Letzte Rettung nach dem Computercrash: Ultimate Boot CD for Windows
B. Brandel
Die einzig Erfolg versprechende Methode, einen PC nach einem Malware-Befall zu säubern, ist -
abgesehen von einer kompletten Neuinstallation - die Prüfung aller Festplatten mit Hilfe eines sauberen Systems. Den Umbau der
Festplatten und Anschluss via USB an ein sauberes System will man aber aus Zeitgründen vermeiden.
Die praktikabelste Methode ist daher der Malware-Check per Live-CD. Das für Windows-Rechner
ideale Live-System Ultimate Boot CD for Windows, das nicht nur zur Schädlings-Prüfung, sondern u.a.
auch zur Fehlerdiagnose, zur Rettung gelöschter Daten und Partitionen und zum Datenbackup hervorragend
geeignet ist, wird in diesem Artikel vorgestellt.
Ausgangssituation
Die Behebung von Computerproblemen gehört zur täglichen Arbeit im Universitätsrechenzentrum.
Gerade wenn der Lehrstuhlrechner nicht mehr bootet oder das Notebook virenverseucht ist,
liegen darauf besonders wichtige, aber leider nicht gesicherte Daten. Ein Student hat
gerade versehentlich die einzige Fassung seiner Seminararbeit gelöscht oder die Sekretärin
muss unbedingt auf ihrem verseuchten Rechner dringende Terminarbeiten erledigen.
Wie helfen? Eile ist angesagt. Was tun? Platten ausbauen und über einen USB-Adapter
an ein integres System anschließen? Das dauert zu lange - außerdem müssten wir auf dem
Diagnose-PC zuerst diverse Rettungstools installieren.
Anforderungen an ein Rettungswerkzeug
Wir bräuchten ein Rettungstool, das schnell verfügbar, leicht aktualisierbar und vielseitig einsetzbar wäre.
Was müsste es alles können, wie müsste es aussehen?
Die Entfernung von Viren im laufenden Windows-Betrieb scheitert meist - selbst im
abgesicherten Modus, auch wenn die Mär sich immer noch hartnäckig hält. Auch beim Wiederherstellen
gelöschter Dateien sollte man tunlichst nicht auf dem
betroffenen Datenträger arbeiten, sonst würden womöglich bei der Rettungsaktion die zu rettenden
Festplattenbereiche mit neuen Daten überschrieben und damit endgültig zerstört.
Daher benötigen wir ein bootbares Live-System, also ein Betriebssystem, das von einem Datenträger,
z.B. einer CD, ohne Installation und ohne Beeinflussung des Inhalts der Festplatte gestartet werden kann. Beim
Bootvorgang muss es selbstständig seine Hardware erkennen und sich selbst konfigurieren, indem
es alle benötigten Treiber (v.a. Grafikkarte, Netzkarte etc.) in den Hauptspeicher lädt. Als Ersatz für
eine physische Festplatte muss es einen Teil des physischen Hauptspeichers als virtuelle Festplatte (RAM-Disk)
verwenden können.
Unser Werkzeug muss Rettungstools griffbereit haben, die universell auf möglichst allen
Hardware-Plattformen eingesetzt werden können und nicht erst mühsam zusammengesucht, installiert und
aktualisiert werden müssen.
Inhaltlich sollte es alle Software-Tools enthalten, die zur Malware-Entfernung, zur Fehlerdiagnose und
zur Datenwiederherstellung notwendig sind.
Es muss bequem möglich sein, alle 2-4 Wochen eine Live-CD mit den neuesten
Malware-Signaturen zu generieren. Dazu muss es bei der Erzeugung der CD gut durchdachte
Update-Mechanismen für die enthaltene Software geben.
Da wir im Schadensfall aber tagesaktuelle Malware-Signaturen benötigen, muss sich auch
das Live-System nach dem Booten zuverlässig über das Internet aktualisieren können. Daher
sollte die Live-CD möglichst alle an der KU verwendeten Netzkartentreiber enthalten. Ideal wäre
auch ein lauffähiger VPN-Client.
