Bild: Andreas Martini

Windows-Trojaner wegputzen

Wie Sie mit Desinfec’t Viren aufspüren und erledigen

Wenn in Windows sprichwörtlich der Wurm drin ist, können Sie diesen mit Desinfec’t austreiben. Außerdem retten Sie mit dem Sicherheitstool wichtige Daten aus einem nicht mehr startenden Windows.

Von Dennis Schirrmacher

Um für den Viren-Notfall gerüstet zu sein, sollten Sie das ISO-Image von Desinfec’t am besten sofort herunterladen (siehe Kasten auf Seite 19) und auf einem USB-Stick installieren. Schließlich sollte ein womöglich infizierter Windows-PC ausgeschaltet bleiben, damit ein Schädling im laufenden System nicht noch mehr Unheil anrichten kann. Den Stick bewahren Sie in einer Schublade auf – das gibt ein sicheres Gefühl, falls doch mal was passiert.

Mit dem neuen Thor-Scanner graben Profis noch tiefer nach Malware vom Schlage Emotet.

USB-Stick erstellen

Damit das System von einem USB-Stick startet, müssen Sie es mit unseren Tools installieren. Bitte benutzen Sie ausschließlich die integrierten Installationsroutinen, damit das Sicherheitstool fehlerfrei läuft. Das bloße Kopieren der ISO-Datei auf einen Stick führt nicht zu einem lauffähigen System. Der Grund dafür ist, dass Desinfec’t auf mehrere Partitionen aufbaut, die nur unsere Tools korrekt erzeugen. Zwar können Sie das System auch auf einen Dual-Layer-DVD-Rohling brennen, sein volles Potenzial spielt Desinfec’t aber erst von einem USB-Stick aus. Nur darauf speichert es aktualisierte Daten wie Viren-Signaturen und gerettete Dateien dauerhaft. Das Erstellen eines Sticks gelingt über mehrere Wege.

Wenn Windows läuft, müssen Sie das heruntergeladene ISO-Image zuerst als Laufwerk im Datei-Explorer verfügbar machen. In der Standardeinstellung von Windows 10 gelingt das mit einem Doppelklick auf die ISO-Datei. Danach taucht Desinfec’t als Laufwerk im Explorer auf. Wenn Sie ein DVD-Brennprogramm installiert haben, könnte es an dieser Stelle dazwischenfunken, indem es die Datei auf einen Datenträger brennen will. In diesem Fall klicken Sie mit der rechten Maustaste auf die Datei und wählen „Öffnen“ oder „Öffnen mit/Windows-Explorer“ aus.

Nun klicken Sie im Explorer auf das Laufwerk mit dem Desinfec’t-Logo. Mit einem Doppelklick auf die Datei „Desinfect2USB_64_Bit.exe“ starten Sie den Installationsvorgang. Die 32-Bit-Version des Installationstools ist nur für Besitzer von Computern aus 2009 oder früher relevant. Jetzt müssen Sie aufpassen: Der Installationsassistent löscht den ausgewählten Datenträger unwiderruflich. Entfernen Sie am besten alle anderen externen Datenträger und stellen Sie sicher, dass sie für die Installation den richtigen USB-Stick ausgewählt haben. Um sicherzugehen, schauen Sie sich den dem Stick zugeordneten Laufwerksbuchstaben im Explorer an und vergleichen diesen mit dem unter „Device“ im Installationsassistenten. Stimmt alles, klicken Sie auf die Schaltfläche „Write“. Im Anschluss beginnt die Installation.

Wenn dieser Vorgang erfolgreich abgeschlossen wurde, können Sie das System starten (siehe Kasten auf Seite 20). Doch bevor es richtig losgeht, muss sich das System noch richtig an den Stick anpassen. Das gelingt über den Punkt im Desinfec’t-Bootmenü „in nativen Desinfec’t-Stick umwandeln“. Geschieht dies nicht, verhält sich das System wie von einer DVD gestartet und speichert keine Daten. Dementsprechend müssten Sie dann Viren-Signaturen nach jedem Neustart erneut herunterladen. Deshalb raten wir sehr dazu, das zu machen; je nach Geschwindigkeit des Sticks ist dieser Vorgang innerhalb weniger Minuten abgeschlossen. Nun merkt sich das Sicherheitstool Daten und Sie können auch beispielsweise Fotos und Videos von verunfallten Windows-PCs in Sicherheit bringen.

Alternativer Weg

Wenn Windows sich bereits seltsam verhält, sollten Sie den Stick nicht auf dem betroffenen Rechner erzeugen. Wenn Sie schon einen Desinfec’t-Stick oder eine DVD mit dem Sicherheitstool besitzen, starten Sie es davon und erzeugen anschließend einen Stick. Ist das nicht der Fall, müssen Sie einen Bekannten mit einem sauberen Windows bitten, das System für Sie auf einen Stick zu installieren.

Läuft Desinfec’t, müssen Sie zur Stick-Erstellung auf das Icon „Desinfec’t-Stick bauen“ auf dem Desktop klicken. Vorsicht: Der Vorgang löscht den ausgewählten Stick ohne Nachfragen. Stimmt alles, können Sie die Voreinstellung so lassen und auf „Anwenden“ klicken. Nach dem wenige Minuten andauernden Installationsvorgang halten Sie einen vollständigen Desinfec’t-Stick in der Hand, den Sie direkt nutzen können. Eine Umwandlung ist nicht mehr nötig.

Wenn Sie bei der Erstellung den Punkt „Easy Scan“ auswählen, startet das System ohne Umwege direkt mit einem Komplett-Scan von Windows. Dieser Modus ist besonders für Freunde und Verwandte interessant, die sich nicht so gut mit Computern auskennen: Nichts lenkt vom eigentlichen Anwendungszweck ab und man kann nichts falsch machen.

Mit der BTRFS-Option erstellte Sticks sind umfangreich modifizierbar. Das Dateisystem hat aber nach wie vor experimentellen Charakter und richtet sich nur an Linux-Profis. Läuft Desinfec’t mit dem BTRFS-Dateisystem, kann man es zum Beispiel dauerhaft mit aktuellen Treibern oder Office-Anwendungen erweitern [1]. Dafür benötigen Sie aber einen großen (minimal 32 GByte) und schnellen USB-Stick.

Meldet Desinfec’t bei der Installation ein Problem, liegt das zumeist an alten oder fehlerhaften Sticks. Damit die Installation optimal gelingt, prüft Desinfec’t den Stick und gibt eine Warnung aus, wenn er beim Lesen und Schreiben zu langsam ist. In so einem Fall können Sie das System trotzdem nutzen, im Betrieb bekommen Sie aber ziemlich sicher Probleme. Vor allem lahme Sticks (Schreibvorgang mit weniger als 3 MByte/s) machen bei Signatur-Updates Ärger. Erkennt die Prüfung bei der Erstellung Fehler, kann Desinfec’t den Stick auf Wunsch zurücksetzen. Anschließend können Sie ihn wie gewohnt formatieren und für andere Zwecke nutzen.

Um Fehlalarme effektiv einzugrenzen, laden Sie Funde aus der Ergebnisliste direkt zum kostenlosen Analysedienst Virustotal hoch. Dort schauen noch mal 60 Scanner auf die Datei und geben eine Einschätzung ab.

Gratis-Download und Desinfec’t-Stick-Angebot

Abonnenten loggen sich im heise Shop ein und klicken in ihrer Konto-Übersicht auf „Abo-Service“. Dort findet man unter „Zum Artikel-Archiv“ die c’t-Ausgabe 12/21 und wählt diese aus. Nach einem Klick auf „Heft-DVD herunterladen“ startet der Download. Alternativ registrieren sich Käufer des Heftes für den Download mit einer gültigen Mailadresse auf der Website ct.de/desinfect2021. Nach Abschluss kommt der Download-Link per Mail.

