FAQ Desinfec’t 2021
Mit dem Sicherheitstool Desinfec’t jagen Sie Malware und retten Daten von nicht mehr startenden PCs. Probleme bei der Nutzung sind oft ohne viel Aufwand lösbar.
(Bild: Andreas Martini)
Das Sicherheitstool Desinfec’t startet von einem USB-Stick und erlaubt selbst Laien Trojaner auszuradieren und wichtige Dateien von Windows-PCs in Sicherheit zu bringen. Auch wenn etwas klemmt ist die Lösung meist nicht schwierig. Wir erklären, wie Sie die häufigsten Probleme lösen.
USB-Stick-Erstellung schlägt fehl
Ich will Desinfec’t 2021 wie im Heft beschrieben unter Windows auf einem USB-Stick erstellen. Leider bricht der Vorgang immer mit der Meldung "Error 5" ab. Was mache ich falsch?
Das Problem lässt sich oft lösen, indem Sie für die Dauer der Stick-Erzeugung Ihren Virenwächter deaktivieren. Vergessen Sie aber nicht, den Echtzeit-Scanner im Anschluss wieder zu aktivieren, sonst ist Ihr System potenziell gefährdet. Hintergrund dafür ist, dass manche AV-Scanner einen Master-Boot-Record-Schutz (MBR) mitbringen. Der soll verhindern, dass sich ein Trojaner in den ersten 512-Byte-Blocks eines Laufwerks einnistet, verhindert aber auch, dass das Erstellungstool den für Desinfec’t nötigen Boot-Manager schreibt.
Läuft Desinfec’t nur ab 8 GByte RAM?
In der c’t-Ausgabe mit dem Sicherheitstool steht, dass das Live-System nur auf Systemen mit mindestens 8 GByte RAM läuft. Das schränkt den Einsatzzweck für mich deutlich ein, da zum Beispiel meine Eltern noch alte Windows-PCs mit 4 GByte Arbeitsspeicher haben.
Die Formulierung mit den 8 GByte ist missverständlich. Wenn Sie Desinfec’t von einer DVD nutzen, sollten der Computer möglichst über 8 GByte RAM verfügen, damit das System gut läuft. Der Grund dafür ist, dass der Unterbau von Desinfec’t ein Live-System ist, das aus dem Arbeitsspeicher läuft. Vor allem die temporär im RAM abgelegten Signaturupdates füllen den Arbeitsspeicher rasant. Läuft das System von einem USB-Stick mit 16 GByte, dann landet darauf neben den aktualisierten Signaturen auch die Auslagerungsdatei; das spart RAM. In diesem Szenario sollte Desinfec’t auch auf Computern mit 4 GByte RAM nutzbar sein. Wenn der Computer nur über 2 GByte verfügt, sollten Sie sich für einen der schlankeren Scanner von Avast oder Eset entscheiden, damit der Arbeitsspeicher nicht überläuft.
Eset lässt sich nicht aktualisieren
Das System läuft so weit ziemlich rund. Aber immer, wenn ich meinen Computer mit Eset scannen will, schlägt das Signaturupdate für diesen Scanner fehl. Mach ich irgendwas falsch?
Nein, Sie machen alles richtig. Bei der Veröffentlichung von Desinfec’t 2021 kam es bei Eset leider zu einem Ressourcenproblem und bei einigen Nutzern lief das Update in einer Endlosschleife. Mittlerweile haben wir das Problem in Zusammenarbeit mit dem AV-Anbieter gelöst. Damit die Aktualisierung klappt, müssen Sie das p1-Update für Desinfec’t installiert haben. Das geschieht in der Regel automatisch, sobald das System über eine aktive Internetverbindung verfügt. Ob das System aktuell ist, sehen Sie oben rechts im Statusfenster. Steht dort "Desinfec't 2021 p2", ist es auf dem aktuellen Stand. Taucht die Bezeichnung nicht auf, stoßen Sie das Update mit den Befehlen sudo apt-get update und sudo apt-get -y dist-upgrade an. Dank der Anpassung stehen Desinfec’t-Nutzern mehr Update-Slots zur Verfügung. Klappt die Aktualisierung immer noch nicht, starten Sie den aktualisierten Desinfec’t-Stick neu und geben Sie anschließend im Terminal die Befehle sudo /opt/desinfect/update_eset.sh ein.
Desinfec’t trotz LAN-Kabel offline
Ich nutze Desinfec’t auf einem ziemlich aktuellen Computer mit einem 2,5-Gbit-Netzwerkcontroller und einer NVMe-SSD. Das System startet problemlos. Wenn ich ein LAN-Kabel anschließe, baut sich aber keine Verbindung zum Internet auf. Außerdem sieht der Scan-Assistent meine NVMe-SSD nicht. Wenn ich dann meine andere Festplatte scanne, tauchen andauernd Input-Output-Fehler auf. Kann ich dagegen was machen oder ist Desinfec’t nicht mit meinem Computer kompatibel?
Das klingt so, als könnte der alternative in Desinfec’t implementierte Linux-Kernel 5.11 helfen. Dieser ist neuer als der bewährte Standard-Kernel 5.8 und bringt mehr Treiber für aktuelle Hardware mit. Um das System damit zu starten, wählen Sie im Desinfec’t-Bootmenü den Eintrag mit Kernel 5.11 aus. In unseren Tests haben wir damit beispielsweise eine bessere Kompatibilität mit NVMe-SDDs erreicht. Erscheint beim Start von Desinfec’t mit dem Kernel 5.11 die Fehlermeldung "error: /casper/vmlinuz.55 has invalid signature", deaktivieren Sie im BIOS/UEFI die Secure-Boot-Option. Hintergrund ist, dass Ubuntu Mainline-Kernel nicht signiert, worüber Secure Boot meckert.
Schrift zu klein: Auflösung dauerhaft umstellen
Wenn ich Desinfec’t auf meinem Laptop mit 4K-Bildschirm starte, kann ich die Schrift aufgrund der hohen Auflösung kaum lesen. Deswegen lasse ich mir zuerst im Terminal mit dem Befehl xrandr die verfügbaren Auflösungen anzeigen. Anschließen stelle ich mit xrandr -s 1280x800 eine niedrigere Auflösung ein, sodass die Schrift größer wird. Das muss ich aber nach jedem Neustart erneut eingeben. Gibt es eine Möglichkeit, die Auflösung dauerhaft zu ändern?
Ja, das funktioniert. Dafür müssen Sie lediglich ein vorhandenes Skript mit ein paar Befehlen im Terminal anpassen. Öffnen Sie nun mit den folgenden Befehlen mit dem integrierten Editor das Skript autoscan.sh. Dieses ist namensgebend eigentlich dafür da, um nach dem vollständigen Aufbau des Desktops automatisierte Scans auszuführen. Man kann es aber auch zur dauerhaften Anpassung der Bildschirmauflösung nutzen. Öffnen Sie dazu die Datei im Editor Scite:
sudo scite /opt/desinfect/signatures/autoscan.sh.
Nun tragen Sie den folgenden Abschnitt in das Skript ein.
xrandr -s 1280x800
killall -9 conky
conky &
Wenn Sie den Stick auf mehreren PCs nutzen, können Sie pro Computer eine spezifische Auflösung festlegen. Dafür müssen Sie zuerst mit den folgenden Befehlen die PC-Seriennummer herausfinden und diese notieren.
sudo dmidecode | grep UUID
Im nächsten Abschnitt ersetzen Sie XXX mit der Seriennummer des jeweiligen Computers. Für mehrere PCs kopieren Sie die Einträge und passen die UUID-Nummern an. Nach einem Neustart gibt Desinfec’t auf dem jeweiligen Computer die eingestellte Auflösung aus.
if sudo dmidecode | grep -i XXX ; then
xrandr -s 1920x1080
killall -9 conky
conky &
fi
Videos by heise
Desinfec’t-Stick löschen
Ich möchte meinen Desinfec’t-Stick nun wieder wie einen normalen USB-Stick nutzen. Leider wird unter Windows nach der Formatierung nur noch ein Bruchteil der eigentlichen Speicherkapazität angezeigt. Ist der Stick jetzt kaputt?