Der erweiterte ASCII-Zeichensatz ist unter Windows, Linux und MS-DOS jeweils
unterschiedlich. Trotzdem erlaubt Windows unsinnigerweise Leerzeichen und Umlaute in Dateinamen.
Wenn man nun mit Linux Windows-Verzeichnisse kopiert, werden manche Windows-Umlaute in
Dateinamen als Escape-Sequenzen für den Kopierbefehl fehlinterpretiert, weshalb beim Sichern
ganzer Windows-Dateibäume mit Linux u.U. einzelne Dateien nicht mitkopiert werden, was jede
Datensicherung zum Lotteriespiel werden lässt. Da wir aber vor allem Windows-Probleme beheben
müssen, sollte unser Live-System Windows-basiert sein. Linux-basierte Live-Systeme wie Knoppix
oder Knoppicillin werden daher besser nur zur Rettung von Linux-Rechnern verwendet.
BartPE
Das bekannteste nicht kommerzielle Windows-Live-System ist BartPE (Bart Preinstalled Environment)
[1], benannt nach seinem
Entwickler Bart Lagerweij und der kommerziellen Live-CD "Microsoft Windows Preinstallation
Environment (WinPE)", mit dem BartPE ansonsten nichts zu tun hat.
Die bootbare Live-CD "BartPE" wird mit Hilfe des Programms Bart's PE Builder unter Verwendung
einer Windows-Installations-CD (XP oder 2003) erstellt.
Die ins Live-System integrierten Softwareanwendungen werden im "PE Builder" mittels Plug-Ins
eingebunden und erscheinen nach Erstellung der Live-CD in deren Startmenü.
Ein Vista-Installationsdatenträger kann nicht zur Live-CD-Erstellung verwendet werden. Dies ist aber
unerheblich. Denn Vista-Rechner können selbstverständlich ebenfalls mit der erstellten Live-CD gebootet
und untersucht werden.
PE-Builder stellt eine komplette Windows32-Umgebung mit Netz-Support, einer grafischen Oberfläche
und voller NTFS-Unterstützung zur Verfügung.
Mittels BartPE kann man defekte Windows-Systeme testen und reparieren, im Notfall gelöschte Dateien
wiederherstellen und auf USB-Stick oder per E-Mail-Versand sichern, den PC auf Malware scannen und
noch vieles mehr. Mittels zusätzlicher Plug-Ins kann weitere Software problemlos eingebaut werden.
Durch sein freies Plug-In-Konzept ist der "BartPE Builder" und damit auch die
Live-CD sehr flexibel erweiterbar. Da jeder Plug-Ins veröffentlichen darf, ist deren Qualität
und Stil leider sehr unterschiedlich.
Z.B. hat jedes Viren-Scanner-Plug-In seine eigene Update-Variante.
Manchmal müssen Signatur-Updates schon im Plug-In-Verzeichnis des "PE Builder" also
schon vor der Erzeugung der Live-CD, durchgeführt werden, manchmal gibt es nur ein Update
während des Live-CD-Betriebs via USB-Stick, manchmal nur im Live-Betrieb übers Internet
oder das Update funktioniert überhaupt nicht.
Bei "BartPE" fehlt also ein klares, einheitliches Konzept samt Qualitätsprüfung der Plug-Ins.
Die Auswahl geeigneter Plug-Ins ist somit sehr mühsam und schwierig.
Ultimate Boot CD for Windows (UBCD4WIN)
Erfreulicherweise gibt es jedoch Ultimate Boot CD for Windows (UBCD4WIN) . Basierend auf
BartPE vermeidet UBCD4WIN aber dessen Nachteile:
UBCD4WIN ist eine PE Builder-Distribution mit sorgfältig ausgewählten und getesteten
Plug-Ins, insbesondere aus den Themenbereichen AntiSpyware, AntiVirus, Backup und Recovery, Systemdiagnose und Netz.
