Virenscan mit  WinPE
(für Systembetreuer/ Workgroupmanager)

Vorwort

Ein zuverlässiger Virenscan erfordert den Start des Virenscanners aus einer "sauberen" Systemumgebung ("Fremdstart" des PCs), wofür sich WinPE als bootfähiges "Mini"-NT-Betriebssystem für Service-/Installationszwecke ideal eignet.
Würde man ein  Antivirus-Programm aus einem bereits befallenen System - wenn es noch hinreichend funktionsfähig ist -  starten, kann ein Virus den Ablauf bzw. die Funktion dieses Programms nach Belieben ändern, entsprechend sind solche Virenscan-Resultate  nicht verlässlich.

Die früher für Virenscans eingesetzten Bootdisketten mit MS-DOS System sind für die heute üblichen NT-basierenden Systeme Windows 2000/XP/2003 mit NTFS-Dateisystem nicht geeignet, das die dieses Dateisystem nicht unterstützen.

WinPE kann in der derzeit aktuellen Version 2004 (basierend auf WinXP SP2) von CDROM, USB-FlashDisk oder in unserer Netzwerkumgebung in bestimmten Bereichen (RZ-"Werkstattnetz") vorteilhaft auch über PXE (Taste F12 beim PC-Start) geladen werden. In Bereichen, wo kein PXE-Boot unterstützt wird, ist das Laden von CDROM derzeit am einfachsten und zu empfehlen. Der Start von USB-FlashDisks wird nur vor neuerer Hardware unterstützt.
 

Start von WinPE über PXE-Boot (nur im RZ-Bereich unterstützt)

• Nur für PCs mit mindestens 160MB RAM geeignet
   
• Aktivieren Sie im PC-BIOS ggfls. die Netzwerkoption "Ethernet with PXE"
   
• Drücken Sie beim Start die Taste F12 und wählen Sie "Boot from Network"
  WinPE wird über TFTP-Download in eine Ramdisk geladen und gestartet (Dauer ca. 1 Min.)

Erzeugung einer WinPE Boot-CDROM

• Eine aktuelle WinPE ISO-Datei zum Brennen auf CD ist auf unseren SATURN-Softwareservern unter F:\SYSTEMSW\Bootdisk\WINPE2004\WINPE.ISO bereitgestellt.
  Aufgrund der Lizenzvorschriften ist sie nur für Workgroupmamager/ PC-Betreuer, Bediensteten, welche in die WindowsXP-Lizenzgruppe eingetragen sind und anderem Service-Personal zugänglich.
  Die ältere "Multiboot-CD" unter F:\SYSTEMSW\Bootdisk\MULTIBOOT\BOOTCD.ISO kann ebenso verwendet werden, bietet aber keine USB-Untersützung.
   
• Das ISO-Image kann mit den üblichen Brennprogrammen, z.B. Nero (Version 6: Menü Rekorder- > Image brennen) oder auch - besonders einfach - mit dem in Windows XP enthaltenes Brennprogramm unter Verwendung des kostenfreien Zusatz-Tools ISO-Recorder von Alex Feinman erzeugt werden.
  Bitte beachten Sie, dass für Windows XP SP2 eine neue Version von ISO-Recorder erforderlich ist.

Start von WinPE von CDROM

• Für PCs mit mindestens 64MB RAM geeignet
   
• Drücken Sie beim Start die Taste F12 und wählen Sie "Boot from CDROM"
  Bei älteren HP-PCs ist die Boot-Auswahltaste F8, nicht F12. Ältere Dell-PCs erfodern z. Teil die Tastenkombination Strg+Alt F8 für das Bootmenü, beachten sie bitte die Info am Monitor! Bei älteren PCs kann es erforderlich sein, den Start von CDROM im BIOS zu aktivieren.
   
• Sowohl die Multiboot-CD als auch die aktuelle WinPE 2004 CD besitzen einen "Boot-Blocker": Bei der Multiboot-CD erscheint für 15s ein Menü, in dem Sie WinPE auswählen müssen. Bei der WinPE 2004 CD erscheint für 5s eine simple Textzeile "Drücken Sie eine Taste, um von CD zu starten). Drücken Sie während dieser 5s irgendeine Taste, um WinPE zu laden.

WinPE (angepasste Version RZ Uni Regensburg) geladen...

• In unserer aktuellen WinPE 2004 Version ist bewusst auf "Schnickschnack" und überflüssige Tools verzichtet, um die ISO-Image-Größe (wichtig für PXE-Boot) gering zu halten.
   
• Der Systemvolume Laufwerksbuchstabe ist (neu) fest X:, früher (Mulitboot-CD) war es der laufende Buchstabe des CDROM-Laufwerk, aus dem WinPE gestartet wurde. Eine RamDisk der Größe 16MB für Temp-Daten ist unter Laufwerk R: verfügbar.
   
