c't 14/2021
S. 176
FAQ
Desinfec’t 2021

FAQ

Desinfec’t 2021

Mit unserem Sicherheitstool jagen Sie Trojaner und greifen auf wichtige Daten von nicht mehr startenden PCs zu. Die meisten Probleme bei der Nutzung sind meistens ohne viel Aufwand lösbar.

Von Dennis Schirrmacher

USB-Stick-Erstellung schlägt fehl

Ich will Desinfec’t 2021 wie im Heft beschrieben unter Windows auf einem USB-Stick erstellen. Leider bricht der Vorgang immer mit der Meldung „Error 5“ ab. Was mache ich falsch?

Das Problem lässt sich oft lösen, indem Sie für die Dauer der Stick-­Erzeugung Ihren Virenwächter deaktivieren. Vergessen Sie aber nicht, den Echtzeit-Scanner im Anschluss wieder zu aktivieren, sonst ist Ihr System potenziell gefährdet. Hintergrund dafür ist, dass manche AV-Scanner einen Master-Boot-Record-Schutz (MBR) mitbringen. Der soll verhindern, dass sich ein Trojaner in den ersten 512-Byte-Blocks eines Laufwerks einnistet, verhindert aber auch, dass das Erstellungstool den für Desinfec’t nötigen Boot-Manager schreibt.

Läuft Desinfec’t nur ab 8 GByte RAM?

In der c’t-Ausgabe mit dem Sicherheitstool steht, dass das Live-System nur auf Systemen mit mindestens 8 GByte RAM läuft. Das schränkt den Einsatzzweck für mich deutlich ein, da zum Beispiel meine Eltern noch alte Windows-PCs mit 4 GByte Arbeitsspeicher haben.

Die Formulierung mit den 8 GByte ist missverständlich. Wenn Sie Desinfec’t von einer DVD nutzen, sollten der Computer möglichst über 8 GByte RAM verfügen, damit das System gut läuft. Der Grund dafür ist, dass der Unterbau von Desinfec’t ein Live-System ist, das aus dem Arbeitsspeicher läuft. Vor allem die temporär im RAM abgelegten Signaturupdates füllen den Arbeitsspeicher rasant. Läuft das System von einem USB-Stick mit 16 GByte, dann landet darauf neben den aktualisierten Signaturen auch die Auslagerungsdatei; das spart RAM. In diesem Szenario sollte Desinfec’t auch auf Computern mit 4 GByte RAM nutzbar sein. Wenn der Computer nur über 2 GByte verfügt, sollten Sie sich für einen der schlankeren Scanner von Avast oder Eset entscheiden, damit der Arbeitsspeicher nicht überläuft.

Eset lässt sich nicht aktualisieren

Das System läuft so weit ziemlich rund. Aber immer, wenn ich meinen Computer mit Eset scannen will, schlägt das Signaturupdate für diesen Scanner fehl. Mach ich irgendwas falsch?

Nein, Sie machen alles richtig. Bei der Veröffentlichung von Desinfec’t 2021 kam es bei Eset leider zu einem Ressourcenproblem und bei einigen Nutzern lief das Update in einer Endlosschleife. Mittlerweile haben wir das Problem in Zusammenarbeit mit dem AV-Anbieter gelöst. Damit die Aktualisierung klappt, müssen Sie das p1-Update für Desinfec’t installiert haben. Das geschieht in der Regel automatisch, sobald das System über eine ­aktive Internetverbindung verfügt. Ob das System aktuell ist, sehen Sie oben rechts im Statusfenster. Steht dort „Desinfec't 2021 p2“, ist es auf dem aktuellen Stand. Taucht die Bezeichnung nicht auf, stoßen Sie das Update mit den Befehlen sudo apt-get update und sudo apt-get -y dist-upgrade an. Dank der Anpassung stehen Desinfec’t-Nutzern mehr Update-Slots zur Verfügung. Klappt die Aktualisierung immer noch nicht, starten Sie den aktualisierten Desinfec’t-Stick neu und geben Sie anschließend im Terminal die Befehle sudo /opt/desinfect/update_eset.sh ein.