Aber auch Standardanwendungen wie Webbrowser, Editoren, Brennsoftware, Filemanager etc. sind implementiert.
Alle Tools sind von der UBCDWindows Group getestet und für gut befunden worden.
Eine immense Zahl von Netzkartentreibern wird unterstützt,
so dass man mit UBCD4WIN fast mit jedem beliebigen PC ins Netz kommt. Sogar die WLAN-Karte
"Orinoco Gold" (PCMCIA), die an der KU über die Bibliothek ausleihbar ist,
wird unterstützt. Als einziger musste mit minimalem Aufwand der Treiber für unsere D-Link
DFE-550FX-Netzkarten nachinstalliert werden (s.u.), die an der KU in allen
Räumen mit Glasfaservernetzung im Einsatz sind.
Durch Spenden für Software-Lizenzen für das UBCD4WIN-Projekt gibt es im Gegensatz zu BartPE
bis auf wenige Ausnahmen keine Plug-Ins, die aus lizenzrechtlichen Gründen ohne die eigentliche
Software ausgeliefert und dann nachkonfiguriert werden müssen.
UBCD4WIN kann ebenso wie BartPE problemlos mit weiteren Plug-Ins erweitert werden. Z.B. gibt
es Plug-Ins für die Antivirus-Produkte von Kaspersky und BitDefender.
Außerdem gibt es ein Plug-In für den Cisco VPN-Client, das allerdings noch getestet werden muss.
Damit können wir auch unseren Studierenden bei Problemen mit ihren eigenen Notebooks weiterhelfen.
Das Durchführen von Updates für Malware-Signaturen im UBCD4WIN PE Builder ist vereinheitlicht,
so dass UBCD4WIN viel besser zu bedienen ist als der PE Builder.
Nach Start des UBCD4WIN-Live-Systems findet man in einer Übersicht (List of Tools) aussagekräftige Beschreibungen der
auf der Live-CD befindlichen Software sowie ausführliche Anleitungen zu wichtigen Anwendungsfällen wie z.B. Malware-Entfernung,
Windows-Reparatur, Registry-Reparatur etc. Diese Informationen sind im ausgepackten
UBCD4WIN im Plugin-Unterverzeichnis unter plugin\ListOfTools\UBCD4WIN.chm
abgelegt und können auch direkt von Ihrem Windows-Rechner aus aufgerufen und ausgedruckt werden.
Download und Installation des UBCD4WIN Builders
Als erstes müssen Sie die aktuelle Version des "UBCD4Win PE Builder" (ca. 220 MB)
in aktueller Version von einem der zahlreichen Mirrors unter
[2] herunterladen. Falls Patches erhältlich sind,
holen Sie sich diese ebenfalls.
Nach dem Download von UBCD4WIN sollte man unbedingt noch das weiter unten auf der Webseite angegebene MD5 Hash Tool
MD5Summer ([3]) installieren, mit dem
die MD5-Prüfsumme des UBCD4WIN-Downloads und damit dessen Integrität verifiziert werden kann. Falls die berechnete
Prüfsumme mit der auf der Webseite [2] angegebenen nicht übereinstimmt, muss der Download unbedingt wiederholt werden.
Achtung: Bevor Sie nun weitermachen, sollten Sie jetzt unbedingt Ihren Virenwächter anhalten! Dieser würde sonst bei
der Installation falschen Alarm schlagen. Sie müssten dann die Installation des UBCD4WIN
Builders abbrechen und nochmals neu durchführen! Es sind alles Fehlalarme, denn UBCD4WIN enthält
auch Software wie z.B. Netzdiagnosetools, die sowohl für "gute" als auch
für "böse" Zwecke eingesetzt werden können. Dies nehmen manche Virenwächter übel.
