FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre D-52425 Jülich, Tel. (02461) 61-6402 Beratung Netzwerk, Tel. (02461) 61-6440 Technische Kurzinformation FZJ-JSC-TKI-0411 Dr. Frank Mohr, JSC-KS 27.09.2016 Gebrauch der Notfall-CDs von AVG, Avira und Kaspersky Inhalt 1. Einleitung ............................................................................................................................... 1 2. Verwendung der AVG Rescue CD ........................................................................................ 2 2.1. Normale Verwendung ..................................................................................................... 2 2.2. Problembehebung beim Update .................................................................................... 12 2.3. Erzeugen eines bootfähigen USB-Sticks mit der AVG Rescue CD ............................. 15 3. Verwendung von Avira Rescue System ............................................................................... 17 3.1. Normale Verwendung ................................................................................................... 17 3.2. Problembehebung beim Update .................................................................................... 25 4. Verwendung der Kaspersky Rescue Disk 10 ....................................................................... 28 4.1. Der Grafikmodus der Rescue Disk 10........................................................................... 30 4.2. Der Textmodus der Rescue Disk 10 .............................................................................. 36 5. Troubleshooting ................................................................................................................... 42 1. Einleitung Mit den Lösungen AVG Rescue CD, Avira Rescue System und Kaspersky Rescue Disk 10 stehen den Mitarbeitern des Forschungszentrums Jülich (auch für den privaten Einsatz) drei leistungsfähige Notfall-CDs zur Verfügung, um Windows- und (im Fall der Avira Rescue System sowie der Kaspersky Rescue Disk 10) auch Linux-Partitionen auf Malware zu untersuchen. Dabei sollen eventuelle Infektionen erkannt und auch bekämpft werden. Voraussetzung hierfür sind tagesaktuelle Virensignaturen, weswegen alle Lösungen entsprechende Update-Prozeduren besitzen. Es wird dringend empfohlen, vor der eigentlichen Untersuchung auch tatsächlich ein solches Update durchzuführen, damit die Notfall-CDs ihre volle Leistungsfähigkeit entfalten können. 1 Das JSC empfiehlt die Anwendung mit der hier gewählten Priorität: Zuerst die AVG Rescue CD, dann Avira Rescue System und schließlich die Kaspersky Rescue Disk 10. Beachten Sie bitte, dass Linux-Partitionen nur mit der Avira-Lösung sowie der Kaspersky Rescue Disk 10 geprüft werden können. Grundsätzlich kann keine Garantie dafür übernommen werden, dass die Notfall-CDs mit allen vorliegenden Hard- und Softwarekombinationen korrekt funktionieren oder dass die UpdateProzeduren mit allen verfügbaren Netzwerkadaptern zusammenarbeiten. Sollten diesbezüglich Probleme auftreten, sind einige Tipps in den jeweiligen Anleitungen sowie in Kapitel 6-Troubleshooting aufgeführt; ebenso können Sie sich an die JuNet-Hotline unter der Durchwahl 6440 wenden. Darüber hinaus kann ebenfalls keine Garantie übernommen werden, dass jede Infektion durch die CDs korrekt erkannt und geheilt werden kann. Wird ein System von einer Notfall-CD als nicht oder nicht mehr infiziert gemeldet, sollte dies vorsichtshalber von mindestens einer der anderen noch bestätigt werden. Einmal befallene Systeme sind zunächst als nicht mehr vertrauenswürdig anzusehen, auch wenn eine Notfall-CD eine erfolgreiche Bekämpfung meldet. In Abhängigkeit der Umstände ist mittelfristig eine erneute Untersuchung oder gar eine Neuinstallation sinnvoll. Als Alternative zu den drei Notfall-CDs soll noch der Microsoft Safety Scanner erwähnt werden, der im konkreten Bedrohungsfall kostenlos heruntergeladen und 10 Tage lang benutzt werden kann. Es handelt sich dabei um ein Sicherheitstool, welches nur nach Bedarf gestartet wird, also nicht permanent im Hintergrund arbeitet und daher auch keinen Virenscanner ersetzen kann. Auf bereits infizierten Systemen hilft es jedoch bei der Bekämpfung der Schadsoftware, wenn der vorhandene Virenscanner als nicht mehr vertrauenswürdig betrachtet werden muss. Die Möglichkeit des Downloads sowie eine Kurzeinführung und weiterführende Links finden Sie unter https://www.microsoft.com/security/scanner/de-de/default.aspx 2. Verwendung der AVG Rescue CD 2.1. Normale Verwendung Sie finden ein ISO-Image der AVG Rescue CD auf dem PCSRV unter \\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\01-AVG-Notfall-CD\ welches in regelmäßigen Abständen aktualisiert wird (was jedoch nicht das tagesaktuelle Updaten der Virensignaturen ersetzt!). Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser. Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig <F8> bzw. die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige Laufwerk aus und bestätigen Sie mit <Return>. 