Trojaner entfernen mit der Kaspersky Rescue Disk

Sich einen Trojaner oder andere Schadsoftware einzufangen, geht heute schneller als man denkt. Selbst bei installiertem Virenscanner gibt es keine Sicherheit einer Infektion zu entgehen. Zu vielfältig sind die Quellen im Internet (siehe dazu auch unseren Blogpost zur Infizierung durch Drive-By-Download). Aus diesem Grund ist es sinnvoll, bereits vorab die richtigen Maßnahmen vorzubereiten. Hier hilft unsere Anleitung am Beispiel von Kasperskys „Rescue Disk“.

Nichts geht mehr

Eines haben die schlimmsten Trojaner gemeinsam: der infizierte Rechner ist nicht mehr nutzbar. Unmittelbar nach dem Starten erscheint statt des Windows Desktops eine Zahlungsaufforderung. In einem Fall wird die Meldung der Bundespolizei vorgetäuscht, in anderen behauptet ein Dialogfenster, dass eine Verletzung der Gema-Rechte vorliegt. Auch das Bundeskriminalamt (BKA) wird schon mal als drohender Zeigefinger bemüht. Eines haben alle Schädlinge gemein: Es wird Geld gefordert – nur dann könne der Betrieb des Rechners wieder aufgenommen werden.

Geld fürs Booten

Meist hindert der Trojaner (z.B. auch der sogenannte Ukash) den Anwender daran, eigenständig dessen Aktivität zu beenden. So wird der eigene Virenscanner deaktiviert, eine Kommandozeile unterbunden und auch der Taskmanager am Starten gehindert. Sämtliche Möglichkeiten, bei laufendem Rechner den Störenfrieden auf den Leib zu rücken, sind damit blockiert.
Man glaubt gar nicht, wie viele Menschen in Ihrer Verzweiflung den Forderungen nachgeben und eine Blitzüberweisung an den Trojaner-Autor in Auftrag geben. Verlorenes Geld, denn die Malware ist damit nicht vom Rechner gelöscht! Und die nächste Blockade ist damit vorprogrammiert.

Offline scannen

Wenn der Trojaner jeglichen Eingriff unterbindet, hilft nur noch ein Weg: der Rechner muss von einem externen Datenträger gebootet werden. Generell ist diese Variante aber auch bei „normalen“ Vireninfektionen eine angesagte Vorgehensweise, da bei dieser Prüfungsart kein Schädling aktiv sein kann, um sich vor der Entdeckung zu tarnen.
Dieser Datenträger (bootfähige CD oder DVD bzw. ein USB-Stick) sollte jederzeit bereitliegen. Ist dies nicht der Fall, so muss ein zweiter Rechner dafür bemüht werden. Der infizierte PC bleibt dafür tabu. Also ab in den Elektronikladen und einen (kleinen) Stick kaufen, der zukünftig nur für diesen Zweck in der Schublade bleibt. Der Begriff „Offline“ ist dabei nicht ganz richtig. Der vollständige Scan benötigt eine Internetverbindung, dazu aber später mehr.

Booten von USB

Eine bootfähige CD zu erstellen ist einfach. Aus diesem Grund wollen wir uns an dieser Stelle der USB-Problematik widmen. Es ist ebenso schnell erledigt, wenn man einige Hinweise befolgt. Beachten Sie aber, dass der infizierte Rechner die Möglichkeit bieten muss, von einem USB-Datenträger zu starten. Dies kann zwar jeder einigermaßen aktuelle Rechner, sollte aber bei alten Modellen sicherheitshalber zuvor geprüft werden. Die Vorgehensweise dazu zeigt unser Videobeitrag (siehe unten).