Anschließend wird durch Doppelklick auf den erfolgreich überprüften Download UBCD4WinV*.exe
der UBCD Builder installiert. Für das ganze Projekt sollten Sie auf jeden Fall ca. 1,5 GB
Festplattenplatz reservieren (für den UBCD4WIN Builder, das ISO-Image der Live-CD sowie evtl.
noch den Inhalt der Windows-Installations-CD).
Die Installation ist selbsterklärend. Übernehmen Sie einfach die vorgeschlagenen Einstellungen bei
Sprachauswahl, Zielordner und Startmenüeintrag. Lesen und akzeptieren Sie die Lizenzvereinbarung.
Sogar ein nochmaliger Integrationscheck des Downloads und auch eine Prüfung, ob es inzwischen Patches
gibt, wird durchgeführt. Mit der Fertigstellung der Installation können Sie gleich den UBCD4WIN Builder starten.
Start des UBCD4WIN Builders
Beim ersten Start von UBCD4WIN müssen noch einmal die Lizenzbedingungen des UBCD4WIN PE Builder
gelesen und akzeptiert werden. Da wir wissen, wo sich unsere Windows-Installationsdateien
befinden, brauchen wir nicht nach ihnen suchen, sondern tragen sie im übernächsten
Dialogschirm in der ersten Zeile ein.
Hier kann das CD-ROM Laufwerk, in dem sich selbige CD dann auch befinden sollte, angegeben werden.
Aus Gründen der Performance und der Fehlersicherheit ist es jedoch besser, den Inhalt der
Windows-Installations-CD
(XP oder 2003) auf die Festplatte, z.B. nach C:\XPCD zu speichern und dieses Verzeichnis als Quelle anzugeben.
Anschließend ist die Schaltfläche ISO-Image erstellen zu aktivieren und ein sinnvoller Name für die
Isodatei (z.B. C:\UBCD4Win\UBCD4WinBuilder.iso) anzugeben.
Vor dem nächsten Schritt muss nur noch der Treiber für die D-Link DFE-550FX-Netzkarte
(Glasfasernetz) nachinstalliert werden. Dazu muss lediglich das Treiberarchiv dieser
Karte entpackt und im UBCD4WIN PE Builder-Verzeichnis unter drivers\Net
in ein eigenes Unterverzeichnis mit beliebigem Namen abgespeichert werden.
Im nächsten Schritt schauen wir uns die installierten Plug-Ins genauer an, denn
wir müssen vor der eigentlichen Live-CD-Erstellung noch diverse Softwarekomponenten
auf den neuesten Stand bringen (insbesondere die Schädlingssignaturen der installierten
Viren- und Spyware-Scanner). Dazu klicken wir auf Plug-Ins und scrollen in der
Plug-In-Liste nach unten. Wir klicken nun sämtliche Plug-Ins aus den Themenbereichen
Anti-Spyware und Anti-Virus der Reihe nach an, bei denen der Hinweis
<Config- to update> steht, und drücken anschließend jeweils auf
Konfigurieren.
Ein Tool nach dem anderen aktualisiert nun seine Signaturen:
Hier zeigt sich die große Stärke des UBCD4WIN PE Builders gegenüber dem BartPE Builder:
Während bei BartPE jedes Plug-In unterschiedlich upgedatet werden muss, sind in UBCD4WIN alle
Plug-Ins auf diese gleiche einfache Weise aktualisierbar, obwohl die dahinter stehenden
Update-Prozesse von Software zu Software völlig unterschiedlich sind!
Die meisten Updates können natürlich auch online im laufenden Betrieb einer UBCD-Live-CD
vorgenommen werden, aber nur wenn für den zu untersuchenden Rechner ein Internetzugang zur Verfügung steht.
Falls Sie eine Lizenz von Kaspersky Antivirus v.6 oder v.7 besitzen, können Sie zusätzlich
noch im Themenbereich "Commercial Software" das entsprechende Plug-In anklicken
und z.B. als statisches Plug-In konfigurieren.