2 Alternativ bietet AVG auch eine Applikation zum Download an, mit der Sie einen bootfähigen USB-Stick erzeugen können. Die Bedienung der Notfall-CD ist identisch, Sie sparen dadurch den Brennvorgang einer CD. Wie Sie den USB-Stick erzeugen, finden Sie in Kapitel 2.3 beschrieben; fahren Sie danach an dieser Stelle fort. Es erscheint das Bootmenü der Notfall-CD: Im Normalfall können Sie dieses Menü einfach mit <Return> bestätigen, da der Start der Notfall-CD als erster Menüpunkt bereits voreingestellt ist. Nach einer Wartezeit von 10 Sekunden startet der Bootvorgang selbständig, wenn Sie noch keine Eingabe gemacht haben. Sollte es im weiteren Verlauf zu Problemen, z.B. mit der Bildschirmanzeige, kommen, können Sie auch die Menüpunkte <AVG Rescue CD failsafe mode> und <AVG Rescue CD with Resolution Selection> ausprobieren; bei letzterem kann der verwendete Grafikmodus manuell gewählt werden. Warten Sie, bis die Notfall-CD alle benötigten Dateien und Einstellungen geladen hat. Zunächst wird der Disclaimer angezeigt, den Sie mit <ACCEPT> bestätigen müssen. Sie können mit den Tasten <> und <> durch den Text blättern. 3 Danach testet die Notfall-CD die Internet-Verbindung, da vor der eigentlichen Untersuchung des Systems ein Update der Virensignaturen durchgeführt wird. Verläuft der Test erfolgreich, erscheint die folgende Meldung: Bestätigen Sie die Meldung mit <Yes>, um ein Update der Virusmusterdefinitionen durchzuführen. 4 Wenn der Test dagegen fehlschlägt, wird die Meldung „Cannot connect to AVG Update server. Do you want to configure internet connection?“ ausgegeben. Bestätigen Sie diese Meldung mit <Yes>, woraufhin Sie in das Menü der Netzwerkkonfiguration gelangen. Folgen Sie dann der Anleitung in Kapitel 2.2, um die Problembehebung für Updates zu durchlaufen. Nach dem erfolgreichen Update erscheint die Meldung „Update was successfully completed.“, welche Sie mit <Continue> bestätigen können. Schlägt das Update dagegen mit der Meldung „Update failed: General error“ fehl, kann dies an einem zu kleinen Hauptspeicher liegen. Die Notfall-CD benötigt für die zuverlässige Funktion 2GB RAM; passen Sie z.B. die Konfiguration von virtuellen Maschinen entsprechend an. Es erscheint das Hauptmenü der Notfall-CD. Grundsätzlich können Sie in den Menüs mit den Tasten <> und <> durch die Menüpunkte wechseln. Haben Sie im bisherigen Verlauf noch kein Update der Virusmusterdefinitionen durchgeführt, so können Sie dies noch nachholen: Wählen Sie im Hauptmenü zunächst <Advanced>, dann <Update> und dann <Online>. Kehren Sie nach dem Update wieder in das Hauptmenü zurück, indem Sie das Update mit <Continue> quittieren und dann <Return> wählen. Um die eigentliche Untersuchung des Systems durchzuführen, wählen Sie nun <Scan> an. 5 Im nächsten Dialog können Sie wählen, ob ganze Festplattenpartitionen (<Volumes – Scan selected volumes.>), einzelne Verzeichnisse (<Directory – Scan selected directory only.>) oder nur die Windows-Registry (<Registry – Scan only windows registry.>) durchsucht werden sollen. Im Normalfall empfiehlt sich die Untersuchung ganzer Partitionen; einzelne Verzeichnisse oder Bootsektoren bzw. die Windows-Registry sollten nur dann eingegrenzt werden, wenn die Infektion(en) bereits in diesen zweifelsfrei lokalisiert werden konnte(n). Bestätigen Sie daher den ersten Eintrag mit <Select>; in dieser Anleitung wird davon ausgegangen, dass die Durchsuchung ganzer Partitionen gewählt wurde. Im nächsten Dialog wählen Sie die zu untersuchende Partition; es werden alle durchsucht, die mit einem Stern [*] markiert sind. Drücken Sie die Leertaste, um Partitionen aus der Untersuchung ein- oder auszugrenzen. Beachten Sie, dass die Laufwerksbezeichnungen der von Linux-Systemen gewohnten Namensgebung entsprechen. Im nachfolgenden Screenshot sind zwei Festplattenpartition im System vorhanden, die auch beide durchsucht werden sollen (erkennbar an dem Stern [*] vor der Laufwerksbezeichnung): Grundsätzlich sollten Sie alle Partitionen durchsuchen lassen, die im Verdacht einer Infektion stehen. Sind Sie unsicher, welche dies sind, so lassen Sie alle vorhandenen Partitionen durchsuchen. Bootfähige Partitionen sollten auf jeden Fall durchsucht werden! Bestätigen Sie Ihre Auswahl mit <Select>. Im nächsten Dialog können Sie verschiedene Parameter der Untersuchung einstellen. Wie bereits oben werden auch hier alle Optionen berücksichtigt, die mit einem Stern [*] versehen sind; mit der Leertaste können Sie Optionen zu- und abschalten. 6 Scan inside archives: Es werden auch Archive durchsucht. Diese Option wird empfohlen. Report password protected files: Im Prüfbericht werden passwortgeschützte Dateien gemeldet. Diese Option ist nur in Verbindung mit <Scan inside archives> möglich und muss nicht zwingend aktiviert werden, sofern sich kein akuter Verdacht gegen diese Dateien richtet. Report archive bombs: Eine archive bomb ist eine mehrfach gepackte Datei, die den installierten Virenscanner bezüglich seiner Ressourcenauslastung überfordern soll und damit der Entdeckung entgehen will. Wird diese Option aktiviert, werden auch archive bombs gemeldet, was empfohlen wird. Sie ist nur in Verbindung mit <Scan inside archives> möglich. Use heuristics for scanning: Es wird die heuristische Suche verwendet, was die Wahrscheinlichkeit der Erkennung von Bedrohungen erhöht, die derzeit noch nicht bekannt sind. Diese (voreingestellte) Option wird daher empfohlen. Scan for potentially unwanted programs und Scan for enhanced set of Potentially Unwandet Programs: Diese Optionen suchen zusätzlich nach Schadsoftware im erweiterten Sinne, die sich in bestimmten Bereichen Administratorrechte