• Sofern sie USB-FlashDisks, externe USB-Festplatten, USB-Brenner etc. verwenden wollen, müssen dies vor der Geräteerkennung (vor Start von WinPE) eingesteckt sein.
   
• Je nach Anzahl vorhandener Festplattenpartitionen, USB-Disks und CD/DVD-Laufwerken kann  es zu Konflikten zwischen dem in unserer Umgebung festen Laufwerk F: für Novell-NetWare-Resourcen und den lokalen Datenträgern kommen. Verwenden Sie bitte das Programm DISKPART (Kommandozeile), um die Zuordnung Datenträger -  Laufwerksbuchstabe nach Wunsch zu ändern.
   
• Falls die Netzwerkkarte/-chip Ihres PCs unter WinPE nicht erkannt wird, erscheint während des Ladens von WinPE eine Fehlermeldung. Bitte setzen sie sich in diesem Fall mit dem  RZ in Verbindung, der Einbau eines zusätzlichen Netzwerktreibers ist jederzeit kurzfristig möglich.
   

Sophos-Virenscan unter WinPE

• Sofern der mit WinPE gestartet PC am Datennetz der Universität registriert ist oder aber (z.B. im RZ-"Werkstattsegment") eine dynamische IP-Adresse erhält , geben Sie einfach das Kommando "RSWEEP" ein oder klicken sie auf "Virenscan".
  Für RSWEEP (http-Download und Start der aktuellen Sophos-Version) ist eine gültige IP-Adresse erforderlich, die sie durch Klick auf "IpConfig" verifizieren können. Für RSWEEP ist keine Novell-Anmeldung erorderlich!
   
• Alternativ können Sie  sich mit Ihrem zu "uni-regensburg.de" relativen oder vollständigen NDS-Namen am NDS-System der Uni Regensburg an  (Klick auf "NetWare Login" oder Befehl LOGWIN32) anmelden und den Befehl F:\BAT\SWEEP eingeben.
   
• Für den Fall, das auf dem zu untersuchenden PC keine Netzwerkverbindung möglich ist und er Virenscan "offline "erfolgen muss:
  Kopieren sie die unter F:\VIRUS\SOPHOS\SWEEP\sav32cli bereitgestellte, stets aktuelle Kommandozeilenversion (da ganze Verzeichnis) auf einen USB-Stick oder einen andern geeigneten "Wechseldatenträger", stecken Sie diesen (am besten schreibgeschützt) vor WinPE-Start an den jeweiligen PC und führen Sie nach WinPE-Start das Kommando sav32cli c: -di -all (wenn c: das zu untersuchende Laufwerk ist) vom Wechseldatenträger aus aus. Das Kommando sav32cli.exe befindet sich im Verzeichnis sav32cli.
   
• Mit dem Virenscanner unter WinPE können sie Festplatten mit allen Windows-Betriebssystemen (FAT16/32 und NTFS-Dateisysteme) auf Viren hin untersuchen.
   

Laufwerksbuchstaben mit Diskpart ändern

• Falls Sie auf NetWare Ressourcen (Laufwerke F: G: etc.) zugreifen wollen und Konflikte mit lokalen Datenträgern bestehen können Sie die Laufwerksbuchstaben für lokale Datenträger mit dem Befehl DISKPART jederzeit ändern.
   
• Geben Sie nach Start von DISKPART  dazu folgende Befehle (Beispiele) ein:
   
  • list volume            - zeigt Volumes (Nummern) und Laufwerksbuchstaben an.
  • select volume n    - selektieren Sie das gew. Volume, dessen Bst. geändert werden soll
  • remove                 - entfernt den Laufwerksbuchstaben für das selektierte Volume.
  • assign letter l       - weist den Bst. l dem selektierten Volume zu.
  • exit                       - beendet DISKPART
     
• Detailliierte Beschreibung zu Diskpart: A Description of the Diskpart Command-Line Utility
   

Tipps zur Virenentfernung

Soweit Sophos den "Virenbefall" nicht automatisch vernichten kann, müssen Sie den Virus nach den Anleitung  (z.B. Sophos, TU-Berlin) bzw. nach den Secuity-Information von Microsoft manuell vernichten. Dies setzt freilich einige Systemkenntnisse voraus (Schulung in den monatlichen PC-Betreuer-Treffen). Unter WinPE haben sie sowohl Zugriff auf das Dateisystem des "befallenen" Rechners (können Dateien löschen/ändern) als auch auf dessen Registry (gewünschten Hive laden).
Ist ein Rechner gleich von mehreren Viren befallen, ist es in der Regel am schnellsten und einfachsten, Daten zu sichern (falls noch nicht geschehen) und das Betriebssystem mitsamt Anwendungen auf leerer Festplatte  unter Verwendung der bereitgestellten Hilfsmittel neu zu installieren.