Zum Schluss klicken wir auf schließen und starten anschließend mit Start
die Live-CD-Erstellung, die nach Einrichtung des Unterverzeichnisses BartPE und Akzeptieren
der Microsoft Windows-Lizenzvereinbarungen durchgeführt wird.
Nachdem die Prozedur ohne Fehlermeldung durchgelaufen ist, schließen wir durch Klick auf Beenden
den UBCD4WIN PE Builder. Nun müssen wir nur noch mit einem Brennprogramm (z.B. Nero) das Live-CD-Image UBCD4WIN.iso
auf CD oder DVD brennen (mit anschließender Prüfung) und unsere UBCD4WIN-Live-CD ist fertig.
Die Verwendung von UBCD4WIN
Wenn Sie einen Rechner mit einer UBCD4WIN Live-CD starten möchten, müssen Sie lediglich die Live-CD
in das CD-Laufwerk des Rechners einlegen und von diesem Laufwerk booten.
Je nach Rechner muss zuvor noch im BIOS des PCs die Bootreihenfolge umgestellt werden, damit zuerst von
CD und dann von Festplatte gebootet wird. Auf Dell-PCs können Sie alternativ auch mittels "F12"-Taste
direkt in ein Bootmenü gelangen und können dort das CD-Laufwerk zum Booten auswählen.
Beim Hochfahren, das je nach Rechnerleistung ein paar Minuten dauern kann,
können Sie in der Regel die Default-Einstellungen verwenden.
Als allererstes erscheint ein Dialogfenster, das die Angabe der Netzkonfiguration verlangt.
Normalerweise sollten Sie im Universitätsnetz wie voreingestellt "DHCP" wählen.
Wenn alles klappt, wird Ihre Netzkarte erkannt und Sie erhalten vom DHCP-Server eine IP-Adresse zugewiesen.
Um nicht mit englischen Tastaturtreibern auf einer deutschen Tastatur arbeiten zu müssen, sollten Sie über
Start → Control Panel → Keyboard Layout
die Tastatur durch Eingabe von "gr" auf
deutsche Tastenbelegung umstellen.
Über Start → System → Display Resolution
können Sie schließlich noch eine zu Ihrem Monitor passende
Bildschirmauflösung auswählen.
Nun können die vorhandenen Softwaretools über das Startmenü genutzt werden (Virenscanner, AntiSpyware, Diagnosesoftware,
Datenrettungssoftware), entsprechende Software-Updates (z.B. Virensignaturen) können wie bereits erwähnt zumeist im
laufenden Betrieb vorgenommen werden. Meldungen wie z.B. von Antivir, dass ein Neustart nötig sei, können Sie getrost ignorieren.
Die Bedienung der Programme im Live-System ist genauso, wie wenn sie auf einem "normalen" Windows-PC
installiert wären. Genauso wie unter einem richtigen Windows-System werden die Ergebnisse auch auf einer Festplatte
abgelegt. Allerdings ist die Festplatte unter UBCD4WIN eine virtuelle, d.h ein Teil des Hauptspeichers wird für die
Dauer der Computersitzung als virtuelle Platte genutzt. Nach dem Herunterfahren des Live-Systems sind diese Daten
natürlich weg.
Sie müssen daher unbedingt darauf achten, vor dem Herunterfahren alle wichtigen Arbeitsergebnisse des Live-Systems
auf einen USB-Stick bzw. auf die physische Platte zu sichern oder sich per Web-Mailer die Daten als Anhang zuzusenden.
Ganz besonders gilt dies, wenn Antivirus-Programme wie Antivir oder Kaspersky zwecks gründlicher Prüfung Ihrer
Festplatten zu Recht sehr scharf eingestellt werden. Dann ist unter den angeblichen Schädlingen leider auch manchmal
die eine oder andere gutartige Datei, die Sie in keinem Fall verlieren möchten. Ihr Virenprogramm sollte daher
Dateien nicht ungefragt löschen, sondern verdächtige Dateien zumindest noch in einem Quarantäne-Verzeichnis ablegen.
