Hallo Trojis,
ich wende mich an euch da Google bei bei meinen Versuchen eine Lösung zu finden versagt.

Ich wurde nun bereits mehrfach von Personen angesprochen für eine Lösung einen USB-Stick von Kunden/Patienten etc. auf Viren zu überprüfen. Leider habe ich namentlich auch keinen Oberbegriff für diese Suche und daher erhalte ich eher Lösungen von Google geschmissen für einen Rettungs/Recover-USBStick.

Ich traf bereits jemanden der mir verriet dass es eine externe Lösung gibt (in Form eines kleinen Cubes mit 4 USB-Ports) welche die Daten auf dem USB-Stick in eine oder mehrere .PDFs verpackt und in ein lokales Verzeichnis verschiebt. Leider wusste auch dieser nicht mehr wie so ein Cube heißt oder wo man ihn bekommen (Hersteller). Es ist mit Sicherheit auch nicht die super Lösung aber ich denke bereits so ist es eine Erste-Hilfe-Maßnahme und somit wäre ich daran wirklich interessiert.


Ich würde mich also freuen wenn ihr mir bei dieser Suche behilflich sein könntet und vielleicht, sofern es bereits Erfahrung mit solch einen Gerät gibt, auch ein paar Tipps/Empfehlungen geben könntet.


// Falls es hierzu bereits Threads gibt tut es mir Leid einen weiteren darüber aufgemacht zu haben, gleiches falls es im falschen Unterforum ist. Auch hier bin ich in der SuFu einfach nicht fündig geworden


Vielen Dank im Vorfeld für jede Teilnahme an diesem Thread!

Letztendlich wäre so ein "Cube" wieder eine proprietäre Lösung, d.h. sobald der Hersteller das Interesse verliert (oder pleite geht) fehlen euch die Antiviren Signaturen.

Aus meiner Sicht die einzig vernünftige und sichere Lösung: ein Linux auf einem dedizierten Rechner in dem man den Stick erstmal öffnet und scant. (Viele AV Anbieter bieten AV Software an die unter Linux nach Windows Schädlingen sucht. Dies wird z.B. für Mailserver gerne genutzt).

Dort hat man dann auch die Möglichkeit die Autostart Datei des Sticks zu deaktivieren und eventuelle verdächtige Dateien auf eine Seite wie Virustotal hochzuladen.

Eine kostengünstige Lösung wäre auf die C't Disinfec't zu warten die jetzt im März oder April neu herauskommen dürfte, in der Regel drei etablierte AV Programme und das Recht die Signaturen ein Jahr zu aktualisieren enthält. Für den ganz normalen C't Heftpreis eine sehr kostengünstige Sache.

Zitat:

Zitat von W_Dackel

Eine kostengünstige Lösung wäre auf die C't Disinfec't zu warten die jetzt im März oder April neu herauskommen dürfte, in der Regel drei etablierte AV Programme und das Recht die Signaturen ein Jahr zu aktualisieren enthält. Für den ganz normalen C't Heftpreis eine sehr kostengünstige Sache.

Bei Virenscanner in Linux installiert bekomm ich Bauschmerzen. Die meisten AVs machen unixoide Systeme eher kaputt

Und irgendwie hab ich den Eindruck, dass hier wieder vergessen wird, dass ein Virenscanner niemals alle Schädlinge finden kann also keine 100% Rate haben kann.

Man kann aber den Stick erstmal mit Linux sichten und dann legitime saubere Files dann zentral auf nem Fileserver ablegen. Auf diesem kommt man mit Windows ja auch wieder rauf. Sofern es nicht reicht, einfach mit dem Linux-System das Dokument zu öffnen.

Wenn jemand meint sein eigenes Linux mit einem Echtzeitscanner laufend prüfen zu müssen (wie unter Windows) stimme ich dir zu.

Wenn aber unter Linux Scanner nur Dateien prüfen die für Windows Geräte gedacht sind (Mailserver, Samba Server) sehe ich das ganz anders.