verschaffen will. Dies betrifft z.B. Sniffer oder ohne Wissen des Users installierte FTP-Server und IRC-Clients. Es wird empfohlen, diese beiden Optionen zu aktivieren. Scan cookies: Bei Aktivierung dieser Option werden auch http-Cookies untersucht, was nicht zwingend notwendig ist. Recognize hidden extensions: Mit dieser Option werden auch versteckte Dateiendungen wie Beispiel.doc.exe erkannt, die Aktivierung macht daher durchaus Sinn. Report documents with macros: Besteht der Verdacht, das System könnte mit Makroviren befallen sein, macht die Aktivierung dieser Option Sinn. Hierdurch werden Dokumente mit Makros dem Prüfbericht hinzugefügt. Enable paranoid mode: Aktiviert eine noch sorgfältigere Überprüfung, die jedoch deutlich mehr Systemressourcen erfordert. Die Prüfung dauert daher deutlich länger, ist aber auch noch gründlicher als der Standard-Scan. Ob dies wirklich notwendig ist, hängt vom Einzelfall ab. 7 Scan boot sector: empfohlen wird. Es werden auch Boot-Sektoren durchsucht, was dringend Wenn Sie Ihre Einstellungen vorgenommen haben, wählen Sie <Select>. Der eigentliche Scanvorgang beginnt nun, Sie können ihn bei Bedarf mit <Cancel> unterbrechen. Während der Untersuchung sieht der Bildschirm wie folgt aus: Sofern keine Infektionen oder sonstigen Bedrohungen gefunden wurden, sieht der Bildschirm nach Abschluss des Vorgangs so aus (alle Zähler mit Ausnahme von „Files scanned“ zeigen 0): 8 Verlassen Sie diese Ansicht mit <Continue>, wodurch sie wieder das Hauptmenü erreichen. Sie können nun die Scanoptionen verändern und erneut scannen oder die Benutzung der Notfall-CD durch den Menüpunkt <Shutdown> beenden, woraufhin Sie zwischen <Shutdown> (System herunterfahren) oder <Restart> (System neu starten) wählen können. Wurden dagegen Infektionen gefunden, werden diese nach folgendem Schema dargestellt: 9 Also im obigen Beispiel: Die Datei whackamole.exe enthält ein Trojanisches Pferd vom Typ Backdoor.Netbus. Verlassen Sie diese Ansicht mit <Continue>. Sie gelangen nun in die Ansicht, wie mit den gefundenen Infektionen verfahren werden soll: Im obigen Beispiel wurde nur eine Infektion gefunden. Handelt es sich um mehrere, so können diese auf die gewohnte Weise mittels der Leertaste markiert werden [*] oder mittels <Select All> alle markiert werden. Dann wählen Sie <Action>. Im nächsten Dialog können Sie für die soeben gewählten Infektionen zwischen den folgenden Alternativen wählen: <Protect>: Es wird zunächst versucht, die Datei(en) von der Infektion zu befreien, ohne sie zu löschen. Gelingt dies nicht, wird die Löschung vorgenommen. 10 <Rename>: Die Datei wird umbenannt, aber die Infektion wird nicht aus der Datei gelöscht. <Ignore>: Es wird nichts unternommen, die Infektion bleibt in diesem Fall unverändert bestehen! <Report File>: Zeigt erneut einen Bericht über den Scanvorgang an. In dieser Anleitung wird davon ausgegangen, dass die infizierte Datei geheilt bzw. gelöscht werden soll. Wählen Sie also <Protect> an und dann <Select>. Die erfolgreiche Heilung wird durch diese Meldung bestätigt: Sollte dagegen eine Fehlermeldung erscheinen, dass die Datei nicht gelöscht, geheilt oder umbenannt werden konnte, so ist davon auszugehen, dass die Infektion weiterhin besteht und mit dieser Notfall-CD nicht erfolgreich bekämpft werden konnte. Bestätigen Sie eventuelle weitere Meldungen und kehren Sie mittels <Return> in das Hauptmenü der Notfall-CD zurück. Sie können die Benutzung der Notfall-CD durch den Menüpunkt <Shutdown> beenden, woraufhin Sie zwischen <Shutdown> (System herunterfahren) oder <Restart> (System neu starten) wählen können. 11 2.2. Problembehebung beim Update Wechseln Sie in das Menü zur Netzwerkkonfiguration, sofern noch nicht geschehen. Wählen Sie dazu im Hauptmenü der Notfall-CD den Punkt <Advanced> und danach <Network>: Bestätigen Sie <Interface> mit <Select>. Im nächsten Dialog erhalten Sie eine Übersicht über alle verfügbaren Netzwerkadapter; falls mehrere vorhanden sind, wählen Sie einen Netzwerkadapter mit Zugang zum öffentlichen Netzwerk. Im nachfolgenden Beispiel ist nur ein Netzwerkadapter im System zu finden. Die gewählte Option wird mit (*) markiert. Quittieren Sie das Dialogfeld mit <Select>. Im nächsten Dialog können Sie wählen, ob die Netzwerkkonfiguration per DHCP bezogen oder manuell (statisch) eingestellt werden soll. Versuchen Sie zunächst die bereits voreingestellte Variante <DHCP – Automatic network configuration>, indem Sie mit <Select> bestätigen. Erfolgt die Meldung „eth0 configured. Internet connection test successful.“, wurde die Konfiguration vorgenommen und die Internetverbindung erfolgreich getestet. Quittieren Sie diese mit <Continue>, woraufhin Sie mit der Verwendung der Notfall-CD in Kapitel 2.1 fortfahren können, indem Sie mit <Return> in das Hauptmenü zurückkehren. 