Wenn Windows spinnt und Sie eine Trojanerinfektion vermuten, hilft unser Sicherheitstool Desinfec’t. Dabei kann es ab und an haken. Doch die meisten Probleme sind schnell gelöst.
Desinfec’t ist keine Windows-Anwendung, sondern ein eigenständiges Live-System, das von einem USB-Stick anstatt unter Windows startet. Dafür müssen Sie das System wie im Heft beschrieben auf einem Stick installieren und es dann davon starten. Dafür wählen Sie im BIOS-Bootmenü statt der Windows-Festplatte den Desinfec’t-Stick aus.
Der Einbau von WithSecure in Desinfec’t gestaltet sich leider recht schwierig. Aus lizenzrechtlichen Gründen kann der Scanner den Stick nur als Cache nutzen. Dies führt dazu, dass bei jedem Reboot eine Onlineverbindung und eine Lizenzprüfung nötig sind, bevor man den Scanner einsetzen kann. Außerdem werden aktualisierte Virensignaturen nicht dauerhaft auf einem Desinfec’t-Stick gespeichert und man muss die Signaturen nach jedem Neustart erneut aktualisieren. Das haben wir aber mittlerweile in den Griff bekommen. Auch das Scannen mit WithSecure funktioniert nun korrekt. Anfangs war der Scan aufgrund einer falschen Pfadangabe bereits nach wenigen Sekunden fertig, ohne überhaupt etwas zu untersuchen. Damit beides klappt, muss Desinfec’t mit dem p3-Update ausgestattet sein. Dessen Installation erfolgt automatisch, sobald das Sicherheitstool mit dem Internet verbunden ist. Ob es geklappt hat, können Sie auf dem Desktop im Statusfenster oben rechts ablesen. Steht dort "Desinfec’t p3", passt alles. Ist das nicht der Fall, müssen Sie das Update manuell anstoßen. Das klappt im Terminal mit sudo apt-get update und sudo apt-get -y dist-upgrade. Dabei greift das System ausschließlich auf unser und nicht auf das Ubuntu-Repository zu.
In diesem Fall funkt ein übereifriger Virenscanner dazwischen und versucht, den Stick vor möglichen "bösen" Schreibzugriffen zu schützen. Das ist im Fall der Desinfec’t-Installation natürlich Quatsch. Um den Stick zu erstellen, pausieren Sie bitte den Virenwächter für die Dauer der Installation. Vergessen Sie aber nicht, den Echtzeitschutz danach wieder zu aktivieren. In einigen Fällen haben auch Anwendungen von Acronis den Fehler ausgelöst. Halten Sie nach einem entsprechenden Symbol in der Taskleiste Ausschau und deaktivieren Sie die Anwendung temporär.
Das liegt mit sehr hoher Wahrscheinlichkeit an einem minderwertigen USB-Stick. Entweder ist er zu langsam oder sogar defekt. Das ist übrigens auch im Großteil der Fälle der Auslöser für Probleme im Betrieb. Versuchen Sie die Installation mal auf einem USB-3.0-Markenstick. Ein flinker Datenträger ist unumgänglich, da das Live-System direkt vom Stick läuft und vor allem während der Signaturupdates gigabyteweise Daten geschrieben werden.
Oft bereiten langsame oder defekte Sticks Probleme bei der Installation oder im Betrieb von Desinfec’t. Stellen Sie sicher, dass Sie einen flinken USB-3.0-Stick mit mindestens 16 GByte nutzen.
Das klingt so, als hätten Sie an Ihren PC zwei Monitore angeschlossen und einen nicht eingeschaltet. Offensichtlich stuft Desinfec’t den ausgeschalteten Bildschirm fälschlicherweise als primären Monitor ein und zeigt dort den vollständigen Desktop an. Ziehen Sie mal den Stecker vom zweiten Monitor und starten Sie das System neu. Dann sollte es klappen.
Aus lizenzrechtlichen Gründen müssen Sie den Scanner nachinstallieren und ihn mit einer von Ihnen erstellten Lizenz ausstatten. Die Implementierung ist allerdings noch im Beta-Stadium und die zugehörige Anleitung richtet sich an Linux-Bastler. Wir arbeiten derzeit daran, den Scanner komfortabler ins System zu integrieren, sodass er auch im Scan-Assistenten auftaucht.
Da Desinfec’t sich nach jedem Neustart in den Werkszustand zurückversetzt, können Sie Treiber nicht ohne Weiteres nachinstallieren. Wählen Sie im Desinfec’t-Bootmenü den alternativen Kernel 5.17 (wegen eines Fehlers steht in einigen Fällen 5.13 im Menü) aus und starten Sie das System damit. Der jüngere Kernel bringt noch weitere Treiber mit und im Test konnten wir damit mehr WLAN-Module ansprechen.
OTS ist die Abkürzung für Open Threat Scanner. Dabei handelt es sich um einen zusätzlichen Virenscanner, den Sie über die Verknüpfung auf dem Desktop starten. Der Scanner richtet sich an Profis und basiert auf Yara-Regeln. Das ist ein quelloffenes Framework, das unter anderem Erkennungsmuster für Trojaner enthält. Aktualisierte Regeln lädt Desinfec’t aus dem GitHub-Repository von Reversing Labs, die zeitnah neue Regeln für aktuelle Bedrohungen erstellen. Die Entwickler versprechen, dass ihre Regeln eine hohe Erkennungsquote aufweisen und wenige Fehlalarme auslösen.
Nein, der Stick ist nicht kaputt. Sie müssen ihn nur mit den richtigen Schritten löschen. Geben Sie unter Windows 10 im Suchfeld cmd ein und öffnen Sie die Eingabeaufforderung. Die folgenden Befehle bestätigen Sie mit der Eingabetaste. Mit diskpart rufen Sie das gleichnamige Kommandozeilenprogramm zur Festplattenpartitionierung auf. Geben Sie lis dis ein, um die am Computer angeschlossenen Laufwerke anzuzeigen. Mit sel dis ? wählen Sie den Stick mit Desinfec’t aus. Das ? steht für die Nummer des Sticks. Stellen Sie unbedingt sicher, dass Sie den korrekten Stick ausgewählt haben: Der nächste Schritt löscht alle Daten unwiderruflich. Nun tippen Sie den Befehl clean ein. Dann geben Sie cre par pri ein, um den Stick zu partitionieren. Anschließend formatieren Sie den Stick wie gewohnt. Dann steht er wieder mit seiner vollen Kapazität zur Verfügung.
Nein, Sie machen nichts falsch. Der Fehler liegt auf unserer Seite. Dabei handelt es sich um ein Überbleibsel aus einer Zeit, als Desinfec’t noch größer war. Sie können das System trotzdem auf einen herkömmlichen DVD-Rohling brennen: Mounten Sie das ISO unter Windows, damit es im Explorer auftaucht. Öffnen Sie es und brennen Sie die Datei desinfect-202200-amd64.iso auf eine DVD.
Kein Virenscanner ist perfekt und Fehlalarme können vorkommen. Um solche Funde besser einschätzen zu können, laden Sie die Datei über die Schaltfläche "VirusTotal" in der Ergebnisliste zum gleichnamigen Online-Analysedienst hoch. Dort schauen noch mal rund 70 Scanner auf die Datei und geben eine Einschätzung ab.
Um Fehlalarme zu vermeiden, laden Sie potenzielle Trojanerfunde bei VirusTotal hoch. Neben dem Ergebnis der Online-Scanner helfen auch Kommentare anderer Nutzer unter "Community" bei der Einschätzung.
Quelle: c‘t
Wie installiere ich Desinfec’t?
Ich habe das Sicherheitstool erfolgreich heruntergeladen. Nur wie installiere ich es unter Windows? Ich sehe gar keine Installationsdatei.Desinfec’t ist keine Windows-Anwendung, sondern ein eigenständiges Live-System, das von einem USB-Stick anstatt unter Windows startet. Dafür müssen Sie das System wie im Heft beschrieben auf einem Stick installieren und es dann davon starten. Dafür wählen Sie im BIOS-Bootmenü statt der Windows-Festplatte den Desinfec’t-Stick aus.
Probleme mit WithSecure
Desinfec’t 2022 läuft so weit sehr gut auf meinem Computer. Auch das Aktualisieren der Virensignaturen klappt, nur leider werden die Signaturen von WithSecure nach jedem Neustart des Systems wieder zurückgesetzt. Außerdem funktioniert das Scannen damit nicht und der Vorgang ist trotz meiner 500-GByte-Festplatte bereits nach wenigen Sekunden fertig. Da stimmt also etwas nicht. Ist der Scanner kaputt?Der Einbau von WithSecure in Desinfec’t gestaltet sich leider recht schwierig. Aus lizenzrechtlichen Gründen kann der Scanner den Stick nur als Cache nutzen. Dies führt dazu, dass bei jedem Reboot eine Onlineverbindung und eine Lizenzprüfung nötig sind, bevor man den Scanner einsetzen kann. Außerdem werden aktualisierte Virensignaturen nicht dauerhaft auf einem Desinfec’t-Stick gespeichert und man muss die Signaturen nach jedem Neustart erneut aktualisieren. Das haben wir aber mittlerweile in den Griff bekommen. Auch das Scannen mit WithSecure funktioniert nun korrekt. Anfangs war der Scan aufgrund einer falschen Pfadangabe bereits nach wenigen Sekunden fertig, ohne überhaupt etwas zu untersuchen. Damit beides klappt, muss Desinfec’t mit dem p3-Update ausgestattet sein. Dessen Installation erfolgt automatisch, sobald das Sicherheitstool mit dem Internet verbunden ist. Ob es geklappt hat, können Sie auf dem Desktop im Statusfenster oben rechts ablesen. Steht dort "Desinfec’t p3", passt alles. Ist das nicht der Fall, müssen Sie das Update manuell anstoßen. Das klappt im Terminal mit sudo apt-get update und sudo apt-get -y dist-upgrade. Dabei greift das System ausschließlich auf unser und nicht auf das Ubuntu-Repository zu.
Kann keinen Desinfec’t-Stick erstellen
Ich habe mich penibel an die Anleitung im Heft zum Erzeugen eines USB-Sticks gehalten, leider klappt es nicht. Der Vorgang bricht stets mit der Windows-Fehlermeldung "Error 5" ab. Was kann ich dagegen machen?In diesem Fall funkt ein übereifriger Virenscanner dazwischen und versucht, den Stick vor möglichen "bösen" Schreibzugriffen zu schützen. Das ist im Fall der Desinfec’t-Installation natürlich Quatsch. Um den Stick zu erstellen, pausieren Sie bitte den Virenwächter für die Dauer der Installation. Vergessen Sie aber nicht, den Echtzeitschutz danach wieder zu aktivieren. In einigen Fällen haben auch Anwendungen von Acronis den Fehler ausgelöst. Halten Sie nach einem entsprechenden Symbol in der Taskleiste Ausschau und deaktivieren Sie die Anwendung temporär.
Fehlerhafter Stick
Ein unter Windows erzeugter Desinfec’t-Stick startet problemlos. Wenn ich aber einen weiteren Stick aus dem laufenden Desinfec’t erstellen möchte, bricht die Installation am Ende mit der Fehlermeldung ab, dass die erzeugten Partitionen nicht gefunden wurden. Was mache ich falsch?Das liegt mit sehr hoher Wahrscheinlichkeit an einem minderwertigen USB-Stick. Entweder ist er zu langsam oder sogar defekt. Das ist übrigens auch im Großteil der Fälle der Auslöser für Probleme im Betrieb. Versuchen Sie die Installation mal auf einem USB-3.0-Markenstick. Ein flinker Datenträger ist unumgänglich, da das Live-System direkt vom Stick läuft und vor allem während der Signaturupdates gigabyteweise Daten geschrieben werden.
Du musst angemeldet sein, um Bilder zu sehen.
Oft bereiten langsame oder defekte Sticks Probleme bei der Installation oder im Betrieb von Desinfec’t. Stellen Sie sicher, dass Sie einen flinken USB-3.0-Stick mit mindestens 16 GByte nutzen.
Leerer Desktop
Ich habe Desinfec’t 2022 erfolgreich auf einem USB-Stick installiert und gestartet. Leider sehe ich nur einen leeren Desktop und kann mit dem System so nichts anfangen. Was läuft da schief?Das klingt so, als hätten Sie an Ihren PC zwei Monitore angeschlossen und einen nicht eingeschaltet. Offensichtlich stuft Desinfec’t den ausgeschalteten Bildschirm fälschlicherweise als primären Monitor ein und zeigt dort den vollständigen Desktop an. Ziehen Sie mal den Stecker vom zweiten Monitor und starten Sie das System neu. Dann sollte es klappen.
Wo ist der Microsoft Defender?
Ich habe gelesen, dass man neben ClamAV, Eset und WithSecure auch den Defender-Scanner von Microsoft nutzen kann. Nur finde ich den nirgendwo. Wie kann ich den Scanner nutzen?Aus lizenzrechtlichen Gründen müssen Sie den Scanner nachinstallieren und ihn mit einer von Ihnen erstellten Lizenz ausstatten. Die Implementierung ist allerdings noch im Beta-Stadium und die zugehörige Anleitung richtet sich an Linux-Bastler. Wir arbeiten derzeit daran, den Scanner komfortabler ins System zu integrieren, sodass er auch im Scan-Assistenten auftaucht.
