert zwar den Start einer ausführbaren Datei, bedeutet aber auch nur einen Aufschub. Bleibt noch das „Löschen“. Selbst das ist nur zu empfehlen, wenn es sich um ein sehr begrenztes Problem etwa einer einzelnen EXE-Datei im Programme-Ordner handelt.

Bei Virenfunden unter „\windows“ und „\windows\system32“ können Sie dem System generell nicht mehr vertrauen und sollten neu installieren. Das heißt aber nicht, dass damit der Einsatz des Livesystems beendet ist – im Gegenteil. Nun gilt es, alles an Benutzerdaten auf andere Datenträger zu retten.

1. Am einfachsten schließen Sie eine garantiert „saubere“ USB-Festplatte an. Diese wird sofort ins Dateisystem gemountet. Über den Dateimanager Thunar kopieren Sie dann alle zu rettenden Benutzerdateien auf diesen Datenträger.

2. Auch die Datenrettung über das Netzwerk ist möglich, allerdings nicht über Windows-Freigaben, da dem Livesystem der Samba-Client fehlt – wohl aus Sicherheitsbedenken. Der SSH-Client und mithin das Transferprotokoll SFTP sind aber aktiv, sodass Sie sich etwa im Dateimanager Thunar mit der Adresse (Beispiel)

sftp://root@192.168.172.8:22

problemlos mit einem Linux-Server im lokalen Netz verbinden. Bei Anmeldung als root besteht Zugang auf sämtliche Verzeichnisse des Servers.

Lesetipp Antivirus-Software für Windows 10 im Test

Daten retten über das Netzwerk: Der SSH-Client eröffnet im Dateimanager Thunar oder auch im Midnight Commander („Shell-Verbindung“) den Zugang auf Linux-Server.
Vergrößern Daten retten über das Netzwerk: Der SSH-Client eröffnet im Dateimanager Thunar oder auch im Midnight Commander („Shell-Verbindung“) den Zugang auf Linux-Server.

Möglichkeiten und Grenzen

Die Bitdefender Rescue CD ist mit etwa 670 MB Umfang ganz typisch ausgestattet für unabhängige AV-Scanner. Als Oberfläche arbeitet ein ansehnliches XFCE mit Whisker-Menü. Die Softwareausstattung ist zwar schmal, geht aber doch über die Kernfunktion des puren AV-Scans hinaus. Mit Firefox (angenehm: ohne Bitdefender-Startseite), Gparted, Terminal, Editor, Xfburn und mit den Dateimanagern Thunar und Midnight Commander kann das Livesystem auch als allgemeines Notsystem arbeiten. Temporäre Softwareinstallationen während der Laufzeit sind allerdings nicht möglich.

Unter der Haube hilfreich ist, wie erwähnt, der aktive SSH-Client, während ein Samba-Client für den Zugriff auf Windows-Freigaben fehlt. Den Dateibestand von Samba-Freigaben können Sie folglich nur am Server direkt, aber nicht über das Netzwerk untersuchen. Für die verbreiteten Platinenrechner der Sorte Raspberry Pi entsteht dadurch ein Lücke, die Avira, Bitdefender, Kaspersky & Co. allesamt offenlassen: Eine Virensuche über das Netz ist nicht möglich, der lokale Scan aber auch nicht, da diese Livesysteme nicht auf der ARM-Architektur laufen.

Einzige Abhilfe: Sie müssen die externen Laufwerke vorübergehend vom Platinenrechner trennen, an einem PC anschließen, um sie dort mit Bitdefender & Co. zu analysieren.

Livesystem von Kaspersky: Die Ausstattung solcher „Rescue-CD“-Systeme ist typisch. Alle bleiben unterhalb der CD-Kapazität von 700 MB, taugen aber durchaus als allgemeine Notsysteme.
Vergrößern Livesystem von Kaspersky: Die Ausstattung solcher „Rescue-CD“-Systeme ist typisch. Alle bleiben unterhalb der CD-Kapazität von 700 MB, taugen aber durchaus als allgemeine Notsysteme.

PC-WELT Marktplatz

2409115