12 Erscheinen dagegen eine Fehlermeldung, so ist keine Konfiguration per DHCP möglich. Versuchen Sie dann die manuelle Einstellung, indem Sie die Meldung mit <Continue> bestätigen und im Dialog Network Configuration zum Eintrag <Static – Manual network configuration> wechseln. Beachten Sie auch hier, dass Ihre Auswahl erst übernommen wird, wenn Sie sie mit der Leertaste bestätigen. Quittieren Sie nun mit <Select>. Im nächsten Dialog „Network Static Configuration“ können Sie IP-Adresse, Netzmaske, Standardgateway und DNS-Server eintragen, die auf das zu prüfende System zutreffen; diese Angaben können Sie bei Ihrem Administrator oder Netzwerkansprechpartner erfragen. Nach Abschluss der Eingaben wechseln Sie mit der Tabulator-Taste in den unteren Bereich des Dialogfeldes und bestätigen mit <Select>. Die nachfolgenden Schritte entsprechen den bereits oben geschilderten. Es wird erneut die Internetverbindung getestet; verläuft der Test erfolgreich, können Sie mit der Verwendung der Notfall-CD fortfahren, indem Sie in das Hauptmenü zurückkehren. Folgen Sie dann wieder den Ausführungen in Kapitel 2.1. Verläuft der Test immer noch nicht erfolgreich, nehmen Sie ein Update per USB-Stick vor: Halten Sie dazu einen USB-Stick mit mindestens 150 MB freiem Speicherplatz bereit, der frei von Malware ist; lassen Sie ihn im Zweifelsfall vom Virenscanner eines nicht-infizierten Systems überprüfen. Sie finden die zum USB-Update notwendige bin-Datei unter \\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\01-AVG-Notfall-CD\ Kopieren Sie diese in das Hauptverzeichnis des USB-Sticks. Der Dateiname sollte ähnlich wie u16iavi13094yh.bin lauten. Alternativ können Sie von einem vertrauenswürdigen PC aus den AVG-Downloadbereich zur Rescue CD unter http://www.avg.com/de-de/download.prd-arl besuchen. Suchen Sie in der Rubrik Updates den Eintrag Virendefinitionen. Laden Sie die zugehörige Datei herunter und speichern Sie sie im Hauptverzeichnis des USB-Sticks. Werfen Sie danach den USB-Stick aus und stecken Sie ihn in einen freien USB-Port des zu untersuchenden Systems. Warten Sie einige Sekunden, bis das System die neue Hardware erkannt hat, und wählen Sie im Hauptmenü der Notfall-CD den Menüpunkt <Mount>, um 13 eine erneute Erkennung der angeschlossenen Laufwerke auszulösen. Sie sollten kurz die folgende Meldung sehen: Wählen Sie im Hauptmenü der Notfall-CD den Eintrag <Update> und im nächsten Dialog den Eintrag <Offline>. Sie erhalten eine Ansicht aller erkannten Laufwerke und Partitionen; wählen Sie den USB-Stick aus. Beachten Sie, dass Ihre Auswahl nur übernommen wird, wenn Sie sie mit der Leertaste bestätigen! Sie erkennen dies daran, dass der Eintrag des USB-Sticks mit einem Stern (*) markiert wird. Verlassen Sie den Dialog nun mit <Select>. Es wird nun ein Hilfetext für den nächsten Dialog angezeigt. Quittieren Sie diesen mit <Continue>. In der nächsten Ansicht müssen Sie das Verzeichnis auswählen, in das Sie die *.bin-Datei kopiert haben. Wenn Sie (wie oben beschrieben) das Hauptverzeichnis verwendet haben, müssen Sie hier nur mit <Select> bestätigen. Ansonsten wählen Sie durch Verwendung der Tasten <> und <> das korrekte Verzeichnis aus und bestätigen dann. 14 Der erfolgreiche Abschluss des Updates wird anschließend durch die Meldung „Update was successfully completed.“ angezeigt. Sie können dann mit <Continue> bestätigen und mit der Verwendung der Notfall-CD in Kapitel 2.1 fortfahren. Erhalten Sie dagegen eine Fehlermeldung, so wurde vermutlich ein Verzeichnis ausgewählt, welches nicht die Update-Datei enthielt. Beheben Sie das Problem, indem Sie das USBUpdate mit der korrekten Verzeichnisangabe wiederholen. 2.3. Erzeugen eines bootfähigen USB-Sticks mit der AVG Rescue CD Besuchen Sie von einem vertrauenswürdigen PC aus den AVG-Downloadbereich zur Rescue CD unter http://www.avg.com/de-de/download.prd-arl und laden Sie die Datei unter dem Eintrag „Rescue CD (for USB sticks)“ herunter. Öffnen Sie die gepackte Datei (Typ ZIP) und entpacken Sie den gesamten Inhalt in ein beliebiges Verzeichnis. Stecken Sie außerdem den zu verwendenden USB-Stick mit mindestens 2GB freiem Speicherplatz ein. Führen Sie jetzt aus dem entpackten Verzeichnis die Datei setup.exe aus. Eine eventuelle Sicherheitswarnung, dass der Herausgeber der Software nicht verifiziert werden konnte, können Sie mit <Ausführen> bestätigen. Es erscheint der folgende Dialog: 15 In dem Dropdown-Feld werden alle im System vorhandenen USB-Sticks aufgeführt, falls mehrere vorhanden sein sollten. Wählen Sie den Richtigen aus (im Beispiel oben das Laufwerk G: mit der Datenträgerbezeichnung USB-Stick, dem Dateisystem FAT und 2022MB freiem Speicherplatz). Klicken Sie danach auf <Install>. Die Applikation kopiert nun alle benötigten Dateien auf den USB-Stick und macht ihn bootfähig. Der Kopiervorgang kann einige Minuten dauern; eventuelle Meldungen, die Anwendung reagiere nicht mehr, können ignoriert werden. Erscheint die folgende Meldung, so wurde der Vorgang erfolgreich abgeschlossen: Bestätigen Sie die Meldung mit <OK> und danach ggfs. die weitere Meldung, dass das Programm nicht richtig installiert wurde, mit <Das Programm wurde richtig installiert.>. Sie können den USB-Stick nun auswerfen, mit diesem das zu untersuchende System booten und mit der Verwendung der Notfall-CD unter Kapitel 2.1 fortfahren. 16 3. Verwendung von Avira Rescue System 3.1. Normale Verwendung Sie finden ein tagesaktuelles ISO-Image von Avira Rescue System auf dem PCSRV unter \\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\02-Avira-Notfall-CD\ Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser. Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig <F8> bzw. die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige Laufwerk aus und bestätigen Sie mit <Return>. Es erscheint der Bootdialog der Notfall-CD. Sie können (wenn gewünscht) mit der Pfeiltaste <> und <Return> auf deutsche Sprache umschalten, siehe linke untere Bildschirmecke. Drücken Sie erneut <Return>, um Avira Rescue System zu starten. 