Trojaner entfernen mit der Kaspersky Rescue Disk

Sich einen Trojaner oder andere Schadsoftware einzufangen, geht heute schneller als man denkt. Selbst bei installiertem Virenscanner gibt es keine Sicherheit einer Infektion zu entgehen. Zu vielfältig sind die Quellen im Internet (siehe dazu auch unseren Blogpost zur Infizierung durch Drive-By-Download). Aus diesem Grund ist es sinnvoll, bereits vorab die richtigen Maßnahmen vorzubereiten. Hier hilft unsere Anleitung am Beispiel von Kasperskys „Rescue Disk“.

Nichts geht mehr

Eines haben die schlimmsten Trojaner gemeinsam: der infizierte Rechner ist nicht mehr nutzbar. Unmittelbar nach dem Starten erscheint statt des Windows Desktops eine Zahlungsaufforderung. In einem Fall wird die Meldung der Bundespolizei vorgetäuscht, in anderen behauptet ein Dialogfenster, dass eine Verletzung der Gema-Rechte vorliegt. Auch das Bundeskriminalamt (BKA) wird schon mal als drohender Zeigefinger bemüht. Eines haben alle Schädlinge gemein: Es wird Geld gefordert – nur dann könne der Betrieb des Rechners wieder aufgenommen werden.

Geld fürs Booten

Meist hindert der Trojaner (z.B. auch der sogenannte Ukash) den Anwender daran, eigenständig dessen Aktivität zu beenden. So wird der eigene Virenscanner deaktiviert, eine Kommandozeile unterbunden und auch der Taskmanager am Starten gehindert. Sämtliche Möglichkeiten, bei laufendem Rechner den Störenfrieden auf den Leib zu rücken, sind damit blockiert.
Man glaubt gar nicht, wie viele Menschen in Ihrer Verzweiflung den Forderungen nachgeben und eine Blitzüberweisung an den Trojaner-Autor in Auftrag geben. Verlorenes Geld, denn die Malware ist damit nicht vom Rechner gelöscht! Und die nächste Blockade ist damit vorprogrammiert.

Offline scannen

Wenn der Trojaner jeglichen Eingriff unterbindet, hilft nur noch ein Weg: der Rechner muss von einem externen Datenträger gebootet werden. Generell ist diese Variante aber auch bei „normalen“ Vireninfektionen eine angesagte Vorgehensweise, da bei dieser Prüfungsart kein Schädling aktiv sein kann, um sich vor der Entdeckung zu tarnen.
Dieser Datenträger (bootfähige CD oder DVD bzw. ein USB-Stick) sollte jederzeit bereitliegen. Ist dies nicht der Fall, so muss ein zweiter Rechner dafür bemüht werden. Der infizierte PC bleibt dafür tabu. Also ab in den Elektronikladen und einen (kleinen) Stick kaufen, der zukünftig nur für diesen Zweck in der Schublade bleibt. Der Begriff „Offline“ ist dabei nicht ganz richtig. Der vollständige Scan benötigt eine Internetverbindung, dazu aber später mehr.

Booten von USB

Eine bootfähige CD zu erstellen ist einfach. Aus diesem Grund wollen wir uns an dieser Stelle der USB-Problematik widmen. Es ist ebenso schnell erledigt, wenn man einige Hinweise befolgt. Beachten Sie aber, dass der infizierte Rechner die Möglichkeit bieten muss, von einem USB-Datenträger zu starten. Dies kann zwar jeder einigermaßen aktuelle Rechner, sollte aber bei alten Modellen sicherheitshalber zuvor geprüft werden. Die Vorgehensweise dazu zeigt unser Videobeitrag (siehe unten).

Der Kaspersky-Download

Zur Erstellung des Anti-Trojaner-Sticks müssen zuerst zwei Dateien von der Kaspersky-Seite geladen werden. Beide werden kostenlos und ohne Registrierung zur Verfügung gestellt. Die erste enthält das ISO-Image der Rescue-Disk, die zweite ist ein kleines Utility, das mit wenigen Mausklicks das Image auf den USB-Stick spielt und diesen gleichzeitig bootfähig macht. Wer sich die Umgebung auf CD erstellen will, benötigt also nur das ISO-Image. Dieses kann dann mit einem Brennprogramm direkt auf CD oder DVD gebrannt werden. Windows 7 enthält ein solches, es müssen also auch dafür keine Euro fließen.

