Das Säubern von infizierten Rechnern gehört nicht nur zur beruflichen Aufgabe von IT-Verantwortlichen, sondern steht meist auch an, wenn Verwandte besucht werden. Um auf Nummer sicher zu gehen, greifen Profis nicht zu den installierten Anti-Viren-Systemen, sondern setzen auf ein eigenes, bootfähiges System mit Säuberungsfunktion. Das gibt es beispielsweise vom Anti-Viren-Hersteller Kaspersky in Form der Kaspersky Rescue Disk 10. Anders als die bereits vorgestellte Lösung Windows Defender Offline von Microsoft setzt Kaspersky auf Gentoo Linux als Grundlage für das Sicherheitssystem.
Download: Kaspersky Rescue Disk
Die Rescue Disk wird von Kaspersky als ISO auf dieser Seite zum Download angeboten. Die Datei lässt sich anschließend mit einem regulären Brenn-Programm auf eine CD geschrieben werden. Im Alltag praktischer ist aber die Installation auf einem USB-Medium, nahezu jeder moderne PC kann von diesen Geräten aus starten. Um die Übertragung zu vereinfachen, liefert Kaspersky ein Tool namens rescue2usb.exe. Den Download gibt es auf dieser Seite. Zu beachten gilt, dass auf dem USB-Stick mindestens 256 MByte Speicher frei sein müssen, außerdem muss er im Datenformat FAT16 oder FAT32 formatiert werden. Alternativ lässt sich die Notfall-CD auch mit einem installierten Kaspersky Anti-Virus Programm erstellen.
Bootvorgang
Ist das Medium erstellt, wird der zu untersuchende Computer damit gestartet. Moderne BIOS-Systeme bieten dazu meist eine Tastenkombination an, über die sich temporär das Bootmedium von Festplatte auf USB-Medium oder CD-Laufwerk ändern lässt. Alternativ lässt sich die Reihenfolge im BIOS des jeweiligen Rechners umstellen.
Die Rescue Disk von Kaspersky bietet zunächst eine Sprachauswahl, anschließend lässt sich wahlweise im Textmodus oder mit einer grafischen Oberfläche starten. Beide Versionen bieten einen ähnlichen Funktionsumfang, die grafische Methode ist aber einfacher zu bedienen. In jedem Fall wird nach dem Auswahl der Option eine Endbenutzervereinbarung angezeigt, die man mit einem Druck auf die Taste "a" annehmen muss. Das System lädt eine große Anzahl von Modulen, der Boot-Vorgang kann also etwas Zeit in Anspruch nehmen.
Netzwerk, Updates, Säuberung
Eine sinnvolle Maßnahme nach dem Start ist das Update der Virensignaturen, wofür eine aktive Verbindung ins Internet notwendig ist. Diese einzurichten ist überraschend einfach. Das Rescue System unterstützte im Test nahezu alle Ethernet-Chips, egal ob diese in "echten" PCs oder in virtuellen Maschinen verbaut waren. Etwas komplizierter ist die Sache bei WLAN-Modulen. Hier wird nur ein Bruchteil unterstützt - so hatten wir Probleme mit einem Stick von AVM, ein Funkmodul mit Realtek RTL8187-Chipsatz wurde allerdings problemlos erkannt. Im Zweifel sollte man also zu einem Netzwerkkabel greifen.
Beide Adapter werden über den gleichen Dialog eingerichtet, diesen findet man über den Startknopf unten links und die Option "Netzwerk konfigurieren". Im Drop-Down-Menü werden anschließend alle erkannten Adapter angezeigt. Bei einem WLAN-Modul wird hierüber auch Verbindung mit dem Access Point hergestellt. Alternativ kann man beide Adaptertypen über das Terminal direkt einrichten. Notwendige Befehle wie ifconfig, dhclient, iwconfig und wpa-supplicant sind enthalten.
Ist die Internetverbindung aktiv, erfolgt das Update über das Hauptfenster des Programms "Kaspersky Rescue Disk". Dieses ähnelt der Windows-Version der Kaspersky-Software, bietet aber deutlich weniger Optionen. Ein Klick auf den Reiter "Update" und die Option "Update ausführen" startet die Aktualisierung der Datenbanken. War diese erfolgreich, ist es Zeit für den eigentlichen Scan. Das Update klappt übrigens auch mit einer CD, das Tool speichert die benötigten Daten auf der Windows-Festplatte im Verzeichnis "c:/Kaspersky Rescue Disc 10.0"
Scannen und Säubern
Die eigentliche Säuberung der potentiell verseuchten Systeme erledigt das Programm "Kaspersky Rescue Disk" aus dem Startmenü. Im Reiter "Untersuchung von Objekten" werden alle erkannten Laufwerke und dazu die Bootsektoren sowie die versteckten Objekte im Autostart gelistet. Ein Klick auf das jeweilige Auswahlfenster fügt ein Objekt zum Scan hinzu oder entfernt es von der Liste. Über den Button "Hinzufügen" am unteren Ende kann man auch einzelne Ordner statt der kompletten Laufwerke auf die Liste setzen. Der Scan startet mit einem Klick auf "Untersuchung von Objekten starten". Wie immer bei vollständigen Virenscans kann die Überprüfung einige Zeit in Anspruch nehmen.
