Mit Knoppicillin auf Virenjagd

Praxis & Tipps | Projekt

Wenn Sie befürchten, dass Ihr PC von Viren befallen ist, kommt Knoppicillin zur Rettung. Es bietet Ihnen eine garantiert virenfreie Umgebung, in der Sie Ihr System mit drei verschiedenen Virenscannern testen und reinigen können.

Wenn Sie befürchten, dass Ihr PC von Viren befallen ist, kommt Knoppicillin zur Rettung. Es bietet Ihnen eine garantiert virenfreie Umgebung, in der Sie Ihr System mit drei verschiedenen Virenscannern testen und reinigen können, um es wieder auf die Beine zu bringen. Außerdem enthält es eine Reihe von Backupfunktionen zur Datenrettung.

Durch die Menüsteuerung können Sie auch ohne besondere Linux-Kenntnisse auf Virenjagd gehen. Linux-Profis erhalten eine umfangreiche Tool-Sammlung auf Basis von Microknoppix und Debian zum Diagnostizieren und Beheben vieler Hardware- und Software-Probleme. Knoppicillin ist Teil der bootfähigen CD "Software-Kollektion 8", die der Ausgabe 26/08 beiliegt.

Veröffentlichungen zum Projekt

Nachfolgend finden Sie die offizielle FAQ zu Knoppicillin 7. Antworten auf viele andere Fragen finden Sie auch im begleitenden Artikel in c't 26/08 auf Seite 120 oder im Knoppicillin-Forum.

Meine Heft-CD zeigt noch nicht einmal das Boot-Menü. Der Rechner verhält sich so, als hätte ich gar keine CD eingelegt und startet gleich ins Windows. Andere Boot-CDs hingegen starten ohne Probleme; an meinen BIOS-Einstellungen kann es daher nicht liegen. Habe ich eine defekte CD erwischt?

Wahrscheinlich ist die CD nicht defekt. Sie hat ein Startproblem auf einigen Mainboards mit dem Phoenix-Award-BIOS v6.00 PG, das den Boot-Sektor unter Umständen nicht als startfähig erkennt. Das Problem betrifft vornehmlich Mainboards der Firma Gigabyte sowie einige Epox-Boards. Ein Umtausch oder Neukauf wäre in solch einem Fall zwecklos.

Gegen das beschriebene Symptom hilft das Windows-Programm c't-CD-Patcher. Mit ihm können Sie per Mausklick die Original-CD auslesen, den Boot-Sektor anpassen und das neue Abbild auf einen CD- oder DVD-Rohling schreiben lassen. Bevor Sie es starten können, müssen Sie das Zip-Archiv beispielsweise auf den Desktop entpacken. Beachten Sie, dass am Zielort rund 1,4 GByte Platz für die beiden CD-Abbilder sein muss. Unter Windows XP benötigt das Programm Administratorrechte.

Linux-Anwender können sich die Patch-Datei im RDIFF-Format herunterladen. Das zugehörige Patch-Programm rdiff ist über die Paketverwaltung aller gängigen Linux-Distributionen installierbar. Der Patch-Vorgang lässt sich mit dem folgenden Kommandozeilenbefehl durchführen:

rdiff patch altes_image.iso ctsw0808.rdiff neues_image.iso

Ist es nicht gefährlich, einfach alle infizierten Dateien zu löschen?

Ja, das ist es. Sie sollten diesen Modus als letzten Notnagel sehen und erst nach dem Backup aller wichtigen Daten verwenden. Das Löschen von Dateien birgt immer ein Risiko. Jedoch lassen sich insbesondere ausführbare Dateien ohnehin in der Regel nicht mehr in ihren Ursprungszustand versetzen. Werden Dateien gelöscht, die zum Windows-Start erforderlich sind, kann Windows nach dem Desinfizieren unter Umständen nicht mehr hochfahren. Im schlimmsten Fall bedeutet dies, dass Sie Ihr Windows mit der Windows-Installations-CD reparieren und ihre Anwendungsprogramme neu installieren müssen. Nicht infizierte Daten auf der Festplatte bleiben dabei jedoch erhalten.

Dass ein System nach der Desinfektion selbst im abgesicherten Modus nicht mehr startet, ist nach unseren Erfahrungen aber die Ausnahme. Meist kommt es nach dem Löschen von Virendateien nur zu harmlosen Fehlermeldungen, weil Registry-Einträge auf nicht mehr vorhandene Dateien verweisen. Falls sie nach einem erneuten Reboot nicht verschwinden, geben die Virenlexika der AV-Hersteller oft Aufschluss darüber, welche Änderungen Sie an der Registry durchführen müssen, um die Warnhinweise endgültig loszuwerden.

Wer ganz sicher gehen will und über die notwendigen Linux-Kenntnisse verfügt, sollte die im Log protokollierten Virendateien zunächst von Hand umbenennen. Wenn das System anschließend noch hochfährt, können die Dateien gefahrlos gelöscht werden.

Ist mein System nach der Desinfektion denn auch wirklich sauber?

Nach einer Desinfektion können Sie recht sicher sein, dass sich keine bekannten Schadprogramme mehr auf dem System befinden. Die Virenscanner sind jedoch nicht in der Lage, auch alle möglicherweise verbliebenen Hintertüren zu entfernen, etwa einen passwortlosen Administratorzugang. Wenn Knoppicillin Ihr System gesäubert hat, sollten Sie sich zumindest sehr genau über die entfernten Schädlinge auf den Seiten der AV-Hersteller informieren. Dort erhalten Sie in der Regel alle nötigen Hinweise auf Veränderungen, die die Plagegeister an Ihrem System vorgenommen haben könnten. Wer wirklich sicher gehen will, sollte bei nächster Gelegenheit aus dem gereinigten Windows heraus ein Backup aller wichtigen Daten anfertigen, die Festplatte formatieren und das System von Grund auf neu einspielen.

Wo ist eigentlich der Unterschied zwischen Knoppicillin und Diagnose-Knoppix?

Der einzige Unterschied ist der so genannte Runlevel. Ein Runlevel definiert auf einem Linux-System eine Auswahl zu startender Dienste. Runlevel 2 startet die Knoppicillin-Menüsteuerung in der Textkonsole und Runlevel 5 die grafische Benutzeroberfläche ohne Menüsteuerung. Dies ist der Runlevel von Diagnose-Knoppix. Der zusätzliche Runlevel 4 startet übrigens sowohl die Menüsteuerung in der Konsole als auch die grafische Besnutzeroberfläche. Um nach einem Scanvorgang im Internet nach Informationen – etwa zu gefundener Schadsoftware – zu suchen, ist dies der richtige Runlevel. Um beispielsweise in den Runlevel 4 zu wechseln, geben Sie in einer Konsole den Befehl init 4 ein.

Was spricht denn dagegen, im Grafikmodus zu scannen?

Die grafische Benutzeroberfläche verführt dazu, während eines laufenden Scanvorganges beispielsweise im Internet zu surfen oder sich auf den Festplattenpartitionen umzusehen. Bei Letzterem kommen sie möglicherweise den Scannern in die Quere, was Abstürze oder Datenverlust verursachen könnte. Beim Surfen im Internet fallen große Datenmengen an, für die unter Umständen der Arbeitsspeicher nicht mehr ausreicht. Bedenken Sie, dass der Browser seine Daten nicht auf der Festplatte zwischenspeichert, sondern in einer Ramdisk.

Kommentare

Infos zum Artikel

1Kommentare
Kommentare lesen (1 Beitrag)
  1. Avatar
Anzeige

Anzeige

Anzeige