17 Alternativ können Sie mit den anderen Menüpunkten auch eine Überprüfung der Avira-CD (<CD/DVD auf Fehler prüfen>) bzw. des Hauptspeichers (<Arbeitsspeicher testen>) vornehmen oder das System normal booten (<Von der ersten Festplatte booten>), also ohne Verwendung von Avira Rescue System. Sollte es im weiteren Verlauf zu Problemen mit der Bildschirmanzeige o.ä. kommen, stehen fortgeschrittenen Benutzern mittels <F6> verschiedene Bootoptionen zur Verfügung, die je nach verwendeter Hardware bessere Resultate erbringen können. Warten Sie, bis die Notfall-CD alle benötigten Dateien und Einstellungen geladen hat. Dies kann einige Minuten dauern, insbesondere auf virtuellen Maschinen. Bestätigen Sie zunächst die Lizenzvereinbarung mit <Akzeptieren>. Es erscheint die Hauptoberfläche von Avira Rescue System: 18 Avira Rescue System arbeitet weitgehend selbständig, klicken Sie zum Start auf <Assistent starten>. 19 Sie können nun die zu untersuchende Partition auswählen; es werden alle blau hinterlegten durchsucht. Sie wählen Partitionen zu oder ab, indem Sie die Taste <Strg> gedrückt halten und die gewünschte Partition anklicken. Im Beispiel oben wird nur die Partition C: durchsucht. Grundsätzlich sollten Sie alle Partitionen durchsuchen lassen, die im Verdacht einer Infektion stehen. Sind Sie unsicher, welche dies sind, so lassen Sie alle vorhandenen Partitionen durchsuchen. Bootfähige Partitionen sollten auf jeden Fall durchsucht werden! Klicken Sie auf <Weiter>. Daraufhin versucht der Assistent selbständig ein Update der Virusmusterdefinitionen, erkennbar an der Ausgabe „Erkennung wird aktualisiert…“. Verläuft das Update erfolgreich, fährt der Assistent mit der eigentlichen Untersuchung fort, erkennbar an der Ausgabe „Ihr System wird überprüft…“. 20 Wenn das Update dagegen fehlschlägt, wird die Meldung ausgegeben, dass Sie nicht mit dem Netzwerk verbunden sind. Folgen Sie dann der Anleitung in Kapitel 3.2, um die Problembehebung für Updates zu durchlaufen. Wurde die Untersuchung erfolgreich abgeschlossen, ohne Malware o.ä. zu finden, erscheint der folgende Bildschirm (Funde: zeigt den Wert 0): 21 Mit einem Klick auf <Weiter> gelangen Sie zu einer Ergebniszusammenfassung: 22 Mit einem Klick auf <Bericht> erhalten Sie noch einen ausführlicheren Überblick über die Untersuchung und den Update-Vorgang. Mit <Erneut prüfen> können Sie die Untersuchung erneut durchführen; <Herunterfahren> und <Neu starten> beenden die Benutzung der Notfall-CD entsprechend. Wird dagegen während der Untersuchung eine Infektion mit Malware etc. gefunden, wird unter Funde: die Anzahl der gefundenen Objekte angezeigt, im folgenden Beispiel ein Objekt: Mit einem Klick auf <Weiter> gelangen Sie zur Ergebniszusammenfassung, die in diesem Beispiel aussagt, dass eine Infektion gefunden und die betroffene Datei umbenannt wurde. 23 Mit einem Klick auf <Bericht> erhalten sie ausführlichere Informationen; scrollen Sie bis zum Ende des Berichts, Sie finden im Bereich Details Angaben zur gefundenen Infektion. 24 Unter Fund: sind Pfad und Dateiname der betroffenen Datei aufgeführt. Virus Typ: besagt in diesem Fall, dass es sich um ein trojanisches Pferd handelt, hinter Virus Name: ist dessen genaue Bezeichnung zu finden sowie die Information, dass die Datei umbenannt wurde. Mit einem Klick auf <Speichern> können Sie bei Bedarf den Bericht auf einem der vorhandenen Laufwerke abspeichern. Ist Ihre Arbeit mit dem Avira Rescue System beendet, klicken Sie oben rechts auf die Schaltfläche und wählen Sie <Herunterfahren…>. 3.2. Problembehebung beim Update Klicken Sie in der rechten oberen Bildschirmecke auf die Schaltfläche aufklappenden Menü den Punkt <Verbindungen bearbeiten…>. . Wählen Sie im Wählen Sie, je nachdem welcher der beiden Punkte in Ihrem Fall zutrifft, entweder im Reiter Kabelgebunden den Eintrag <Kabelnetzwerkverbindung 1> oder im Reiter Funknetzwerk den Eintrag <Funknetzwerkverbindung 1> aus. Diese Anleitung bezieht sich auf den Fall, dass eine kabelgebundene Netzwerkverbindung benutzt wird; bei drahtlosen Verbindungen ist das Vorgehen entsprechend. Wählen Sie in jedem Fall eine Netzwerkverbindung mit Zugang zum öffentlichen Netzwerk aus. Klicken Sie auf <Bearbeiten…>. 25 Sie sehen im Feld <MAC-Adresse des Gerätes> die Hardware-Adresse des gewählten Adapters. Prüfen Sie zunächst durch einen Abgleich dieser Adresse, ob der korrekte Adapter gewählt wurde. Wenn nicht, schließen Sie das Dialogfenster mit <Abbrechen> und wählen Sie eine andere Verbindung aus, sofern vorhanden. Wurde ein Netzwerkadapter nicht korrekt erkannt, können Sie eine manuelle Eintragung versuchen. Klicken Sie dazu auf <Hinzufügen> und tragen Sie im nächsten Dialog die korrekte MAC-Adresse des Adapters ein. Achten Sie darauf, dass die Checkbox <Automatisch verbinden> aktiviert ist. Tragen Sie dann im Reiter IPv4-Einstellungen die IP-Konfiguration ein, wie es im Folgenden beschrieben wird. Ist der korrekte Adapter gewählt, prüfen Sie im Reiter IPv4-Einstellungen die aktuelle IP-Konfiguration. Voreingestellt sollte Automatisch (DHCP) unter Methode sein; ändern Sie den Wert auf Manuell. 