Der Stick als Retter

Stellen Sie zuerst sicher, dass der Stick keine Daten enthält, die Sie noch benötigen. Die Erstellung formatiert diesen neu. Des Weiteren sollten Sie das Dateiformat des Sticks kontrollieren. Die Rescue-Disc benötigt hier FAT oder FAT32, NTFS wird nicht unterstützt. Die Anzeige der Laufwerke (Arbeitsplatz unter Windows XP, Computer unter Windows 7) mit einem Mausklick auf den Stick zeigt das aktuelle Dateisystem des Datenträgers. Gegebenenfalls ist der Stick einfach neu zu formatieren. Für weitere Details zur USB-Erstellung hat Kaspersky ein FAQ zur Verfügung gestellt.

Jetzt starten Sie das kleine Utility (Rescue2usb.exe) mit einem Doppelklick und weisen dem Tool die beiden Pfade: a) die zuvor geladene ISO-Datei und b) das Laufwerk mit dem USB-Stick. Der Klick auf Ok erstellt nun den bootfähigen Stick mit der Rescue-Disc. Abschließend noch „ordentlich“ auswerfen. Fertig.

Die Beseitigung im Detail

Jetzt widmen wir uns dem infizierten Rechner. Prüfen Sie zuerst zur Sicherheit die Boot-Reihenfolge im BIOS des PCs. Dazu ist unmittelbar nach dem Einschalten eine Taste zu drücken. Welche, ist herstellerabhängig, meist die Esc- oder die Löschtaste. Die Angabe dazu wird aber beim Bootvorgang des Rechners (für einen kurzen Moment) auf dem Monitor angezeigt. Im BIOS-Setup können Sie die Bootreihenfolge verändern. Hier sollte an erster Stelle USB oder „Removable Device“ stehen und erst an einer folgenden Stelle die Festplatte des Rechners.

Mit eingestecktem Stick sollte der Rechner nun von diesem Booten. Die Rettungsdisk verfügt über ein angepasstes Linux-Betriebssystem. Wundern Sie sich also nicht, wenn der Rechnerstart unbekannte Zeichenfolgen am Monitor darstellt. Es erfolgt nun ein textbasiertes Auswahlmenü, ob die grafische Bedieneroberfläche benutzt werden soll oder lieber über die Tastatur gearbeitet wird. Wir wählen die Mausbedienung.
Nach einiger Zeit sollte der Linux-Desktop auf dem Bildschirm zu sehen sein. Jetzt werden noch alle Datenträger eingelesen. Dann steht das System zur Arbeit bereit.

Der Windows Unlocker

Jetzt nicht voreilig klicken. Sollte Ihr Rechner vollständig den Zugang verweigert haben, so ist zuerst eine Spezialbehandlung notwendig. Im ersten Schritt gilt unsere Aufmerksamkeit also der Bundespolizei, dem BKA oder einem Gema-Trojaner. Dazu muss der „Windows Unlocker“ ran. Der Aufruf erfolgt über die Linux-Konsole. Starten Sie also die Konsole über das Startmenü. Jetzt sehen Sie ein (fast) leeres Fenster – ähnlich der Windows-Kommandozeile. An dieser Stelle wird über die Tastatur durch die Eingabe von „windowsunlocker“ (kein Leerzeichen) die Bereinigung gestartet.
Durch die Eingabe der „1“ wird der Scan gestartet. Im Textfenster sehen Sie die ausgeführte Säuberung der Registry sowie des Bootsektors. Jetzt kann der Unlocker wieder verlassen und das Konsolenfenster durch die Eingabe von „exit“ geschlossen werden. Fertig ist Teil eins.

