Kostenlose Antivirus-Boot-CD: Dr. Web Live-CD

(Auf die Gründe, warum man ab und zu mal einen PC von einem externen Boot-Medium prüfen sollte, gehe ich an dieser Stelle nicht näher ein - näheres dazu finden Sie im Beitrag Antivirus-Boot-CDs.)

Ein in Deutschland eher unbekanntes Antivirenprogramm ist "Dr.Web", das wie Kaspersky aus Russland stammt und dort auch eine längere Vergangenheit hat - allerdings unter dem Namen "Dialogue Science". Auf der Website freedrweb.com bieten die Entwickler aus Moskau verschiedene Free-Tools, unter anderem eine Live-CD für Virenscans nach einem unkompromittierten Boot.

Nach dem Download brennen Sie die ISO-Datei einfach auf CD (-> ISO-Datei brennen). Beim Booten (-> Booten von CD) startet auf Wunsch eine angepasste Linux-Version mit dem Fenstermanager Xorg (Dr.Web Live-CD (Default)) oder eine Kommandozeilenversion (Dr.Web Live-CD (Safe Mode)). Alternativ wählen Sie Start Local HDD, womit Sie einfach wie normal Ihr Windows von der ersten Festplatte starten (sofern das noch geht).

Die angepasste Linux-Version finde ich recht gelungen, allerdings fährt sie nicht gerade überhastet hoch. Per Vorgabe startet darin nach der grafischen Oberfläche der Dr.Web Scanner, ein recht simpel gestrickter Virensucher. Markiert sind ab Werk die NTFS-Laufwerke von Windows, die Dr.Web meist ganz gut erkennt und für den Windows-User auch mit bekannten Laufwerksbuchstaben garniert.

Dr.Web-Live-CD-GUI

Über File, Update aktualisiert man die Signatur-Datenbank, per Start geht das Scannen los. Über +Add und –Delete lassen sich einzelne Verzeichnisse hinzufügen und Laufwerke von der Suche ausnehmen. (Dazu muss dann aber aber ein bisschen mit Linux-Konventionen umgehen können, hierzu sei dieses Buch empfohlen). Braucht man aber nicht:
Die voreingestellte ausführliche Virensuche auf allen Windows-Laufwerken ist immer ratsam, auch wenn sie lange dauert. Tipp: Vor dem Zubettgehen booten, alles lassen, wie es ist, auf Start klicken und am nächsten Morgen in aller Ruhe die Ergebnisse ansehen.

Die Suchergebnisse gehen in Ordnung, sie stellen zumindest bei mir auch Microsoft Security Essentials in den Schatten. Nicht gelöscht werden trotz entsprechender Voreinstellung in Settings, Main Options, Actions (siehe unten) alle Viren in ZIPs, Mail-Files und ähnlichen Containern. Das ergibt Sinn bei Mail-Containern, sonst nicht immer - wichtig ist daher, sich das Log (siehe unten) vor dem Neustart auf einen Datenträger zu ziehen. Damit man später weiß, wo noch was ansteckendes auf der Platte liegt und beseitigt werden muss.

Der Liste der Funde ist gelinde gesagt nicht besonders übersichtlich, auch eine Zusammenfassung gibt es nicht. Die Ergebnispräsentation gerät damit insgesamt gesehen sehr lieblos.

Immerhin kann man bei jedem Eintrag gleich auf Cure oder Delete klicken und den Schädling so loswerden – hierbei löscht die Software auch Container-Dateien mit infizierten Inhalten (was sie beim Löschen per Actions-Vorgabe nicht tut).

Um das Log anzusehen, starten Sie den Midnight Commander, wählen damit die Datei /root/.drweb/logs/scanner.log und drücken [F3]. Es ist ratsam, sich die Datei mit [F5] auf einen USB-Stick zu kopieren. Wer sich dabei nicht mit dem Mounten unter Linux abmühen will, startet die Live-CD gleich mit eingestecktem USB-Stick bzw. externer Festplatte, dann werden die externen Datenträger nämlich automatisch gemounted.

Wer vor dem Scannen an den Einstellungen spielen will:

  • Über Settings, Full check (Vorgabe) durchsucht der Scanner jede Datei, auch mit heuristischen Methoden. Das dauert ewig, ist aber gründlich (birgt jedoch die Gefahr potentieller Fehlalarme).
  • Über Settings, Fast check stellt man den oberflächlichen Modus ein, der nicht alle Dateien prüft, sondern nur infizierbare, und der dabei die Heuristik (unspezifische Erkennung unbekannter Viren) weglässt. Das verschlechtert die Erkennungsleistung, verkürzt aber ganz erheblich die Scan-Zeit und eignet sich daher, wenn man es eilig hat - und es reicht oft auch, um den typischen 08/15-Wurm im System aufzustöbern. (Nach einer ersten Entfernung oder einer vergeblichen Prüfung kann man ja nochmal gründlich suchen lassen.)
  • Von Settings, Advanced Mode würde ich die Finger lassen: Es lassen sich dann zwar über Settings, Advanced Options weitere Dinge einstellen, die man aber nur selten benötigt.

Interessant ist Settings, Main Options:

  • Im Register Actions stellen Sie ein, was Dr.Web Live-CD im Falle einer erkannten Infektion tun soll. Vorgabe ist durchgehend auf Report: Das heißt, Sie müssen dann hinterher selbst zusehen, wie Sie den Parasiten aus dem System kratzen. Man könnte durchaus einfach auf Delete umstellen – aber bei modernen Infektionen besteht dann die Gefahr, dass Windows nach der „Reparatur“ nicht mehr startet. (Ich rate Ihnen: Wenn das so ist, dann Neuinstallation... kein Scherz, jetzt.)

  • Im Register Support gibt’s Links zu Foren und so weiter, auch Hinweise auf den aktuellen Stand der Engine.

Was gibt’s auf der Dr. Web Live-CD sonst noch?

  • Das Mail-Programm Sylpheed ist mit einem Mail-Konto von Dr. Web vorinstalliert und wird von der Software selbst verwendet, um eine Datei an den Hersteller zu verschicken.
  • Der Browser Firefox startet kurioserweise mit den russischen Websites von Firefox und Dr. Web und in einer russischen Version – wenig hilfreich, denn mein russisch ist ehrlich gesagt etwas eingerostet. ;-)
  • Auf dem Desktop liegt der Midnight Commander, ein passabler Norton-Commander-Klon für Linux, der es einem erspart, sich mit der Kommandozeile Terminal abzumühen. MC ist das Mittel der Wahl, um Dateien von Windows auf einen USB-Stick oder eine externe Festplatte zu retten. Das sollte man tun, *bevor* man das große Löschen & Reparieren beginnt.
  • Create LiveUSB soll theoretisch einen Stick mit dem Dr.Web-Live-Linux ausstatten. Das geht wahlweise, indem Sie auf dieses Icon klicken, dann den Stick wählen und [Enter] drücken, in der Praxis geht es bei mir nicht. Ein anderer Weg soll darin bestehen, die Dr.Web Live-CD im Kommandozeilenmodus zu booten und dann via create_usb <laufwerk> das System auf USB-Stick zu schreiben - funktionierte bei mir ebenfalls nicht. Ich bin allerdings auch kein Linux-Guru, der das sicher irgendwie hinpfriemeln könnte.

Fazit: Dr.Web Live-CD

Die Boot-Scan-CD von Dr.Web finde ich überdurchschnittlich brauchbar.

  • Gut: sucht nach Viren, ohne gleich alles kaputtzuhauen; LAN-Update funktioniert; der Dateimanager Midnight Commander stellt begrenzt Rettungsfunktionen für Files bereit
  • Schlecht: Ergebnisliste ist schäbig und unübersichtlich; ein Button zum Betrachten des Ergebnisses und des Logfiles fehlt; die USB-Stick-Funktion funktioniert (bei mir) nicht; Browser ist russisch. Aber: Einem geschenkten Gaul schaut man nicht ins Maul!

Gehört in jede Boot-CD-Tasche eines PC-Helfers.

Alternativen:

Vielleicht für Sie interessant:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

1 Antwort

  1. Markus sagt:

    Hallo,

    vielen Dank für das Thema Live-CD.

    Leider kann ich Dr.Web nicht updaten. Eine Internetverbindung habe ich per ifconfig in der Konsole zustande gebrachte (habe eine feste IP). Nur leider scheint sich das Programm kein Update zu holen (Anzahl der Einträge in der AV-Datenbank und Versionsnummer bleibt unverändert), eine Fehlermeldung erhalte ich nicht, ein Log lässt sich nicht erstellen.

    Es gibt die Möglichkeiten, Updates manuell von Dr.Web zu beziehen (http://download.drweb.com/bases/?lng=en); jedoch kann ich nicht nachvollziehen, was wohin gespeichert werden muss und wie ich diese Updates in die Live-CD einspielen kann.

    Vielleicht kann mir jemand ein paar Tipps oder Hinweise geben.

    Gruß Markus