26 Wählen Sie im Bereich Adressen die Schaltfläche <Hinzufügen> und tragen Sie nach dem im Bild gezeigten Schema die Werte für <Adresse>, <Netzmaske>, <Gateway> und <DNS-Server> des Systems ein, Sie können diese Daten bei Ihrem Administrator oder Netzwerkansprechpartner erfragen. Wählen Sie dann <Speichern…> und versuchen Sie erneut die Ausführung des Assistenten wie in Kapitel 3.1 beschrieben. Bei der Verwendung eines drahtlosen Netzwerkadapters ist das Vorgehen entsprechend, Sie benötigen jedoch zusätzlich noch die SSID des zu verwendenden Netzwerks. Tragen Sie die SSID des Netzwerkes ein, für das Ihr System angemeldet ist. Fortgeschrittenen Nutzern steht noch die Möglichkeit zur Verfügung, im linken Bildschirmbereich durch Klick auf die Schaltfläche eine Shell zu öffnen. Außerdem können durch Klick auf die Schaltfläche die Systemeinstellungen geöffnet werden, die weitere Konfigurationsmöglichkeiten bieten. 27 4. Verwendung der Kaspersky Rescue Disk 10 Sie finden ein ISO-Image der Kaspersky Rescue Disk 10 auf dem PCSRV unter \\pcsrv.zam.kfa-juelich.de\public\Notfall-CDs\03-Kaspersky-Rescue-CD-10 welches in regelmäßigen Abständen aktualisiert wird (was jedoch nicht das tagesaktuelle Updaten der Virensignaturen ersetzt!). Brennen Sie dieses mittels entsprechender Software als bootfähige CD. Legen Sie diese CD in das CD-/DVD-Laufwerk des betroffenen Systems ein und booten Sie von dieser. Deklarieren Sie dazu das CD-/DVD-Laufwerk im BIOS als primäres Bootmedium oder drücken Sie vor dem Bootvorgang rechtzeitig <F8> bzw. die entsprechende Tastenkombination Ihres Bootloaders, so dass Sie den Dialog zur Auswahl des Bootmediums erhalten. Wählen Sie das richtige Laufwerk aus und bestätigen Sie mit <Return>. Alternativ können fortgeschrittene Benutzer die Rescue Disk 10 auch auf einem USB-Stick installieren, was jedoch mit zusätzlichem Aufwand verbunden ist. Eine ausführliche Anleitung dazu finden Sie unter http://support.kaspersky.com/de/4120 Es erscheint der Begrüßungsbildschirm der Rescue Disk 10. Drücken Sie eine beliebige Taste um fortzufahren; nach einer Wartezeit von 10 Sekunden ohne Tastendruck bricht die NotfallCD ab, wodurch der normale Bootvorgang des Systems gestartet würde. 28 In nächsten Bildschirm können Sie die gewünschte Sprache mit den Tasten <> und <> auswählen und mit <Return> bestätigen. Für diese Kurzanleitung wurde die deutsche Sprache gewählt. Nun wird der EndnutzerLizenzvertrag der Notfall-CD angezeigt, welchen Sie mit <1> bestätigen können. Es erscheint ein weiteres Menü, in dem Sie durch Anwahl der entsprechenden Punkte die Rescue Disk 10 im Grafikmodus (<Kaspersky Rescue Disk. Grafikmodus>) oder im Textmodus (<Kaspersky Rescue Disk. Textmodus>) starten können. 29 Außerdem können Sie Sich durch Anwahl des Eintrags <Hardwareinformation> Informationen zur erkannten Hardware anzeigen lassen, wodurch allerdings ein Neustart notwendig wird. Die weiteren Menüpunkte erlauben es, die Rescue Disk 10 zu verlassen und den normalen Bootvorgang des Systems zu veranlassen (<Betriebssystem starten>) , einen Neustart einzuleiten (<Computer neu starten>) und das System auszuschalten (<Computer ausschalten>). Starten Sie die Rescue Disk 10 zunächst im Grafikmodus, indem Sie den entsprechenden Menüpunkt mit <Return> bestätigen. Es wird nun die eigentliche Rescue Disk 10 gebootet, was insbesondere auf virtuellen Maschinen durchaus mit einer Wartezeit von einigen Minuten verbunden sein kann. Sollte Ihr System jedoch auch nach längerer Zeit keine Reaktion mehr zeigen, so ist es mit dem Grafikmodus nicht kompatibel und muss neu gestartet werden. Fahren Sie in diesem Fall mit der Anleitung zum Textmodus in Kapitel 4.2 fort oder verwenden Sie eine andere Notfall-CD. Andernfalls folgen Sie den nachfolgenden Erläuterungen zum Grafikmodus in 4.1. 4.1. Der Grafikmodus der Rescue Disk 10 Es erscheint die eigentliche Benutzeroberfläche, auf der zunächst noch Hinweise auf das Mounten der erkannten Partitionen sowie die Einrichtung der Netzwerkanbindung eingeblendet werden. Nach Abschluss des Startvorgangs sieht der Bildschirm wie folgt aus: 30 Eine eventuelle Meldung, die Datenbanken seien stark veraltet, können Sie einfach schließen. Um ein Online-Update durchzuführen wechseln Sie in den Reiter <Update> und klicken auf den Button <Update ausführen>. Warten Sie, bis der Update-Vorgang vollständig abgeschlossen wurde. Wurde der UpdateVorgang korrekt durchgeführt, so wird im Feld „Datenbank-Status“ „aktuell“ angezeigt und im Feld „Datenbanken vom:“ eine aktuelle Datumsangabe. 31 Wurde der Update-Vorgang nicht korrekt ausgeführt, schauen Sie in Kapitel 6-Troubleshooting nach und starten Sie die Notfall-CD neu, damit die Netzwerkerkennung erneut durchgeführt wird. Fortgeschrittene Nutzer können links unten im Kaspersky-Startmenü den Eintrag <Terminal> wählen und eine manuelle Netzwerk-Konfiguration vornehmen. Um die eigentliche Untersuchung durchzuführen, wählen Sie im Reiter <Untersuchung von Objekten> im unteren Bereich alle Partitionen aus, die geprüft werden sollen. Sie sollten hier alle Partitionen angeben, die befallen sein könnten; sind Sie nicht sicher, welche dies sind, wählen Sie alle aufgeführten Einträge aus. Bootfähige Partitionen sollten auf jeden Fall eingebunden werden. Wählen Sie auch den Eintrag <Laufwerksbootsektoren> aus. Sollen nur einzelne Ordner untersucht werden, können Sie diese nach Klick auf die Schaltfläche <Hinzufügen> auswählen. 