Ist der Scan abgeschlossen, kann man wie bei der Windows-Variante einen kompletten Bericht einsehen, in dem alle gefundenen Bedrohungen aufgelistet sind. Gefundene Malware wird auf Wunsch gelöscht oder landet in einem Quarantänebereich.
Zusätzliche Funktionen und alternative Rescue CD
Kaspersky hat der Rescue Disk sinnvolle Features beigefügt: den Dateimanager, Webbrowser, Terminal und die Screenshot-Funktion. Über den Dateimanager kann man auch auf NTFS-Dateisysteme zugreifen - das ist praktisch, wenn man von einer verseuchten oder kaputten Windows-Installation wichtige Daten auf den USB-Stick retten möchte.
Der Browser hilft nicht nur beim Zeitvertreib während man auf das Scan-Ergebnis wartet, sondern dient auch als interaktive Hilfe bei der Konfiguration des zugrunde liegenden Gentoo Linux oder wenn es darum geht, einen besonders bösartigen Virus zu entfernen.
Das Terminal gehört zum Standardumfang jeder Linux-Installation und wurde zum Glück nicht entfernt oder gesperrt. Hierüber kann man meist deutlich schneller arbeiten oder Konfigurationen bearbeiten. Als Editor liegt der Rescue Disk übrigens nano bei. Eine Übersicht über die wichtigsten Befehle ist hier beim LinWiki hinterlegt.
Schließlich ist auch die Screenshot-Funktion praktisch. Diese nimmt stets den kompletten Bildschirm auf und speichert die Bilder auf der C:-Festplatte im Verzeichnis "Kaspersky Rescue Disk 10.0/Screenshots/", sprich man hat auch dann noch Zugriff darauf, wenn man längst wieder in das reguläre Windows gewechselt hat.
Neben der normalen Rescue Disk gibt es auch noch die so genannte WindowsUnlocker-Variante. Diese bringt ein zusätzliches Tool mit, welches gezielt auf so genannte Ransomware losgeht. Diese digitalen Schädlinge verstecken etwa alle Dateien auf dem PC und fordern vom Nutzer den Kauf und Eingabe eines Passwortes. Die Unlocker-Variante funktioniert analog zur normalen Rescue Disk, wird aber separat gepflegt und mit neuen Gegenmaßnahmen zu Ransomware-Programmen bestückt. Neben der automatischen WindowsUnlocker-Funktion bringt diese Version auch einen Editor für die Windows Registry mit, so dass sich erfahrene Nutzer selbst auf die Jagd nach den schädlichen Einträgen machen können.
Fazit
Die Rescue Disk von Kaspersky bietet einige Vorteile gegenüber dem Windows Defender Offline. So kann man beispielsweise auch auf das Dateisystem zugreifen und wichtige Daten zu retten. Außerdem ist ein Browser mit an Bord, mit dem man - ein Internetzugang vorausgesetzt - online recherchieren kann, wie sich spezielle Malware entfernen lässt. Für die Dokumentation ist die Screenshot-Funktion praktisch.
Dazu kommt, dass man mit der Rescue Disk die aktuellen Signaturen von Kaspersky bequem einpflegen kann, in Tests wie etwa denen von AV-Test schneiden die Kaspersky-Produkte regelmäßig gut ab. Praktisch ist auch die Unlocker-Variante der Rescue Disk, mit der man Ransomware schnell an den Kragen gehen kann.
Im Test zeigte sich die Notfall-CD von Kaspersky deutlich weniger wählerisch als beispielsweise der Windows Defender Offline. Die gleiche Rescue Disk konnte Windows 7 und Windows XP starten, bei Windows 7 auch wahlweise eine 32- oder 64-Bit-Variante. Auch hatten wir, anders als bei der Microsoft-Lösung, keine Probleme mit angeblich nicht existenten Festplatten. Es lohnt sich also, einen älteren USB-Stick für Notfälle mit der Rescue Disk zu bestücken und mit sich zu führen.
|
Version: |
10 |
|
Hersteller: |
Kaspersky |
|
Download Link: |
|
|
Sprache: |
Englisch, Deutsch |
|
Preis: |
Kostenlos |
|
System: |
Windows |
|
Alternativen: |
Rettungs-Systeme von AV-Herstellern |