Malware entfernen Teil-6: Offline-Scan
24. Oktober 2016
Fragwürdige Prozesse wurden bereits beendet, und verdächtige Spuren mit Spezial-Tools wie Hijackthis und FRST analysiert? Bei einem Verdacht auf unerwünschte Werbesoftware setzen die Systembetreuer auf Adware-Entfernprogramme. Bringt dies keine Verbesserung, und Spezial-Tools wie Combofix bringen nicht den erwünschten Scan-Erfolg? Dann wird es unter Umständen Zeit die Festplatte im Offline-Modus auf „Herz und Nieren“ zu prüfen.
Hierbei sind unterschiedliche Methoden anwendbar. Beispielsweise starten die Systembetreuer mit einer entsprechenden CD, DVD oder einem USB-Massenspeichermedium ein separates Betriebssystem, und führen auf diesen Wege einen „Offline-Scan“ durch. Dabei können sich die Administratoren selbst ein alternatives Betriebssystem erstellen, etwa mit einem entsprechenden USB-Stick, und dem Einsatz von „Windows-to-Go“ (benötigt die Enterprise-version von Windows 8.1 respektive Windows 10). Auch bieten viele Antiviren-Programm-Hersteller extra für diesen Zweck entsprechende Images an, diese basieren meist auf dem Linux-Betriebssystem.
Alternativ entnehmen die IT-Betreuer die verseuchten Massenspeicher (HDDs oder SSDs des betroffenen Systems), und „hängen“ diese in einem anderen System „ein“. Hier eignen sich besonders extra für diesen Zweck vorbereitete Systeme, auf denen die entsprechenden Tools und Anwendungen bereits vorbereitet zur Verfügung stehen. Die jeweiligen Festplatten binden die Systembetreuer beispielsweise mit entsprechenden USB-Adaptern oder Docking-Stationen an. Im Anschluss daran führen die Systembetreuer am besten mehrere Scan-Vorgänge mit unterschiedlichen Anti-Malware-Anwendungen durch. Wichtig ist dabei vor allem, dass wirklich der gesamte Speicherbereich der „verseuchten“ Massenspeicher durchsucht wird. Daher gilt es besonders darauf zu achten, dass der Zugriff auf alle Dateien und Ordner möglich ist (Dateiberechtigungen anpassen).