Im Live-System ist diese Platte allerdings eine RAM-Disk, so dass die dorthin verschobenen Dateien alle nach
dem Herunterfahren verloren sind. Daher dürfen Sie keinesfalls vergessen, vor dem Ausschalten alles unbedingt
auf Stick oder Platte sichern, damit Sie etwaige "False Positives" wieder vollständig auf Ihr normales
Windows-System rücksichern können!
Es empfiehlt sich, nicht allzuviele Programme gleichzeitig laufen zu lassen, da sonst
insbesondere bei älteren Rechnern mit längeren Ladezeiten zu rechnen ist, so dass Programme
teilweise 1 Minute bis zur Einsatzbereitschaft benötigen.
Eine ausführliche Beschreibung der installierten Software würde den Rahmen dieses Artikels bei weitem sprengen.
Im UBCD4WIN PE Builder finden Sie im Unterverzeichnis
plugin\ListOfTools die Datei UBCD4WIN.chm, die eine vollständige Liste der
unter USBCD4WIN installierten Software als Windows-Hilfedatei enthält.
Diese enthält momentan über 70 Seiten Dokumentation und lässt sich vollständig auf einen Rutsch ausdrucken.
Gleichzeitig ist diese Liste auch vollständig auf der
Live-CD über Start → List of tools zugänglich.
Am besten machen Sie sich selbst ein Bild davon, welche der Softwareprodukte für Sie zweckdienlich sind.
Besonders interessant ist auch der Abschnitt "Repair", in dem Sie Anleitungen zur
Viren- und Spyware-Entfernung, zur Computer-Desinfektion, zur Registry-Reparatur und zu weiteren Themen finden.
Abschließende Bemerkungen
UBCD4WIN ist das beste uns bekannte Windows-Live-System,
mit dem komfortabel und zuverlässig Viren und Spyware entfernt werden, verlorene Dateien gerettet und PCs
mit Software-Defekten wiederbelebt werden können.
Durch sein einheitliches Update-Konzept lässt es sich sehr gut installieren und leicht aktualisieren.
Durch seine Vielzahl an Netztreibern sind tagesaktuelle Updates
des Livesystems ebenfalls problemlos durchführbar.
Erweiterungen mit zusätzlichen Virenscannern (z.B. BitDefender) sowie dem
Cisco VPN-Client sind ebenfalls möglich, wir sind jedoch diesbezüglich noch mitten in der Testphase.
Besonderer Dank gebührt Herrn Rüdiger Neuner, der sich über seine Arbeit als studentischer Mitarbeiter
in unseren Ingolstädter PC-Pools hinaus ebenfalls intensiv mit dem Thema UBCD4WIN befasst hat und so
auch zum Zustandekommen dieses Artikels mit beigetragen hat.
Setzen Sie UBCD4WIN doch selbst ein, es lohnt sich!
Am 2. Juli findet in Eichstätt ein Open-Source-Tag statt, auf dem neben vielen weiteren interessanten Freeware-Anwendungen
auch UBCD4WIN vorgestellt wird.
Bei genügend Interesse könnten wir Ihnen auch einen kleinen Blockkurs (ca. 3-4 Stunden)
zum Thema Ultimate Boot CD for Windows UBCD4WIN anbieten.
Wenden Sie sich diesbezüglich gerne an den Autor dieses Artikels! Wir werden sicher einen geeigneten Termin finden!
Literatur:
[1] http://www.nu2.nu/pebuilder/
[2] http://www.ubcd4win.com/downloads.htm
[3] http://www.md5summer.com/download.html
| Ansprechpartner im URZ: | Zimmer: | Telefon: | Mail: |
| Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
| Norbert Kropf | EI: eO-005 | -1117 | norbert.kropf |
| Klaus Keil | EI: eO-108 | -1371 | klaus.keil |