Keine WLAN-Verbindung
Leider kann ich mich nicht kabellos mit dem Internet verbinden. Es sieht für mich so aus, als würde Desinfec’t mein WLAN-Modul gar nicht erkennen. Kann ich vielleicht einen WLAN-Treiber nachinstallieren?Da Desinfec’t sich nach jedem Neustart in den Werkszustand zurückversetzt, können Sie Treiber nicht ohne Weiteres nachinstallieren. Wählen Sie im Desinfec’t-Bootmenü den alternativen Kernel 5.17 (wegen eines Fehlers steht in einigen Fällen 5.13 im Menü) aus und starten Sie das System damit. Der jüngere Kernel bringt noch weitere Treiber mit und im Test konnten wir damit mehr WLAN-Module ansprechen.
Was ist OTS?
Im Kontext von Desinfec’t bin ich immer wieder über den Begriff OTS gestolpert. Was hat es damit auf sich?OTS ist die Abkürzung für Open Threat Scanner. Dabei handelt es sich um einen zusätzlichen Virenscanner, den Sie über die Verknüpfung auf dem Desktop starten. Der Scanner richtet sich an Profis und basiert auf Yara-Regeln. Das ist ein quelloffenes Framework, das unter anderem Erkennungsmuster für Trojaner enthält. Aktualisierte Regeln lädt Desinfec’t aus dem GitHub-Repository von Reversing Labs, die zeitnah neue Regeln für aktuelle Bedrohungen erstellen. Die Entwickler versprechen, dass ihre Regeln eine hohe Erkennungsquote aufweisen und wenige Fehlalarme auslösen.
USB-Stick löschen
Ich möchte meinen USB-Stick, auf dem gerade Desinfec’t installiert ist, wieder normal nutzen. Wenn ich ihn formatiere, fehlt aber ziemlich viel Speicherplatz. Ist der Stick kaputt?Nein, der Stick ist nicht kaputt. Sie müssen ihn nur mit den richtigen Schritten löschen. Geben Sie unter Windows 10 im Suchfeld cmd ein und öffnen Sie die Eingabeaufforderung. Die folgenden Befehle bestätigen Sie mit der Eingabetaste. Mit diskpart rufen Sie das gleichnamige Kommandozeilenprogramm zur Festplattenpartitionierung auf. Geben Sie lis dis ein, um die am Computer angeschlossenen Laufwerke anzuzeigen. Mit sel dis ? wählen Sie den Stick mit Desinfec’t aus. Das ? steht für die Nummer des Sticks. Stellen Sie unbedingt sicher, dass Sie den korrekten Stick ausgewählt haben: Der nächste Schritt löscht alle Daten unwiderruflich. Nun tippen Sie den Befehl clean ein. Dann geben Sie cre par pri ein, um den Stick zu partitionieren. Anschließend formatieren Sie den Stick wie gewohnt. Dann steht er wieder mit seiner vollen Kapazität zur Verfügung.
Auf DVD brennen
Ich würde Desinfec't gerne auf eine DVD brennen. Die ISO-Datei ist knapp 4,5 GByte groß und müsste eigentlich auf einen normalen DVD-Rohling mit 4,7 GByte Speicherplatz passen. Beim Brennen soll ich aber immer einen Dual-Layer-DVD-Rohling mit 8,5 GByte ins Laufwerk schieben. Mache ich etwas falsch?Nein, Sie machen nichts falsch. Der Fehler liegt auf unserer Seite. Dabei handelt es sich um ein Überbleibsel aus einer Zeit, als Desinfec’t noch größer war. Sie können das System trotzdem auf einen herkömmlichen DVD-Rohling brennen: Mounten Sie das ISO unter Windows, damit es im Explorer auftaucht. Öffnen Sie es und brennen Sie die Datei desinfect-202200-amd64.iso auf eine DVD.
Fehlalarme?
Bei einem Scan hat Eset mehrere Dateien als Trojaner eingestuft. Da nur Eset Alarm geschlagen hat, bin ich mir unsicher, ob die Dateien wirklich gefährlich sind. Können Sie mir bei der Einschätzung helfen?Kein Virenscanner ist perfekt und Fehlalarme können vorkommen. Um solche Funde besser einschätzen zu können, laden Sie die Datei über die Schaltfläche "VirusTotal" in der Ergebnisliste zum gleichnamigen Online-Analysedienst hoch. Dort schauen noch mal rund 70 Scanner auf die Datei und geben eine Einschätzung ab.
Du musst angemeldet sein, um Bilder zu sehen.
Um Fehlalarme zu vermeiden, laden Sie potenzielle Trojanerfunde bei VirusTotal hoch. Neben dem Ergebnis der Online-Scanner helfen auch Kommentare anderer Nutzer unter "Community" bei der Einschätzung.
Quelle: c‘t