• Virenscanner schützen in der Regel nicht vor Vandalen (Direktangriff auf Kernel-Sicherheitslücken etc.), sie kommen zu spät und erkennen den Vandalen erst, wenn er sich "eingenistet" hat. Einziges Mittel zum Schutz vor Vandalen sind regelmäßige (automatische, WindowsUpdate!) Korrekturen von System-Sicherheitslücken sowie die Verwendung eines Firewalls (Windows XP SP2 enthält standardmäßig einen Firewall, der für alle Netzwerkverbindungen aktiv ist, in ältere Windows XP-Versionen ist der Firewall nur für Wählverbindungen standardmäßig aktiviert ). Überschätzen Sie aber nicht die "Leistung" eines Firewalls: Sind kritische Ports geöffnet (z.B. Datei und Druckerfreigabe, Port 139 oder 445, ist die "Wirksamkeit" ganz erheblich reduziert bzw. aufgehoben.
   
• Beherzigen Sie bitte unbedingt die allgemeinen Regeln im Umgang mit Mail-Anhängen:
  * Speichern Sie Mail-Anhänge in ein temporäres Verzeichnis
  * Überprüfen Sie die gespeicherte Datei mit einem aktuellen Virenscanner
  * Führen Sie nie direkt Mail-Anhänge aus!
  * Öffnen Sie nie direkt Mail-Anhänge mit Applikationen!
   
• Hat sich ihr PC "infiziert", entfernen Sie zuerst den Virus bzw. legen Sie ihn "still", bevor Sie Systemupdates installieren, Virenscanner aktualisieren  etc.
   
• Ist ein PC von einem Virus/Wurm/Vandalen befallen,  kann die Funktion eines installierten Virenscannern deaktiviert/verändert sein. Im Zweifelsfall ist es unbedingt ratsam, den Virenscan mit "FremdStart" des PCs, d.h. mit Start von garantiert virenfreier Boot-CD  vorzunehmen.
   
• Unter Windows NT Plattform "sehen" sie den laufenden Virus/Wurm/Vandalen in den meisten Fällen - nicht immer! - anhand eines zusätzlichen Prozesses (Name siehe Virusinfo!) - in der Prozessliste. Es gibt Viren, welche Random-Dateinamen, insbesondere auch bekannte Dateinamen verwenden, deshalb ist die Analyse der Prozessliste im Ausschlussverfahren (welche Prozessnamen sind unbekannt/verdächtig?) sinnvoll. Sie können die Eigenschaften/Herkunft aller laufenden Prozesse anhand Dateisuche und deren Eigenschaften feststellen.
  "Normale" Viren/Würmer/Vandelen-Prozesse können Sie in der Prozessliste einfach "killen" und so deren Funktion vorübergehend beenden. Viren/Würmer/Vandelen, die sich als Dienst gestartet haben, können in der Prozessliste nicht beendet werden, Sie müssen dazu services.msc (Diensteliste) aufrufen und den zugehörigen Dienst beenden (sowie sinnvollerweise die Startart in "deaktiviert") ändern.
   
• Vergessen Sie nicht, dass "normale" Viren/Würmer/Vandelen sich beim Neustart auf irgendeine Art reaktivieren wollen. Bekannte Stellen sind dazu die Registry-Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run sowie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, seltener Einträge in AutoStart oder andere Methoden.
  Um einen derartigen Virus/Wurm/Vandalen dauerhaft zu deaktivieren, müssen Sie den zugehörigen "Run"-Eintrag innerhalb eines  dieser Registry-Keys löschen. Unter Windows 2000/XP ist dazu der Gebrauch von REGEDIT nicht unbedingt erforderlich, alternativ können Sie das Tool MSCONFIG aufrufen und die bösartigen Einträge vernichten.
  Weitaus genauere Informationen als MSCONFIG liefert das ausgezeichnete Tool AUTORUNS.EXE von SysInternals, mit dem sie auch heimtückisch versteckte Übertäter ausfindig machen und deren Start blockieren können.
   
• Nur unter Windows XP: Haben Sie die "Desinfektionsreihenfolge" nicht eingehalten und vor Entfernung des Virus einen System-Hotfix etc. installiert, kann der Virus/Wurm/Vandale zusätzlich im Systemwiederherstellungsbereich "gespeichert" sein.
  Um Viren/Würmer/Vandelen aus dem Systemwiederherstellungsbereich zu vernichten, müssen Sie alle vorhandenen Restore-Points entfernen: Unter Eigenschaften von Arbeitsplatz oder Systemsteuerung -> System, Registerkarte "Systemwiederherstellung" deaktivieren Sie bitte temporär die Systemwiederherstellung (Häkchen setzen, Frage ob man das Feature deaktivieren möchte bejahen und Computer neu starten). Nach dem Neustart reaktivieren Sie die Systemwiederherstellung  bitte auf dieselbe Art (Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen).

---

Wolfram Oestreicher, 24.2.2005