Der vollständige Scan

Nach der Anwendung des Windows Unlocker ist der Rechner noch nicht frei von Schadsoftware. Dieser Schritt diente nur dazu, die Eingriffe des Trojaners beim Rechnerstart zu beseitigen. Sämtliche Dateien des Rechners stehen noch zur Prüfung offen. Auch diese Aufgabe sollten Sie jetzt ausführen, da eine Prüfung mithilfe eines externen Boot-Laufwerks immer sicherer ist. Nur so sind aktive Eingriffe von Viren in den Scan ausgeschlossen.
Das Problem: die eingesetzte Rescue-Disk hat nur veraltete AV-Signaturen auf dem Stick. Ein Update der AV-Patterns über das Internet ist also geboten. Genau aus diesem Grund sollte der Rechner auch über eine Anbindung an den Internet-Router verfügen – via Kabel wohlgemerkt. Eine WLAN-Verbindung greift nicht, da das aktuelle Linux-Setup der Rescue-Disk keinen kabellosen Zugriff ermöglicht.

Sale

Kaspersky Plus Internet Security 2024 | 1 Gerät | 1 Jahr | Anti-Phishing und Firewall | Unbegrenzter VPN | Passwort-Manager | Online-Banking Schutz | PC/Mac/Mobile | Aktivierungscode per Email

• SICHERHEIT: Mehrstufiger Schutz zur Verhinderung und Neutralisierung von Viren und Malware
• SICHERHEIT: Diese Tools verhindern den unbefugtem Zugriff auf und die Vereinnahmung Ihres Computers, einschließlich Phishing-Schutz und Firewall Tools
• PRIVATSPHÄRE: Diese Tools verhindern unbefugtes Online-Tracking, das unbefugte Einblenden von Werbeanzeigen und die Nutzung Ihrer Peripheriegeräte durch Dritte
• PRIVATSPHÄRE: Schützt Ihre Banking-Apps und -Aktivitäten und hält Ihre Anmeldedaten sicher und bereit

54,99 EUR −25,00 EUR 29,99 EUR

Bei Amazon kaufen

Letzte Aktualisierung am 18.04.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API

Jetzt starten wir folglich den in der Rescue-Disk integrierten Kaspersky Anti-Virus, führen ein Update der Datenbank über das Internet aus uns starten einen Voll-Scan der eigenen Festplatte. Sie sollten die Prüfung solange wiederholen bis das Ergebnis einen sauberen Datenträger ausweist. Ein wenig Geduld und der Rechner kann wieder über das eigene Betriebssystem gestartet werden.

Patches, Updates und andere Hausaufgaben

Was sollten Sie daraus lernen? Nein, keine Moralpredigt. Der Schutz vor Schadsoftware im Internet ist nicht zu hundert Prozent möglich. Nur eine bestmöglichste Abwehr gilt es zu schaffen. Hier sind eine Reihe von regelmäßigen Aufgaben zu erledigen. Punkt 1: Updates des Betriebssystems. Dies sollte eigentlich keine Arbeit darstellen. Einmal im Monat veröffentlicht Microsoft seine Patches, um Sicherheitslücken zu schließen. Das Einspielen erfolgt – so Windows Update entsprechend konfiguriert – automatisch.
Es gilt aber mehr zu tun. Viele Sicherheitslücken entstehen heute durch andere Programme. Der eingesetzte Browser sollte stets aktuell gehalten werden. Gleiches gilt für Adobe Flash, den Adobe Reader und vor allem Java. Updates gehören – leider – zum Computeralltag.
Zum Abschluß ist die Wahl der Antiviren-Software sicherlich mitentscheidend. Welcher Sie auch immer den Vorzug geben, auch diese sollte – wenn möglich – mehrmals täglich sich selbständig aktualisieren. Und da wäre auch noch das Thema Firewall… Aber damit genug für heute.

Das Praxisvideo

Sowohl die rechtzeitige Vorsorge wie auch der Trojaner-Check im Notfall sind nicht sonderlich schwierig. Dennoch können auch hier einige bewegte Bilder die Praxis erheblich erleichtern. Aus diesem Grund bieten wir auch an dieser Stelle wieder einen kurzen Screencast zum Einsatz der Rescue-Disk. Dennoch Probleme? Nutzen Sie die Kommentarfunktion, wir helfen gerne weiter.