32 Nun kann die Untersuchung durch einen Klick auf den Button <Untersuchung von Objekten starten> gestartet werden. Soll sie wieder unterbrochen werden, ist dies mittels des Buttons <Untersuchung von Objekten abbrechen> möglich. 33 Wird die Suche ohne Malware-Funde abgeschlossen, kehrt die Rescue Disk 10 nach Abschluss der Suche ohne weitere Meldung wieder in die Hauptansicht zurück. Wird Malware gefunden, zeigt Kaspersky dies mit Dialogboxen wie im folgenden Beispiel an: 34 Unter „Objekt“ wird der Pfad zur gefundenen Datei angegeben, darunter der Name der Bedrohung (im Beispiel hier Backdoor.Win32.Netbus.160.a). Im Bereich darunter können Sie wählen, wie mit der Bedrohung verfahren werden soll: Ist eine Desinfektion möglich, können Sie den obersten Menüpunkt anwählen, woraufhin Kaspersky eine Reparatur der befallenen Datei versucht. Sie werden darüber informiert, ob der Reparaturversuch erfolgreich war oder nicht. Im obigen Beispiel ist eine Reparatur nicht möglich, weswegen der Punkt mit Desinfektion ist nicht möglich bezeichnet und ausgeblendet ist. Sie haben in diesem Fall die Wahl zwischen <Löschen (empfohlen)>, um die betroffene Datei zu löschen, und <Überspringen>, um zunächst keine Aktion durchzuführen. Beachten Sie, dass nach dem Löschen von Systemdateien das Betriebssystem evtl. nicht mehr startfähig ist! War die Löschung erfolgreich, erhalten Sie hierüber eine Meldung sowie den Hinweis, dass eine Sicherungskopie der gelöschten Datei erzeugt wurde. Ganz unten in der Dialogbox finden Sie noch eine Checkbox <Auf alle Objekte anwenden>, um die getroffene Entscheidung auf weitere Funde auszudehnen und nicht mehr von Kaspersky gefragt zu werden. Befinden Sie sich wieder in der Hauptansicht der Notfall-CD, können Sie durch Klick auf den Button <Bericht> im oberen Bereich eine Übersicht über die erkannten Bedrohungen anzeigen lassen. 35 Schließlich sei noch die Möglichkeit erwähnt, einen Dateiexplorer zu öffnen, indem im Kaspersky-Startmenü der Eintrag <Dateimanager> angewählt wird. Dies bietet beispielsweise die Möglichkeit, die Rettung wichtiger Dateien durch Umkopieren auf vertrauenswürdige Medien zu versuchen. Beachten Sie bei der Übertragung jedoch, dass hierdurch die Möglichkeit einer Infektion des nächsten Systems besteht, wenn es sich um befallene Dateien handeln sollte! Verlassen Sie nach Abschluss der Arbeiten die Notfall-CD, indem Sie im Startmenü den Punkt <Herunterfahren> anwählen und die anschließende Meldung mit <Ja> quittieren. 4.2. Der Textmodus der Rescue Disk 10 Wählen Sie im Menü den Eintrag <Kaspersky Rescue Disk. Textmodus> an und bestätigen Sie mit <Return>. Es wird nun die Rescue Disk 10 gebootet, was insbesondere auf virtuellen Maschinen durchaus mit einer Wartezeit von einigen Minuten verbunden sein kann. Sollte Ihr System jedoch auch nach längerer Zeit keine Reaktion mehr zeigen, so ist es mit der Rescue Disk 10 nicht kompatibel und muss neu gestartet werden. Fahren Sie in diesem Fall mit der Verwendung einer anderen Notfall-CD fort. 36 Es erscheint das Benutzermenü der Notfall-CD. Je nach Anzahl der im System vorhandenen Festplatten kann sich die Anzeige leicht vom Bild unten unterscheiden. Zunächst sollten Sie ein Update der Virusmuster durchführen. Wählen Sie dazu mit den Tasten <> und <> den Menüpunkt <Update ausführen> an und bestätigen Sie mit <Return>. Die Ansicht wechselt wie folgt, sofern erfolgreich eine Verbindung zum öffentlichen Netzwerk aufgebaut werden konnte: Der Update-Vorgang war erfolgreich, wenn diese Ansicht mit der Meldung „Update completed“ abschließt und zur Hauptansicht zurückkehrt. Sie können dann mit der Verwendung der Notfall-CD weiter unten fortfahren. War der Update-Vorgang nicht erfolgreich, erhalten Sie verschiedene Timeout-Meldungen o.ä. Versuchen Sie in diesem Fall eine manuelle Netzwerkkonfiguration: Wählen Sie den Menüpunkt <Netzwerk konfigurieren> an und bestätigen Sie mit <OK>. Wählen Sie in der nächsten Ansicht den Punkt <Netzwerkadapter konfigurieren> an und bestätigen Sie wieder mit <OK>. 37 In der nächsten Ansicht erhalten Sie eine Übersicht über alle erkannten Netzwerkadapter. Wählen Sie einen Netzwerkadapter, der eine Anbindung an das öffentliche Netzwerk erlaubt (siehe Kapitel 6-Troubleshooting), mit den Tasten <> und <> aus und bestätigen Sie Ihre Auswahl mit der Leertaste. Vor dem gewählten Adapter erscheint nun ein Stern (*). Quittieren Sie diesen Dialog mit <OK>. (Im nachfolgenden Beispiel ist nur ein Netzwerkadapter vorhanden.) In der nächsten Ansicht werden Ihnen Details zum gewählten Netzwerkadapter angezeigt. Handelt es sich um den richtigen Adapter, können Sie einfach mit <Return> bestätigen. Andernfalls Wählen Sie <Nein>, um die Auswahl erneut vornehmen zu können. Im nächsten Dialog wählen Sie, ob DHCP oder eine manuelle Konfiguration verwendet werden soll. Versuchen Sie zunächst die Konfiguration per DHCP, indem Sie den bereits voreingestellten Menüpunkt dhcp mit <OK> bestätigen. War die Konfiguration per DHCP erfolgreich, so erscheint die Meldung „Der Netzwerkadapter […] wurde erfolgreich konfiguriert“ und Sie kommen zurück zum Hauptmenü. Sie können nun mit der Verwendung der Notfall-CD weiter unten fortfahren. 