Desinfec't 2011
Seite 3: Reinigen + Extras
Don’t panic
Haben die Scanner etwas Verdächtiges aufgespürt, sollte man unbedingt Ruhe bewahren. Jetzt einfach reinigen ist ein Vabanque-Spiel, bei dem schon manches Windows über den Jordan gegangen ist. Zunächst sollte man herausfinden, was der Scanner überhaupt zu meckern hat. Dabei stellt sich manchmal heraus, dass er lediglich eine „Potentially Unwanted Software“ (PUA) aufgespürt hat – was durchaus der absichtlich installierte Netzwerk-Sniffer sein könnte. Oder die Heuristik stört sich an einem verdächtigen EXE-Packer. Grundsätzlich sollte man allen Warnungen, die „Suspicious“, „Generic“, „Heuristic“ oder deren Abkürzungen enthalten, eine gehörige Portion Misstrauen entgegenbringen.
Für weitere Nachforschungen zeigt der Report unter dem Dateinamen die Viren-Kennung und verlinkt diese auch gleich mit der Suche in der Schädlingsdatenbank des jeweiligen Herstellers. Liefert die keinen Treffer, hilft es manchmal, die Versionsbezeichnung wegzulassen. Darüber hinaus erreicht man über die Firefox-Lesezeichen unter „Online-Analyse“ diverse Dienste, bei denen man einzelne Dateien noch weiteren Tests unterziehen kann.
Steht tatsächlich eine Reinigung des Systems an, hat es sich bewährt, die Dateien an Ort und Stelle umzubenennen. Hängt man etwa an den Dateinamen die zusätzliche Endung „.INFECTED“ an, zeigt ein eventuell existierender Autostart-Eintrag in Windows ins Leere und das System bootet wieder sauber. Außerdem besteht nicht die Gefahr, dass man die Datei durch einen versehentlichen Klick selbst startet. Und erweist sie sich doch als harmlos, kann man die Änderung jederzeit wieder rückgängig machen. Der Nachteil dieses Vorgehens ist, dass der Kontroll-Scan kein sauberes System meldet, weil er die unschädlich gemachte Datei unter Umständen erneut findet. Wer das nicht mag, kann die inkriminierten Dateien einschließlich der Log-Dateien auf einem USB-Stick in Sicherheit bringen und dann löschen.
Um eine infizierte Datei umzubenennen, startet man etwa durch einen Klick auf „Log-Dateien“ einen Dateimanager – das Linux-Äquivalent zum Explorer. In dessen linker Spalte findet sich unter „Orte“ das Laufwerk unter dem gleichen Namen, unter dem es vorher bereits auf dem Desktop sichtbar war. Ein Klick darauf hängt es wieder ein – diesmal beschreibbar. Dann kann man sich durch den Verzeichnisbaum zur verdächtigen Datei vorarbeiten; ein Rechtsklick mit der Maus und „Umbenennen“ macht sie unschädlich. Wer übrigens im Kontextmenü ein finales Löschen vermisst, kann das durch Umschalt-Entf auslösen. Nach getaner Arbeit sollte man das Laufwerk über einen Rechtsklick wieder „aushängen“, um Beschädigungen am Dateisystem zu vermeiden.
Extras
Als Alternative zum weitgehend vorgefertigten Scan finden sich unter „Einzel-Scanner“ noch Möglichkeiten, Avira, ClamAV und Kaspersky mit angepassten Optionen zu starten. BitDefender kam für eine Integration in die einheitliche Oberfläche leider zu spät, sodass man sich dort durch die Oberfläche des Herstellers klicken muss.
Bei den anderen bietet eine bewusst schlicht gehaltene Oberfläche Zugang zu einem Schnellscan und über den „Expertenmodus“ zu den wichtigsten Optionen der Scanner. Zu beachten ist dabei, dass das angebotene automatische Einhängen die Laufwerke dabei gleich beschreibbar einbindet, weil die Scanner auch Optionen zum Desinfizieren oder Löschen von Schad-Software anbieten (von deren Einsatz wir aber explizit abraten).
Wer Desinfec’t regelmäßig einsetzt, möchte sich vielleicht die aktualisierten Signaturstände nicht jedes Mal komplett aus dem Internet ziehen. Deshalb gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Das funktioniert wegen eines Problems im Dateisystem AUFS leider nicht mehr nach einem Scan, sondern muss direkt nach dem Booten und vor dem ersten Aktualisieren der Signaturen aktiviert werden.
Dann legt Desinfec’t auf einem USB-Stick mit mindestens 1 GByte freiem Platz ein Verzeichnis /desinfect mit einer Swap-Datei und einer Container-Datei für die Signaturen an. Steckt dieser Stick beim nächsten Booten am Rechner, bindet es beides erneut ein und lädt nur die in der Zwischenzeit hinzugekommenen Signaturen nach. Bei einem System mit weniger als 1 GByte RAM versucht Desinfec’t übrigens von selbst, die Speichersituation durch das Einbinden eines USB-Sticks zu entschärfen. Wir übernehmen aber keine Garantie, dass das dann tatsächlich klappt.
Wie der Name bereits nahelegen soll, sind die Expertentools für Leute gedacht, die wissen, was sie tun. Wer mit dem Assistenten das Passwort in der Windows-SAM-Datei zurücksetzt oder gar mit dem Tool dc3dd die gesamte Festplatte unwiederbringlich löschen möchte, ist dabei und bei eventuell auftretenden Problemen auf sich selbst gestellt.