Zuallererst: der Link zum Rettungssystem. SysRescCD verfügt über den gelegentlich „lebensrettenden“ NTFS-3g Treiber und lässt sich im Gegensatz zu Knoppix auf einen USB-Stick ziehen. Interessanterweise gibt es sogar eine Sparc-Version* dafür.
Einwurf in letzter Sekunde: An dieser Stelle muss ich -buchstäblich noch mit einer Hand im Rettungssystem- glatt eine Lanze für Knoppix brechen: Mad Unix Skills oder eine gute Anleitung (Knoppix mit F3 und „knoppix 2“ im Textmode booten, „mount.ntfs3g /dev/hda1 /media/hda1“, loslegen!) vorausgesetzt, bewältigt auch ein aktuelles Knoppix auf einem wackligen Laptop-CDR die Angelegenheit recht zügig.
Die (durchaus spannende) Hintergrund: Rootkit (vundo) auf meinem einzigen -dreimal verfluchten- Windows-XP-Maschine. Ich Idiot habe „aus Platzgründen“ den Dual-Boot vom Notebook geschmissen und stehe nun wirklich gelackmeiert da. Zwar habe ich die betroffene Datei via Clamscan und Vundo-Remove identifiziert, dank „Sicherheits“vorkehrungen Redmond-Style kann ich es aber nicht entfernen – und habe kein Linux mehr auf dem System, um das infizierte Windows „operieren“ zu können. Schönen Gruss nach Vollpfostenhausen. Dank der patentierten NTFS-5™ Technologie und dem segensreichen Wirken „Geistigen Eigentums“ ist es auch nicht so einfach, unter Linux Schreibzugriff auf die kompromittierte Windows-Systempartition zu bekommen. Mein sonstiges Hausmittel Pendrive Linux muss mangels des zum Schreiben auf XP-Partitionen notwendigen NTFS-3g-Treibers schon mal passen. Hier kommen SysRescCD oder das wohlbekannte Knoppix (wie alle guten Tools unter der GPL) ins Spiel. Beide bringen den mittlerweile stabilen NTFS-3G Driver mit:
man -k ntfs
sollte etwas Aufklärung bringen. Den Rest erledigen
mount.ntfs-3g /dev/hXY /media/hXY hXY entspricht hier der NTFS-Partition (meistens hda1, genaueres zeigt fdisk -l
Knoppix bringt per default sogar den -in meinem Fall sehr nützlichen- Virenscanner clamAV mit. Dank der von mir bereits hinreichend gewürdigten Laufwerkskomprimierung von Knoppix führte dessen Einsatz auf meinem System jedoch prompt zum Systemabsturz. Nichtsdemzutrotz: das Rootkit (hier: C:WINDOWSSystem32pmnoLdAr.dll – anderswo: vermutlich anderswo 🙁 ) scheine ich wohl -erst einmal- erwischt zu haben; zumindest habe ich somit eine etwas schärfere Waffe dagegen in der Hand. Clamscan zeigt jedenfalls beim Memory-Scan unter Windows erstmals wieder ein „sauberes“ System an. Toi, toi, toi…