38 Erscheint dagegen die unten abgebildete Meldung, war die Konfiguration per DHCP nicht erfolgreich: Sie sind nun wieder im Hauptmenü. Wählen Sie erneut <Netzwerk konfigurieren> an und wählen Sie auf die oben beschriebene Weise erneut einen Netzwerkadapter aus. Findet sich kein Netzwerkadapter, bei dem eine Konfiguration per DHCP möglich ist, versuchen Sie eine manuelle Konfiguration. Wählen Sie auf die bekannte Weise einen Adapter aus und wählen Sie im Dialog „TCP/IP-Einrichtung“ (siehe oben) den Punkt <Manuell einrichten> an, bestätigen Sie in mit der Leertaste und quittieren Sie mit <OK>. Im nächsten Dialog können Sie IP-Adresse, Netzwerkmaske, Broadcastadresse, Standardgateway und DNS-Server eintragen, die auf das zu prüfende System zutreffen; diese Angaben können Sie bei Ihrem Administrator oder Netzwerkansprechpartner erfragen. Nach Abschluss der Eingaben wechseln Sie mit der Tabulator-Taste in den unteren Bereich des Dialogfeldes und bestätigen mit <OK>. Sie sollten nun die nachfolgende Meldung erhalten. Wenn nicht, prüfen Sie ob im letzten Dialog fehlerhafte Angaben gemacht wurden; wiederholen Sie dann die Eingabe. Führen Sie nach erfolgreicher Netzwerkkonfiguration einen erneuten Update-Versuch durch. Verläuft dieser immer noch nicht erfolgreich, so sehen Sie in Kapitel 6-Troubleshooting nach. Natürlich können Sie die Notfall-CD auch ohne Update verwenden, aber die Wahrscheinlichkeit alle Infektionen zu entdecken ist damit stark reduziert. 39 Sie befinden Sich im Hauptmenü der Rescue Disk 10 und können mit der eigentlichen Verwendung fortfahren. Sie können nun unter den aufgeführten Menüpunkten wählen, ob Sie einzelne Partitionen oder alle vorhandenen Objekte untersuchen wollen (im Beispiel hier die Menüpunkte *03 und *04, da nur eine Partition vorhanden ist). Sie sollten alle Partitionen untersuchen lassen, die befallen sein könnten; sind Sie nicht sicher, welche dies sind, wählen Sie <Alle Objekte untersuchen> aus. Bootfähige Partitionen sollten auf jeden Fall untersucht werden. Bestätigen Sie Ihre Auswahl mit <Return>, woraufhin die Untersuchung startet. Der Bildschirm sieht währenddessen wie folgt aus: 40 Wurde eine Infektion gefunden, wird dies wie folgt angezeigt: Zunächst wird der Pfad zur infizierten Datei ausgegeben, im Beispiel hier C:/Dokumente und Einstellungen/Windows Sicherheit/D…/whackamole.exe. Nach dem Ausdruck detected folgt dann die Bezeichnung der Bedrohung, hier Backdoor.Win32.Netbus.160.a. Sie haben nun die Wahl, ob die infizierte Datei gelöscht werden soll (drücken Sie <L>) oder ob zunächst nichts unternommen werden soll (drücken Sie <S>). Im Fall der Löschung erhalten Sie den Hinweis, dass ein Backup der gelöschten Datei angelegt wurde. Beachten Sie, dass nach dem Löschen von Systemdateien das Betriebssystem evtl. nicht mehr startfähig ist! Nach Abschluss der Untersuchung erhalten Sie die Meldung „Completed“ und eine kurze Übersicht über die gefundenen Bedrohungen, bevor automatisch wieder das Hauptmenü sichtbar wird. Sie können nun das System ausschalten (<Computer ausschalten>), neu starten (<Computer neu starten>) oder in den Kommandozeilenbetrieb wechseln (<Konsole der Kaspersky Rescue Disk starten>), wobei Sie durch die Eingabe von help eine Übersicht über die verfügbaren Kommandos bekommen. 41 5. Troubleshooting Sollte die Internet-Verbindung unter den Notfall-CDs nicht korrekt funktionieren, überprüfen Sie bitte die nachfolgenden Punkte (deren aufgeführte Reihenfolge nicht verbindlich ist, hier muss vielmehr situationsabhängig entschieden werden): • Der verwendete Netzwerkadapter muss richtig gewählt werden, die Avira Antivir RescueCD und die Kaspersky Rescue-Disk im Grafikmodus wählen den Adapter automatisch, sofern in den Systemeinstellungen keine anderslautenden Konfigurationen vorgenommen werden. Eventuell werden einige WLAN-Adapter sowie USB-basierte Lösungen nicht korrekt erkannt; binden Sie das betroffene Gerät daher für die Dauer des Update-Vorgangs mittels einer internen Netzwerkkarte über einen kabelgebundenen Anschluss an, sofern möglich. Achten Sie bei fest integrierten Netzwerkadaptern darauf, dass diese im BIOS aktiviert sind. Achten Sie bei nachgerüsteten Netzwerkkarten darauf, dass der verwendete Slot/Anschluss im BIOS aktiviert ist. • Prüfen Sie, ob das System tatsächlich mit einem JuNet-Anschluss verbunden ist. Der Updatevorgang kann nur Erfolg haben, wenn der gewählte Netzwerkanschluss dem zu prüfenden System Zugang zum öffentlichen Netz bereitstellt. • Für die korrekte Funktion des Update-Vorgangs muss das betroffene System seine Netzwerk-Konfiguration vom DHCP-Server beziehen. Sollte das System aufgrund der Infektion für die JuNet-Nutzung gesperrt sein, ist ein Update-Vorgang daher nicht möglich. Halten Sie in diesem Fall Rücksprache mit der JuNet-Hotline unter der Durchwahl 6440. • Beachten Sie, dass die Verwendung von KVM-Switches bei der Anwendung der NotfallCDs zu Problemen mit der Bildschirmdarstellung führen kann. Binden Sie den PC in diesem Fall für die Dauer der Maßnahmen direkt an einen Monitor an. Führen auch diese Maßnahmen nicht zum Erfolg, wenden Sie Sich an Ihren ITAnsprechpartner, IT-Dienstleister oder die JuNet-Hotline 6440. Ein Fortfahren mit der Nutzung der verschiedenen Notfall-CDs ist zwar auch ohne Update möglich, jedoch ist die Wahrscheinlichkeit beschränkt, dass eventuelle Infektionen mit Malware erkannt und beseitigt werden können. Sollte ein Update trotz aller Versuche nicht möglich sein, achten Sie darauf, die aktuellen Versionen der Notfall-CDs herunterzuladen. 42