Die C't ist ein besonderes Ding, da haben sich Heise Redakteure viel Mühe gemacht diverse AV Scanner in ein Ubuntu so einzubauen dass auch ein Laie davon (USB Stick oder notfalls CD) booten kann, AV scans auf der Windows Installation durchführen kann und die Daten leicht jemandem zugänglich machen kann der etwas davon versteht (Logdateien kopieren, Teamviewer starten ...).

Das und ein Jahr Signaturupdates für AV Scanner wie typischerweise Bitdefender und Kaspersky ... für den Preis des ganz normalen C't Hefts.

Daher bin ich auch so ein Fan davon. Selbst die Grundeinstellungen sind super, ClamAV ist grundsätzlich ausgeschaltet

Gerade meine anderen Kollegen raten von diesen Live-AV-Systemen komplett ab. Und ich finde das auch zu Recht:

1. hat ein AV ein false positive löscht es rücksichtslos die Datei - es gibt dann kein Log darüber und der Laie, dem dieses AV-Rescue-System empfohlen wurde, steht dann im Regen mit einem nobooter und vermutlich komplett defektem System da

2. können wir im TB die Kisten auch so reinigen und für Kontrollscans kommt dann sowas wie Malwarebytes, ESET Online oder Emsisoft Emergeny Kit zum Einsatz

Hat Larusso erst letztens hier gepostet => http://www.trojaner-board.de/184332-...ml#post1639184


Also ich finde wenn wir hier in diesem Fall dem TO "fjet" ne zweite Kiste mit Linux empfehlen, dann ein fest installiertes wie zB Ubuntu MATE.

Die Live-Systeme haben auch den gravierenden Nachteil, dass sie vom Patchstand her eingefroren sind. D.h. irgendwann ist das System veraltet. Ein installiertes System kann man immer updaten über die Paketverwaltung.

Stimmt für alle, außer für die Disinfec't.

Die "mounted" die Windows Platten erstmal nur "readonly" und generiert nur Logs. Wer den Artikel im Heft liest liest dass man diese Logs mit jemandem der sich auskennt durchsprechen soll bevor man was löscht.

Die Disinfec't basiert auf Ubuntu und ist dazu gedacht auf bootbarem USB Stick installiert zu werden, d.h. es aktualisiert sich sowohl das Betriebssystem als auch die Virensignaturen.

Generell teile ich eure Kritik dieser Live Systeme, bei Disinfec't gilt sie ausnahmsweise nicht, sonst hätte ich die auch nicht empfohlen.

Wenn der TE ein "normales" Linux installiert muss er evtl. die Lizenzen für die AV Updates separat bezahlen, dann wird es definitiv teurer als die paar Euro fürs Heft, außerdem erfordert es recht gute Kenntnisse unter Linux AV Scanner so zu installieren dass sie nicht nerven (unter Windows kann ich AV Scanner gar nicht so installieren, da hänge ich komplett von den Auswahlboxen des AV Herstellers ab).

Daher mein Vorschlag.

Also kurz: deine Vorbehalte sind berechtigt, bei Disinfec't haben die Heise Redakteure aber gründlich gearbeitet so dass diese Probleme da nicht auftreten.

Ganze Artikel lesen? das macht doch kein DAU

Deswegen mountet die Disinfec't read only. Dann kann ein DAU auch nix löschen.

Disinfec'T löscht übrigens nie sondern benennt nur um (glaube .virus). D.h. auch der Super DAU kann bei Fehlalarmen die Datei wiederherstellen wenn er die Kiste erst mal write gemounted hat. Bei der Disinfec't muss man sich schon arg anstrengen (z.B. die Registry editieren oder Systemdateien löschen) um sich das System zu verballern.

Grüße,

Zitat:

Zitat von W_Dackel

sobald der Hersteller das Interesse verliert (oder pleite geht) fehlen euch die Antiviren Signaturen.

Bereits dieser eine von mir unbedachte Punkt hat mich bereits von der Idee hinter solch einen Cube nun wieder abschrecken lassen. Wenn ich solch ein Gerät bei den "großen" Herstellern nicht finde dann 1. vermutlich auch zurecht und 2. möchte ich keinen von einer evtl. bald fallen gelassenen kleinen Bude kaufen. Vielen Dank für die vielen tollen Beiträge.