Der Kaspersky-Download

Zur Erstellung des Anti-Trojaner-Sticks müssen zuerst zwei Dateien von der Kaspersky-Seite geladen werden. Beide werden kostenlos und ohne Registrierung zur Verfügung gestellt. Die erste enthält das ISO-Image der Rescue-Disk, die zweite ist ein kleines Utility, das mit wenigen Mausklicks das Image auf den USB-Stick spielt und diesen gleichzeitig bootfähig macht. Wer sich die Umgebung auf CD erstellen will, benötigt also nur das ISO-Image. Dieses kann dann mit einem Brennprogramm direkt auf CD oder DVD gebrannt werden. Windows 7 enthält ein solches, es müssen also auch dafür keine Euro fließen.

Der Stick als Retter

Stellen Sie zuerst sicher, dass der Stick keine Daten enthält, die Sie noch benötigen. Die Erstellung formatiert diesen neu. Des Weiteren sollten Sie das Dateiformat des Sticks kontrollieren. Die Rescue-Disc benötigt hier FAT oder FAT32, NTFS wird nicht unterstützt. Die Anzeige der Laufwerke (Arbeitsplatz unter Windows XP, Computer unter Windows 7) mit einem Mausklick auf den Stick zeigt das aktuelle Dateisystem des Datenträgers. Gegebenenfalls ist der Stick einfach neu zu formatieren. Für weitere Details zur USB-Erstellung hat Kaspersky ein FAQ zur Verfügung gestellt.

Jetzt starten Sie das kleine Utility (Rescue2usb.exe) mit einem Doppelklick und weisen dem Tool die beiden Pfade: a) die zuvor geladene ISO-Datei und b) das Laufwerk mit dem USB-Stick. Der Klick auf Ok erstellt nun den bootfähigen Stick mit der Rescue-Disc. Abschließend noch „ordentlich“ auswerfen. Fertig.

Die Beseitigung im Detail

Jetzt widmen wir uns dem infizierten Rechner. Prüfen Sie zuerst zur Sicherheit die Boot-Reihenfolge im BIOS des PCs. Dazu ist unmittelbar nach dem Einschalten eine Taste zu drücken. Welche, ist herstellerabhängig, meist die Esc- oder die Löschtaste. Die Angabe dazu wird aber beim Bootvorgang des Rechners (für einen kurzen Moment) auf dem Monitor angezeigt. Im BIOS-Setup können Sie die Bootreihenfolge verändern. Hier sollte an erster Stelle USB oder „Removable Device“ stehen und erst an einer folgenden Stelle die Festplatte des Rechners.

Mit eingestecktem Stick sollte der Rechner nun von diesem Booten. Die Rettungsdisk verfügt über ein angepasstes Linux-Betriebssystem. Wundern Sie sich also nicht, wenn der Rechnerstart unbekannte Zeichenfolgen am Monitor darstellt. Es erfolgt nun ein textbasiertes Auswahlmenü, ob die grafische Bedieneroberfläche benutzt werden soll oder lieber über die Tastatur gearbeitet wird. Wir wählen die Mausbedienung.
Nach einiger Zeit sollte der Linux-Desktop auf dem Bildschirm zu sehen sein. Jetzt werden noch alle Datenträger eingelesen. Dann steht das System zur Arbeit bereit.

Der Windows Unlocker

Jetzt nicht voreilig klicken. Sollte Ihr Rechner vollständig den Zugang verweigert haben, so ist zuerst eine Spezialbehandlung notwendig. Im ersten Schritt gilt unsere Aufmerksamkeit also der Bundespolizei, dem BKA oder einem Gema-Trojaner. Dazu muss der „Windows Unlocker“ ran. Der Aufruf erfolgt über die Linux-Konsole. Starten Sie also die Konsole über das Startmenü. Jetzt sehen Sie ein (fast) leeres Fenster – ähnlich der Windows-Kommandozeile. An dieser Stelle wird über die Tastatur durch die Eingabe von „windowsunlocker“ (kein Leerzeichen) die Bereinigung gestartet.
Durch die Eingabe der „1“ wird der Scan gestartet. Im Textfenster sehen Sie die ausgeführte Säuberung der Registry sowie des Bootsektors. Jetzt kann der Unlocker wieder verlassen und das Konsolenfenster durch die Eingabe von „exit“ geschlossen werden. Fertig ist Teil eins.