Desinfec’t trotz LAN-Kabel offline

Ich nutze Desinfec’t auf einem ziemlich aktuellen Computer mit einem 2,5-­Gbit-Netzwerkcontroller und einer NVMe-SSD. Das System startet problemlos. Wenn ich ein LAN-Kabel anschließe, baut sich aber keine Verbindung zum Internet auf. Außerdem sieht der Scan-­Assistent meine NVMe-SSD nicht. Wenn ich dann meine andere Festplatte scanne, tauchen andauernd Input-Output-Fehler auf. Kann ich dagegen was machen oder ist Desinfec’t nicht mit meinem Computer kompatibel?

Das klingt so, als könnte der alter­native in Desinfec’t implementierte Linux-­Kernel 5.11 helfen. Dieser ist neuer als der bewährte Standard-Kernel 5.8 und bringt mehr Treiber für aktuelle Hardware mit. Um das System damit zu starten, wählen Sie im Desinfec’t-Bootmenü den Eintrag mit Kernel 5.11 aus. In unseren Tests haben wir damit beispielsweise eine bessere Kompatibilität mit NVMe-SDDs erreicht. Erscheint beim Start von Desinfec’t mit dem Kernel 5.11 die Fehlermeldung „error: /casper/vmlinuz.55 has invalid signature“, deaktivieren Sie im BIOS/UEFI die Secure-Boot-Option. Hintergrund ist, dass Ubuntu Mainline-Kernel nicht signiert, worüber Secure Boot meckert.

Damit Desinfec’t 2021 noch mehr aktuelle Hardware wie NVME-SSDs erkennt, starten Sie das System über das Bootmenü mit dem Kernel 5.11.

Schrift zu klein: Auflösung dauerhaft umstellen

Wenn ich Desinfec’t auf meinem Laptop mit 4K-Bildschirm starte, kann ich die Schrift aufgrund der hohen Auflösung kaum lesen. Deswegen lasse ich mir zuerst im Terminal mit dem Befehl xrandr die verfügbaren Auflösungen anzeigen. Anschließen stelle ich mit xrandr -s 1280x800 eine niedrigere Auflösung ein, sodass die Schrift größer wird. Das muss ich aber nach jedem Neustart erneut eingeben. Gibt es eine Möglichkeit, die Auflösung dauerhaft zu ändern?

Ja, das funktioniert. Dafür müssen Sie lediglich ein vorhandenes Skript mit ein paar Befehlen im Terminal anpassen. Öffnen Sie nun mit den folgenden Befehlen mit dem integrierten Editor das Skript autoscan.sh. Dieses ist namensgebend eigentlich dafür da, um nach dem vollständigen Aufbau des Desktops automatisierte Scans auszuführen. Man kann es aber auch zur dauerhaften Anpassung der Bildschirmauflösung nutzen. Öffnen Sie dazu die Datei im Editor Scite:

sudo scite /opt/desinfect/signatures/autoscan.sh.

Nun tragen Sie den folgenden Abschnitt in das Skript ein. 

xrandr -s 1280x800
killall -9 conky
conky &

Wenn Sie den Stick auf mehreren PCs nutzen, können Sie pro Computer eine spezifische Auflösung festlegen. Dafür müssen Sie zuerst mit den folgenden Befehlen die PC-Seriennummer herausfinden und diese notieren.

sudo dmidecode |grep UUID

Im nächsten Abschnitt ersetzen Sie XXX mit der Seriennummer des jeweiligen Computers. Für mehrere PCs kopieren Sie die Einträge und passen die UUID-Nummern an. Nach einem Neustart gibt Desinfec’t auf dem jeweiligen Computer die eingestellte Auflösung aus. 

if sudo dmidecode | grep -i XXX ; then 
    xrandr -s 1920x1080 
    killall -9 conky 
    conky & 
fi

Desinfec’t-Stick löschen

Ich möchte meinen Desinfec’t-Stick nun wieder wie einen normalen USB-Stick nutzen. Leider wird unter Windows nach der Formatierung nur noch ein Bruchteil der eigentlichen Speicherkapazität angezeigt. Ist der Stick jetzt kaputt?