Selbst ein großer Hersteller wäre da keine Garantie:

Denk an Windows Phone, angeblich ein gutes System, aber eine Sackgasse.
Oder an all die Samsung Handys die ein Schweinegeld kosten und spätestens nach zwei Jahren keine Sicherheitsupdates mehr bekommen (bin da sehr enttäuscht).

Generell muss man mit "Lock In" Lösungen extrem aufpassen, dann lieber etwas unter eigener Kontrolle, auch wenn es erst mal mehr Arbeit ist.

Wenn es so mehr Arbeit macht, dann kann man einen zweiten Rechner mit installiertem Linux nehmen und die Dokumente erst da sichten. Wenn die Dateien ok sind kann man sie bei Bedarf ja auf ein Fileserver schieben sodass man mit dem Windows-Rechner wieder drankommt OHNE den Stick zu benutzen.


Keine Frage das ist umstänlich, aber Sicherheit war noch nie bequem.

Ganz platt: das ist das was ich an Stelle des Threaderstellers tun würde:

Erstmal Disinfec't auf einem Uralt Rechner installieren, auf dem die verdächtigen USBs inspizieren, "autorun.inf" etc. lahmlegen und dann die Daten aufs Netz schieben.

Wenn Disinfec't mal nichtmehr angeboten werden sollte ein "normales" Linux (Ubuntu, Mate, Suse wasauchimmer) installieren und eine Lizenz eines AV Herstellers des geringsten Misstrauens erwerben. Den Scanner dann auf "on demand" stellen und ein udev Script das beim Einstecken eines Sticks automatisch den Scan startet.

Ist mehr Arbeit als die Disinfec't, daher würde ich den Aufwand auch erst treiben wenn ich weiß dass die Kollegen mitmachen. Falls die Kollegen Kundensticks nach wie vor "einfach in ihre WinDose" einstecken nützt der schönste Linux Rechner nichts.

Und nein, Linux ist für Windows Nutzer nicht mehr umständlich zu benutzen, umlernen muss nur derjenige der die Linux Kiste administriert- für reine Klick Nutzer verhält es sich so dass die meisten gar nicht merken dass sie Linux verwenden.

Ich meinte nicht, dass Linux umständlich ist, sondern dieser Workflow: nämlich den Stick erstmal nur an einem Linux-Rechner anzuschließen. Und da braucht man keinen Virenscanner um die Officedatei zu sichten. No

Aber wer diesen Aufwand nicht gehen will, muss halt mit dem Risiko leben wenn er ungeprüft gleich die Sticks in ein Windows-Rechner steckt

Wenn es nur darum geht, eine aktive Infektion zu bereinigen, und wenn der Stick nicht bootbar sein soll oder so, kann man doch einfach eins von folgenden Sachen machen:
a) Alle Dateien und Order, die man behalten will, irgendwo zwischenspeichern, Stick formatieren, Daten wieder drauf.
b) Versteckte Dateien sichtbar machen, alle Dateien und Ordner im Wurzelverzeichnis, die man nicht explizit behalten will, löschen.

Dann kann natürlich noch irgendeine verseuchte .exe oder was im Verzeichnisbaum vergraben liegen, aber das kann man dann ja auch unter Windows mit scannen oder halt, wenn man den entsprechenden Ordner öffnet und da unbekannte oder ausführbare Dateien sieht, die dann löschen. Die werden ja nicht mehr automatisch gestartet.

Ich glaube wir übersehen in der Diskussion eine Sache:
Ich glaube fiet sucht etwas das er Computerlaien in die Hand geben kann. Also Stick in nen Cube, warten, grünes Licht geht an, Stick ist sauber.

Daher mein Vorschlag mit Disinfec't oder einem "normalen" Linux mit AV Scanner: Stick rein, Scanner starten, Scanner sagt ist OK, Daten auf das Netzlaufwerk ( oder man schreibt eben ein Script das das automatisch tut).

Ich glaube nicht dass fiets Klientel sich zutraut selbst zu beurteilen ob Daten "sauber" sind wie es für viele hier (gerade Cosinus) kein Problem wäre.