Der vollständige Scan

Nach der Anwendung des Windows Unlocker ist der Rechner noch nicht frei von Schadsoftware. Dieser Schritt diente nur dazu, die Eingriffe des Trojaners beim Rechnerstart zu beseitigen. Sämtliche Dateien des Rechners stehen noch zur Prüfung offen. Auch diese Aufgabe sollten Sie jetzt ausführen, da eine Prüfung mithilfe eines externen Boot-Laufwerks immer sicherer ist. Nur so sind aktive Eingriffe von Viren in den Scan ausgeschlossen.
Das Problem: die eingesetzte Rescue-Disk hat nur veraltete AV-Signaturen auf dem Stick. Ein Update der AV-Patterns über das Internet ist also geboten. Genau aus diesem Grund sollte der Rechner auch über eine Anbindung an den Internet-Router verfügen – via Kabel wohlgemerkt. Eine WLAN-Verbindung greift nicht, da das aktuelle Linux-Setup der Rescue-Disk keinen kabellosen Zugriff ermöglicht.

Kaspersky Internet Security 2021 Standard | 1 Gerät | 1 Jahr | Windows/Mac/Android | Aktivierungscode per Email
  • Kaspersky Internet Security schützt Sie mit nur einer Lizenz auf PCs, Macs und Android-Geräten bei sämtlichen Online-Aktivitäten vor Malware, Webcam-Hacks, Betrugsversuchen und mehr
  • Ihr Code wird mit einer detaillierten Installationsanleitung elektronisch zugestellt. Der Hersteller produziert keine CD/DVD/Speichersticks für dieses Produkt
  • Bremst Ihren PC nicht aus
  • Verhindert Infektionen durch Krypto-Mining-Malware

Letzte Aktualisierung am 26.09.2020 / Affiliate Links / Bilder von der Amazon Product Advertising API

Jetzt starten wir folglich den in der Rescue-Disk integrierten Kaspersky Anti-Virus, führen ein Update der Datenbank über das Internet aus uns starten einen Voll-Scan der eigenen Festplatte. Sie sollten die Prüfung solange wiederholen bis das Ergebnis einen sauberen Datenträger ausweist. Ein wenig Geduld und der Rechner kann wieder über das eigene Betriebssystem gestartet werden.

Patches, Updates und andere Hausaufgaben

Was sollten Sie daraus lernen? Nein, keine Moralpredigt. Der Schutz vor Schadsoftware im Internet ist nicht zu hundert Prozent möglich. Nur eine bestmöglichste Abwehr gilt es zu schaffen. Hier sind eine Reihe von regelmäßigen Aufgaben zu erledigen. Punkt 1: Updates des Betriebssystems. Dies sollte eigentlich keine Arbeit darstellen. Einmal im Monat veröffentlicht Microsoft seine Patches, um Sicherheitslücken zu schließen. Das Einspielen erfolgt – so Windows Update entsprechend konfiguriert – automatisch.
Es gilt aber mehr zu tun. Viele Sicherheitslücken entstehen heute durch andere Programme. Der eingesetzte Browser sollte stets aktuell gehalten werden. Gleiches gilt für Adobe Flash, den Adobe Reader und vor allem Java. Updates gehören – leider – zum Computeralltag.
Zum Abschluß ist die Wahl der Antiviren-Software sicherlich mitentscheidend. Welcher Sie auch immer den Vorzug geben, auch diese sollte – wenn möglich – mehrmals täglich sich selbständig aktualisieren. Und da wäre auch noch das Thema Firewall… Aber damit genug für heute.