Nein, der USB-Stick ist nicht kaputt. Desinfec’t nutzt mehrere Partitionen, die Windows nicht alle erkennt. Dort versteckt sich der vermisste Speicherplatz. Um den Stick vollständig zu löschen, benutzen Sie am besten das Windows-Kommandozeilenprogramm diskpart. Um es unter Windows 10 zu starten, tippen Sie einfach diskpart in das Suchfeld in der Taskleiste ein und drücken die Eingabetaste. Mit den folgenden Befehlen identifizieren Sie den Stick, wählen ihn aus – das „?“ müssen Sie durch die korrekte Ziffer, die Ihren Stick auszeichnet, ersetzen und löschen diesen: 

list disk
select disk ?
clean
create partition primary

Nun können Sie den Stick wie gewohnt in der Laufwerksauswahl mit der vollen ­Speichergröße formatieren.

Desinfec’t-Installer infiziert?

Ich habe das Installationsprogramm Desinfect2USB_64_Bit.exe zum Online-Viren-Analysedienst VirusTotal hochgeladen und von den über 60 Scannern hat MaxSecure die Datei als einen Trojaner eingestuft. Muss ich mir Sorgen machen?

Nein. Dabei handelt es sich um einen Fehlalarm.

TeamViewer geht nicht

Ich wollte meiner Tante mit dem Fernwartungstool TeamViewer helfen und mir ihren wahrscheinlich mit Trojanern verseuchten Windows-PC anschauen. Leider konnte ich das Tool nur genau einmal nach dem Start von Desinfec’t aufrufen. Beim zweiten Mal kommt beim Startvorgang immer der Hinweis, dass die Version vermutlich nicht privat genutzt wird und die Verbindung bricht nach einigen Minuten ab. Was ist da los?

Wir konnten den Fehler reproduzieren. Mit einer aktuelleren Version von TeamViewer tritt das Problem nicht mehr auf. Wir liefern diese Version mit dem p2-Update von Desinfec’t aus. Solche System-Updates installiert Desinfec’t automatisch, wenn es über eine aktive Internetverbindung verfügt. Klappt das nicht, führen Sie das Update im Terminal mit den Befehlen sudo apt-get update und sudo apt-get -y dist-upgrade durch.

Verschlüsselte Festplatte nicht sichtbar

Ich habe meine Windows-Festplatte vollständig mit VeraCrypt verschlüsselt. Leider kann ich die Partition nicht scannen.

Starten Sie VeraCrypt im Expertentools-Ordner und wählen die verschlüsselte Festplatte aus. Bei einer Vollverschlüsslung von Windows müssen Sie noch den Punkt „Mount partition using system encryption“ aktivieren. Nach der Eingabe des Passworts für die verschlüsselte Platte sollte diese im Scan-Assistenten auftauchen.

Damit VeraCrypt voll verschlüsselte Windows-Festplatten erkennt, müssen Sie die Option „Mount partition using system encryption“ auswählen.

Weitere Hilfe

Das Desinfec’t-Forum (siehe ct.de/yabn) ist die erste Anlaufstelle, wenn Sie Schwierigkeiten oder sogar Lösungen für Probleme haben. Dort tauschen sich nicht nur Nutzer aus, auch die Redaktion und der Desinfec’t- Entwickler sind dort aktiv. (des@ct.de)

Desinfec’t-Forum: ct.de/yabn

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen