Bootbarer AV-Scanner für Unternehmen

Die Frage nach einem bootbaren Virenscanner erübrigt sich meiner Meinung nach!
Zum einen hoffe ich, dass "Virenangriffe" sehr selten auftreten und diese vom Scanner geblockt werden.

Ein System welches infiziert wurde gehört nicht geprüft/gereinigt sondern muss neu aufgesetzt werden.
Das System ist nicht mehr vertrauenswürdig..fertig.

Ich arbeite ebenfalls in einem mittelständischem Unternehmen. Mein Plan ist es, vorher schon den ganzen Mist abzufangen.

Wir setzen bei uns Kaspersky Security 9.0 ein und haben eine strikte Anlagenfilterung festgesetzt. Bedeutet sämtlicher "Dreck" wird vorher schon abgefangen.

Außerdem setzten wir eine Gateprotect Firewall ein, die zusätzlich die Emails filtert und SPAM Mails an ein einzelnen SPAM Verzeichnis übermittelt. Was ich dann einsehe kann und zusätzlich dazu, gibt es keine lokalen Administratoren Accounts.

Das wichtigestes ist aber das man die Mitarbeiter erzieht. Falls Sie sich unsicher sind, sollen sie mich anrufen.

Aber sollte doch was durchkommen würde ich halt die typischen Boot CDs von c't und kaspersky nutzen.
Zur not alles platt machen und aus dem Backup zurückholen ;)

Hallo,

alle großen AV-Hersteller bieten doch Rescue-CDs als ISO-Image zum Download an:

https://www.f-secure.com/en/web/labs_global/rescue-cd

https://www.avira.com/de/download/product/avira-rescue-system

https://security.symantec.com/nbrt/overview.aspx?NUCLANG=de-de

https://www.eset.com/int/support/sysrescue/

https://support.kaspersky.com/de/viruses/rescuedisk

Und das ist nur eine Auswahl, es gibt sicher noch mehr.

Jürgen

PS. Was hast Du eigentlich gegen ctDesinfekt??

Ich benutze genau diese seit "Jahrzehnten". Kann man auf Stick installieren und die Signaturen sogar offline aktuell halten. Und wenn ein Kunde Hilfe schreit, steckt man das Ding rein und läßt losscannen. Und nach einiger Zeit (wenige Minuten bis einige Stunden) hat man dann das Ergebnis.

Zum reparieren oder udn daten z uretten funtkioniert die desinfect wudnerbar.

Würde mich als interessieren, wie Du dazu kommst desinfect nichts taugt.

lks

kein problem, kann eingestellt werden.


Macht ein Cronjob.


Einfach Log-verzeichnis auf Server kopieren.


Du muß doch desinfect nur einmal auf Deine bedürfnisse anpassen.


Man kann desinfect per pxe booten.


PXE?

lks

Hoffen kan nman vieles. Aber damit kommst Du nicht weit.


Erstmal muß festgestellt werden, ob das system infiziert ist. Auf gut Glück bei jedem verdacht die System neu aufzusetzen ist eine Arbeitsbeschaffungsmaßnahme, die kein kunde zahlt.

lks

Dafür gibst es "rote" Zonen, d.h. ein switch, an dem jeder Anschluß separiert ist und nur zur Firewall geht und einem pxe-server.

Also ich bin IT-Dienstleister und handhabe das folgendermaßen:

Wenn der Kunde sein Gerät zu mir bringt, hänge ich das Ding in die rote zone udn scanne per pxe.

Für Außendienst habe ich "jungfräuliche Sticks" mit aktuellen Signaturen (per cronjob).

Wenn ich dann so einen Stick beim Kunden hatte, kommt der daheim zum speichern der Logs an einen linuxrechner, der dann anschließend das Ding mit einem frische desinfect "betankt".

lks

PS. Die Kunden bekommen dann auch eine c't mit der desinfect in die Hand gedrückt, damit sie das nächste mal selbst etwas dahaben.

Zuerst muss man doch beachten, dass im Business Umfeld schon viel passieren muss, damit ein Rechner überhaupt infiziert wird!
Ein typischer Web/Mail/Download - Virus muss ja erstmal einige Hürden überstehen:
Gateway-AV
Client-AV
Dateiausführungsverhinderung pro Benutzer
User ohne Adminrechte
Ggf. sperren von USB Sticks

Wenn trotz dieser Punkte eine Infektion vorliegt, kann man doch nicht davon ausgehen, dass man sich einen 0815 Virus eingefangen hat der sich mit einer Offline-Virenbereinigung entfernen lässt.