Das Praxisvideo

Sowohl die rechtzeitige Vorsorge wie auch der Trojaner-Check im Notfall sind nicht sonderlich schwierig. Dennoch können auch hier einige bewegte Bilder die Praxis erheblich erleichtern. Aus diesem Grund bieten wir auch an dieser Stelle wieder einen kurzen Screencast zum Einsatz der Rescue-Disk. Dennoch Probleme? Nutzen Sie die Kommentarfunktion, wir helfen gerne weiter.


Anzeige



Teile diesen Artikel

Das könnte Dich auch interessieren …

11 Antworten

  1. Josef sagt:

    Hallo

    Habe eigentlich alles gemacht pc´startet nicht

    kann mir da jemand helfen

  2. Sebi sagt:

    Hallo,
    mein Problem ist, dass wenn ich den oben verlinkten WindowsUnlocker herunterlade und entpacke, ich keine Image-Datei erhalte, sondern ein Ordner namens ‚kav_rescue_10‘. Dieser enthält zwei Unterordner namens ‚boot‘ und ‚rescue‘ und drei weitere Dateien namens ‚boot.catalog‘, ‚efi.img‘ und ‚livecd‘.
    Meine Frage: Wie komme ich denn an die Image-Datei?

    Liebe Grüße

    • JMM sagt:

      Der Link verweist auf eine ISO-Datei. Das Image wird nicht entpackt, sondern mithilfe des Utility-Programms auf den Stick übertragen oder mit einem Brennprogramm, das Images versteht, auf eine CD gebrannt.

      • Sebi sagt:

        Danke auf jeden Fall für die schnelle Antwort.
        Ich muss aber nochmal nachfragen (bin nicht sehr Computer versiert).

        Sie schreiben, der Link verweist auf eine ISO-Datei. Ok, aber diese ist als 324 Mb große Winrar-Datei verpackt. Mein Brennprogramm ist ImgBurn. Was genau brenne ich nun auf meinen Rohling? Die verpackte Winrar-Datei, oder entpacke ich diese vorher und brenne dann den Ordner? Nur enthält der Ordner doch auch gar keine Setup.exe ?

        Lg

  3. martl sagt:

    meine dsl verbindlung klappt leider nicht und somit kann ich kein update machen.
    was kann ich machen?

  4. Sebastian sagt:

    Hallo,

    habe mir den neuen GVU-Trojaner gezogen wollte jetzt die Kaspersky-rescue disk mit einem USB stick ausprobieren und habe deshalb die oben beschriebenen Schritte befolgt, aber immer wenn ich den PC von dem Stick booten will erscheinT: „Error loading operating system“
    was mache ich denn falsch?

    Gruß Seb

    • JMM sagt:

      Hallo Seb,
      dies liegt meist an einer falschen Formatierung des Stick. Dieser muss im Format FAT16 oder FAT32 formatiert sein. Am besten also den Stick neu formatieren und dann die ISO-Erstellung nochmals durchführen.
      Viel Glück!

  5. Andi sagt:

    Ich habe alle schritte befolgt und nach dem neustarten von meinem laptop ist der bildschirm immer noch weiß bzw wenn ich das wlan einschalten würde, würde der bka trojana erscheinen.

    bitte um tipps.

    eines meiner hauptprobleme ist, das ich blöderweise 1. nicht in denn abgesicherten modus komme und 2. alle wiederherstellungspunkte bereits infiziert sind.

    und kaspersky rescue cd konnte auch nichts daran ändern. der virus versteckt sich anscheinend sehr gut.

    lg andi

  1. 2. April 2013

    […] Zeitpunkt von sogenannten Exploit-Kits wie “Black Hole” bereits aktiv genutzt. Den “BKA-Trojaner” gibt es in verschiedensten Varianten. Und mit Java sind Sie diesem einen kritischen Schritt […]

  2. 9. März 2014

    […] von einem externen Bootmedium noch immer die effektivste Methode, um die Schädlinge loszuwerden. Kasperskys Bootdisk ist dafür nur ein […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*