Nach dem Herunterladen installieren Sie das Image wie in diesem Artikel beschrieben auf einen USB-Stick und starten im Anschluss das System. Alternativ brennen Sie es auf eine Dual-Layer-DVD mit 8,5 GByte Speicherplatz.

Die c’t-Ausgabe 12/2021 ist auch auf einem USB-Stick für 19,90 Euro erhältlich, von dem Desinfec’t direkt startet. Abonnenten bekommen 3 Euro Ermäßigung. Dafür müssen Sie sich in ihrem heise-Shop-Konto einloggen und den Stick kaufen.

Hashsumme vom ISO-Image: siehe ct.de/y41f

Sicherheitstool starten

Wie Sie Desinfec’t booten, zeigt der obige Kasten. Wenn das Starten geklappt hat, haben Sie die größte Hürde überwunden. Das Problem ist, dass das System aus Speicherplatzgründen nicht alle Treiber für jegliche erschienene Hardware enthalten kann. Wir haben das System aber erfolgreich auf Hardware aus den vergangenen 10 Jahren getestet. Bei Intel haben wir mit i7-CPUs der 2000er-Serie und bei AMD mit A6-APUs begonnen. Bei den Grafikkarten kamen neben Onboard-Lösungen wie HD3000 von Intel auch aktuelle RTX2000-Modelle von Nvidia zum Einsatz. In unseres Tests startete Desinfec’t 2021 problemlos. Außerdem haben wir die Kompatibilität mit NVMe-SSDs gesteigert.

Wenn das System partout nicht startet, können Sie im Desinfec’t-Bootmenü den Safe Mode auswählen oder das Booten mit einem alternativen Kernel ausprobieren. So bringt beispielsweise der Kernel 5.11.8 eine bessere Unterstützung für moderne WLAN-Chips mit. Leider laufen AMD-Grafikkarten in dieser Variante nicht mit der nativen HD-Auflösung eines Monitors. Aufgrund einer hohen Kompatibilität haben wir uns als Standard für den Kernel 5.4 entschieden. Hilfe finden Sie im offiziellen Desinfec’t-Forum (siehe ct.de/y41f).

Desinfec’t starten

Vermuten Sie, dass ein Schädling sein Unwesen auf Ihrem Windows-PC treibt, fackeln Sie nicht lange und fahren Sie den Computer herunter. Schalten Sie ihn wieder ein und drücken sofort entweder F8, F10, F11 oder F12, damit das BIOS-Bootmenü erscheint. Bei manchen Computern rufen Sie dieses Menü mit der Esc- oder Enter-Taste auf. Wenn das nicht klappt, starten Sie auf Ihrem Smartphone eine Internetsuche und geben neben Ihrem Computer-Modell noch BIOS-Bootmenü ein, um die richtige Taste zu finden.

Erscheint das Menü auf dem Bildschirm, legen Sie die Desinfec’t-DVD ein oder schließen einen Stick an. Wählen Sie im Anschluss das Medium mit Desinfec’t aus und starten Sie davon. Funktioniert das nicht, müssen Sie den Umweg über das BIOS-Menü gehen. Dieses rufen Sie meist durch das Drücken der Taste Entf oder F2 auf. Auch an dieser Stelle gilt, dass das Menü über verschiedene Tasten aufrufbar ist.

Dort stellen Sie die Boot-Reihenfolge so ein, dass das Medium mit Desinfec’t zuerst startet. Wollen Sie nur einen Routine-Check machen, können Sie den Start von Desinfec’t auch direkt aus einem laufenden Windows 8.1 oder 10 anstoßen. Das funktioniert aber nur, wenn das System im UEFI-Modus läuft. Dafür halten Sie die Umschalttaste (Shift) gedrückt 1 und klicken im Startmenü auf Neustart. Im anschließend auftauchenden Bildschirm bestätigen Sie den Punkt „Ein Gerät verwenden“ 2. Als Nächstes wählen Sie das Medium mit Desinfec’t aus 3. Nun fährt Windows herunter und bootet automatisch das Notfallsystem. Klappt der Start partout nicht, wählen Sie bitte im Desinfec’t-Bootmenü die Option „Safe Mode“ aus.

Trojaner-Gefangenschaft vorbereiten

Wenn Desinfec’t das erste Mal auf einem Computer gestartet ist, müssen Sie mit dem automatisch auftauchenden Assistenten einen Projektordner anlegen. Dieser Ordner bildet Ihr Arbeitsverzeichnis für diesen Vorfall. Darin speichert das Sicherheitstool beispielsweise Scan-Ergebnisse und vor einem Virus in Sicherheit gebrachte Dateien. Der Ordner ist unter Windows sichtbar. So haben Sie später auch von anderen Windows-Systemen aus Zugriff auf die Dateien. Desinfec’t erkennt PCs an individuellen Hardware-IDs und legt für jeden Computer einen neuen Projektordner an. Davon profitieren vor allem Nutzer, die Desinfec’t auf vielen verschiedenen Computern einsetzen. Bei der Analyse von Ergebnissen behalten Sie dank aussagekräftigen Ordner-Namen wie „Spiele-PC“ und „Arbeits-Möhre“ den Überblick.

Ist der Projektordner erstellt, können Sie mit dem ersten Viren-Scan beginnen. Führen Sie dafür einen Doppelklick auf das Desktop-Icon „Viren-Scan“ aus. Im Anschluss öffnet sich der Scan-Assistent. Wenn der PC noch nicht mit dem Internet verbunden ist, taucht das WLAN-Fenster auf. Darin können Sie bestätigen, dass sich Desinfec’t das WLAN-Passwort merkt. Achtung: Das steht dann im Klartext auf dem Stick. Wenn Sie den verlieren, sollten Sie das WLAN-Passwort also vorsichtshalber ändern. Eine Internetverbindung ist nötig, damit die Scanner von Avast, Eset, F-Secure und Sophos ihre Signaturen aktualisieren können.

Wählen Sie nun die zu scannende Festplatte aus. Standardmäßig schauen sich die Scanner die gesamte Windows-Installation an. Alternativ können Sie mit der Option ganz unten gezielt einen Ordner oder eine Festplatte beziehungsweise einen USB-Stick scannen. Wenn keine Festplatte im Scan-Assistent auftaucht, machen Sie einen Doppelklick auf das Desktop-Icon „Win-Drives einhängen“. Im Anschluss sollten die Laufwerke im Scan-Assistenten auftauchen.

Nachdem Sie die gewünschte Festplatte oder einen Ordner zum Scannen ausgewählt haben, klicken Sie auf „Vor“. Um eine erste Einschätzung über den Infektionsgrad eines Computers zu erhalten, genügt es, die Untersuchung mit dem vorausgewählten Scanner von Avast zu starten. Dafür klicke Sie auf „Anwenden“. Umgehend startet der Assistent die Aktualisierung der Viren-Signaturen, damit die Scanner für aktuelle Schädlinge gerüstet sind. Im Anschluss startet ohne weiteres Zutun der Scan.

Im Reiter „Experte“ können Sie den Scan anpassen. Auf Wunsch schauen sich die Scanner Archive und Mailboxen an. Achtung: Diese Option verlängert die Scan-Zeit erheblich und der Computer kann sogar abstürzen. Der Grund dafür: Wenn Desinfec’t zur Untersuchung große Archive im Arbeitsspeicher entpackt und untersucht, kann das zu Instabilitäten des Systems führen. Wenn Sie nur die Signaturen aktualisieren wollen, ohne einen Scan durchzuführen, wählen Sie die entsprechende Option aus und klicken auf „Anwenden“. Das ist zum Beispiel hilfreich, wenn Sie später einen Computer scannen wollen, der nicht mit dem Internet verbunden ist.

Wenn der Viren-Scan läuft, können Sie sich die Zeit mit verschiedenen Mini-Spielen vertreiben.

Verschlüsselte Festplatten scannen

Wer seine Festplatte mit Microsofts Bitlocker verschlüsselt hat, kann Laufwerke direkt aus dem Scan-Assistenten einbinden. Dafür müssen Sie das Laufwerk lediglich auswählen und nach den Scanner-Updates das Passwort für das verschlüsselte Volume eingeben.

Im Test hat das in der Redaktion problemlos mit einer unter Windows 10 20H2 verschlüsselten Systempartition geklappt. Mit kommenden Windows-Updates ist die Kompatibilität aber möglicherweise nicht mehr gegeben. Das Problem ist, dass Microsoft in neuen Windows-Versionen oft an der Bitlocker-Schraube dreht und die Entwickler der Mount-Tools unter Linux erst mal nachziehen müssen. Wenn das erfolgt ist, bringen wir Desinfec’t auf den aktuellen Stand.

Wer mit VeraCrypt verschlüsselte Daten scannen möchte, muss die Container beziehungsweise Laufwerke über den VeraCrypt-Client im Expertentools-Ordner einbinden. Um Festplatten einzubinden, müssen Sie VeraCrypt starten. Nun wählen Sie den verschlüsselten Datenträger aus und mounten diesen im VeraCrypt-Client. Die Festplatte taucht dann im Scan-Assistent zur Auswahl auf. Haben Sie Ihre Systemplatte voll verschlüsselt, müssen Sie noch die Option „mount partition using system encrypting“ auswählen.

Mit Bitlocker verschlüsselte Laufwerke tauchen direkt im Scan-Assistenten auf und stehen nach der Auswahl für Scans bereit.

Nach der Untersuchung

Ist der Scan abgeschlossen, erscheint hoffentlich ein Fenster mit der Nachricht, dass kein Trojaner gefunden wurde. Doch Vorsicht: Selbst wenn kein Scanner Alarm schlägt, kann sich dennoch ein Schädling auf dem PC befinden. Das kann passieren, wenn der Trojaner so neu ist, dass es noch keine Signaturen zur Erkennung gibt. Wähnen Sie sich also nicht in hundertprozentiger Sicherheit.

Haben die Scanner hingegen angeschlagen, atmen Sie erst mal tief durch und prüfen Sie die sich automatisch in Firefox öffnende Ergebnisliste mit den Funden. Es ist nicht auszuschließen, dass es sich um Fehlalarme handelt. Um das besser einschätzen zu können, bringt Desinfec’t mehrere Methoden mit. Springt beispielsweise nur einer der vier Scanner auf eine Datei an, liegt ein Fehlalarm nahe. Es kann zum Beispiel vorkommen, dass in einer Abschlussarbeit verankerte harmlose Word-Makros einen Alarm auslösen.

Wenn sich der Trojaner-Verdacht dadurch nicht aus der Welt schaffen lässt, laden Sie die verdächtige Datei zum Online-Analysedienst Virus hoch. Dafür klicken Sie auf die Verknüpfung ganz rechts in der Ergebnisliste und anschließend auf Link öffnen. Dort schauen über 60 Scanner auf den Fund und geben eine Einschätzung ab. Zusätzlich zu diesen Ergebnissen finden Sie dort oft noch Kommentare anderer Nutzer zu analysierten Dateien. Das ist für eine Einschätzung sehr hilfreich. Ob sie Dokumente mit vertraulichen Inhalten hochladen, müssen Sie selbst entscheiden.

Wenn Sie gar nicht mehr weiterwissen und überfordert sind, rufen Sie mittels TeamViewer jemanden aus der Familie oder dem Bekanntenkreis zu Hilfe. Derjenige übernimmt über das Internet die Kontrolle über den Problem-PC und schaut sich auf dem System um. Das Fernwartungstool bringt Desinfec’t direkt mit. Auch eine Windows-Version ist mit dabei. Die Nutzung ist aber ausdrücklich nur im privaten Bereich erlaubt.