Nein, der USB-Stick ist nicht kaputt. Desinfec’t nutzt mehrere Partitionen, die Windows nicht alle erkennt. Dort versteckt sich der vermisste Speicherplatz. Um den Stick vollständig zu löschen, benutzen Sie am besten das Windows-Kommandozeilenprogramm diskpart. Um es unter Windows 10 zu starten, tippen Sie einfach diskpart in das Suchfeld in der Taskleiste ein und drücken die Eingabetaste. Mit den folgenden Befehlen identifizieren Sie den Stick, wählen ihn aus – das "?" müssen Sie durch die korrekte Ziffer, die Ihren Stick auszeichnet, ersetzen und löschen diesen:
list disk
select disk ?
clean
create partition primary
Nun können Sie den Stick wie gewohnt in der Laufwerksauswahl mit der vollen Speichergröße formatieren.
Desinfec’t-Installer infiziert?
Ich habe das Installationsprogramm Desinfect2USB_64_Bit.exe zum Online-Viren-Analysedienst VirusTotal hochgeladen und von den ĂĽber 60 Scannern hat MaxSecure die Datei als einen Trojaner eingestuft. Muss ich mir Sorgen machen?
Nein. Dabei handelt es sich um einen Fehlalarm.
TeamViewer geht nicht
Ich wollte meiner Tante mit dem Fernwartungstool TeamViewer helfen und mir ihren wahrscheinlich mit Trojanern verseuchten Windows-PC anschauen. Leider konnte ich das Tool nur genau einmal nach dem Start von Desinfec’t aufrufen. Beim zweiten Mal kommt beim Startvorgang immer der Hinweis, dass die Version vermutlich nicht privat genutzt wird und die Verbindung bricht nach einigen Minuten ab. Was ist da los?
Wir konnten den Fehler reproduzieren. Mit einer aktuelleren Version von TeamViewer tritt das Problem nicht mehr auf. Wir liefern diese Version mit dem p2-Update von Desinfec’t aus. Solche System-Updates installiert Desinfec’t automatisch, wenn es über eine aktive Internetverbindung verfügt. Klappt das nicht, führen Sie das Update im Terminal mit den Befehlen sudo apt-get update und sudo apt-get -y dist-upgrade durch.
VerschlĂĽsselte Festplatte nicht sichtbar
Ich habe meine Windows-Festplatte vollständig mit VeraCrypt verschlüsselt. Leider kann ich die Partition nicht scannen.
Starten Sie VeraCrypt im Expertentools-Ordner und wählen die verschlüsselte Festplatte aus. Bei einer Vollverschlüsslung von Windows müssen Sie noch den Punkt "Mount partition using system encryption" aktivieren. Nach der Eingabe des Passworts für die verschlüsselte Platte sollte diese im Scan-Assistenten auftauchen.
Weitere Hilfe
Das Desinfec’t-Forum ist die erste Anlaufstelle, wenn Sie Schwierigkeiten oder sogar Lösungen für Probleme haben. Dort tauschen sich nicht nur Nutzer aus, auch die Redaktion und der Desinfec’t- Entwickler sind dort aktiv.
In c’t 14/2021 zeigen wir, wie Sie unbehelligt von Cookies und Trackern surfen können. c't-Redakteur Mirko Dölle fand heraus, wie sich Apples AirTags als Stalking-Kit ummodeln lassen. Außerdem haben wir den Raspi als Backup-Server aufgerüstet, beleuchten die Technik und Infrastruktur zur Kartenzahlung und erklären, was Sie nach dem Ende von UMTS beachten sollten. Ausgabe 14/2021 finden Sie ab dem 18. Juni im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(des)