War von einem Verdacht die Rede?
Ich dachte wir sprechen hier von bestätigten Infektionen.
Die Sicherung von Protokollen lasse ich noch gelten, aber dem Kunden zu suggerieren, dass sein System nach einer Prüfung wieder zu 100% sauber werden kann.... na ja.

Da ich schon länger keine Infektion mehr hatte (jaja.. vielleicht hab ich es nur nicht bemerkt.. *g*), kenne ich die aktuellen Symptome nicht, aber nach einer Offline-Bereinigung muss das System doch weiter geprüft und bereinigt werden.
Dann müssen noch Tools wie Malwarebytes und Spybot laufen, danach nochmal Antivirus usw usw.
Da gehen doch meist mehr Stunden bei drauf als bei der Neuinstallation - Und eine Garantie kannst Du dem Kunden auch nicht geben.

Die 0815 Rechner habe ich hier nach max 1,5h neu aufgesetzt, da fang ich doch nicht mit einer Bereinigung an bei der ich nicht zu 100% garantieren kann, dass die Kiste sauber ist.
Die spezielleren Systeme werden mit Veeam Endpoint Backup gesichert und darüber wiederhergestellt.. Theoretisch.. ist ja zum Glück schon lange nichts passiert.

Wenn ich den TO richti gverstanden habe, sagt der User, daß er irgendwas komisches geklickt hat oder sich sein kiste komisch verhjält und damit hat man aber noch keine gesicherte Infektion.

Falls man vor dem scan schon weiß, daß man sich die Infektion eingefangen hat, ist die erste Frage, ob man ein backup hat, das man einspielen kann. meistens haben die leute aber noch daten auf der Platte, die noch nicht auf dem Backup sind, so denn überhaupt eins da ist (Nach einem Virenbefall funktioniert der backup wieder eine weile ordentlich. )


Und ich dachte, wir wir sprechen von sich "komisch verhaltenden rechnern".


Das suggeriere ich keinem Kunden , Der Scan dient auschließlich dazu mit einer gewissen Restwahrscheinlichkeit eine Infektion auszuschließen.Denn die meisten Kunden haben keine "Standardumgebung" und ein neuaufsetzen wäre für den Kunden mit deutlich mehr Aufwand verbunden, Die Installation des OS ist noch das kleinste Problem.

Der scan dient dazu, den grad und die Art des Befalls festzustellen, so denn möglich. Außerdem kann man damit auch die Daten die noch nicht im backup sind in Sicherheit bringen.

meine Ansage an Kunden ist, daß eine neuinstallation imer mangeraten ist, wenn eine Infektion festgestellt wird. Aber manche Kunde scheuen das und die müssen dan mit dem restrisiko leben.



Wenn am verhalten etwas auffällt, ist es meistens schon viel zu spät. Aktuelle malware versucht eher unauffällig zu sein. Ich rede hier dabei nciht von Werbetrojanern udn Browserhijackern. Die sind meisten harmlos und fallen recht schnell auf.


Die Stunden die da drafu gehn sitze ich nicht vor der Kiste, sondern im Biergarten. Der wirkliche Aufwand ist nur kurz (Ab und zu mal auf dem Bildschirm schauen und klicken.) Wenn das der Kudne natürlich vor Ort gemacht haben will, mache ich ihm bewußt, daß auch das zuschauen vor irgendwelchen bunten Balken die von links nach rechts laufen kostenpflichtig ist.


Ja, wenn man imerm 0815-rechner hätte.

Und wie gesagt, bei einer Infektion rate ich den Kunden davon ab, mit einem bereinigten System weiterarbeiten zu wollen.


Sei froh. Aber wie gesagt, nicht alle Kunden haben die Infrastruktur, daß man einfach ein backup wiedereinspielen kann (oder will).

lks

Das stimmt natürlich, aber der TO ist ja bei einem Mittelgroßen Unternehmen beschäftigt.. was immer das auch bedeutet.


Ansonsten gibt es wie immer verschiedene Meinungen und falls Du auch Privatkunden hast, zieht die Masche mit der direkten Neuinstallation eh selten. Damit verscheucht man die Kunden höchstens..

Da ist der Aufwand einer Neuinstallation deutlich höher weil der DAU weder Datensicherung noch Dokumentation kennt...
Ggf. ist die "Bereinigung" dann doch sinnvoller.. und wenn der Virus nicht zu entfernen ist, kann man die Zeit incl. Neuinstallation in Rechnung stellen.

Nur mal so aus Neugier: Wieviele c't s hast du denn dann auf Lager?