Echter Trojaner voraus

Auch wenn alle Zeichen auf einen echten Virenbefall hindeuten, lässt Desinfec’t Sie nicht im Stich. Mit wenigen Klicks machen Sie Trojaner unschädlich – das gelingt direkt aus der Ergebnisliste. Klicken Sie dafür einfach auf „Umbenennen“ und Link öffnen. Im Anschluss müssen Sie im automatisch auftauchenden Fenster dem Sicherheitstool erlauben, schreibend auf die Windows-Festplatte zugreifen zu dürfen. Das ist standardmäßig nicht erlaubt, damit Desinfec’t nichts am System verändern und gegebenenfalls kaputt machen kann. Ist der Schreibzugriff erlaubt, hängt das Skript an den Dateinamen die Endung .VIRUS. Handelt es sich um eine ausführbare EXE-Datei, wird daraus „Ransomware.exe.VIRUS“. Diese Methode ist simpel, aber effektiv: Dadurch ändert sich der Dateityp und Windows kann die Datei nicht mehr ausführen.

Falls bei diesem Vorgang zum Beispiel eine legitime Systemdatei unter die Räder kommt und Windows im schlimmsten Fall nicht mehr startet, können Sie einfach die Dateiendung .VIRUS entfernen und alles ist wieder wie zuvor. Alternativ können Sie das entsprechende Skript im Expertentools-Ordner einsetzen. Das versetzt alle von Desinfec’t umbenannten Dateien wieder in den ursprünglichen Zustand zurück.

In der Ergebnisliste in Firefox finden Sie Infos, wie den Speicherort, von als verdächtig eingestuften Dateien. Über die Schaltfläche „Umbenennen“ machen Sie Trojaner unschädlich.

Für Profis

Der Open Threat Scanner (OTS) und der neue implementierte Thor Scanner richten sich an erfahrene Virenjäger, die noch tiefer nach Schädlingen vom Kaliber eines Emotet graben wollen. Beide können Sie direkt über die Icons auf dem Desktop starten. Der OTS setzt auf Yara-Regeln. Dabei handelt es sich um Listen mit Merkmalen von Schädlingen, um diese via Pattern Matching aufzufinden. Die Aktualisierungen holt sich OTS vom GitHub-Repository von ReversingLabs. Die haben sich eine hohe Erkennungsrate und geringe Fehlalarmquote auf die Fahne geschrieben. Ambitionierte Trojanerjäger können sogar eigene Regeln für den Scanner schreiben und so ihren eigenen Viren-Scanner bauen [2].

Den Thor Scanner von Nextron setzt Desinfec’t 2021 in der Lite-Version ein. Der Scanner verwendet neben etwa 3000 ständig aktualisierten Yara-Regeln auch weitere sogenannte Indicators of Compromise (IOC), um Anzeichen für aktuelle Bedrohungen aufzuspüren. Die eingesetzten Regeln sind größtenteils von Hand optimiert, um das Risiko von Fehlalarmen gering zu halten. Wenn jedoch Thor anschlägt, ist es mit dem Umbenennen einer Datei definitiv nicht mehr getan. Die Behandlung der so gefundenen Bedrohungen erfordert solide Kenntnisse der Incident Response. Sowohl Thor als auch OTS sind Werkzeuge für Profis; im Zweifelsfall muss man sich da dann kompetente Hilfe holen.

Im Expertentools-Ordner auf dem Desktop finden Sie weitere Profi-Werkzeuge, etwa um verloren geglaubte Dateien zu retten und ganze Festplatten zu klonen. Mit QPhotoRec rekonstruieren Sie mit etwas Glück versehentlich gelöschte Daten. Das klappt beispielsweise mit Bildern oder Office-Dokumenten. Die Dateien bringen Sie dann auf einem Desinfec’t-Stick in Sicherheit. Mit einem weiteren Tool fertigen Sie eine 1:1-Kopie einer Festplatte an. Das kann zum Beispiel für die Wiederherstellung von Windows auf einem anderen Computer hilfreich sein. Aber wie der Name der Werkzeuge schon sagt, sollten sich nur Experten an diese Tools wagen. Andernfalls könnte Windows Schaden nehmen. (des@ct.de)

Forum, Hashsumme: ct.de/y41f