KRD18: "cannot find device with data/kernel.data"

[BotschafterSarek]

Guten Morgen zusammen,

 

ich habe ein Problem mit der Kaspersky Rescue Disk:

 

 

Das Problem taucht nur bei einem meiner Rechner auf, auf allen anderen läuft die RescueDisk - es ist also offenbar kein Problem beim Erstellen der CD, die es hier vermutet wird.

Der besagte Rechner ist ein HP Prodesk. Kann es sein, dass die SecureBoot-Features des UEFI-BIOS der KRD Probleme bereiten?

Was habe ich jetzt für Möglichkeiten?

 

Danke im Voraus,

Sarek \\//_

[Schulte]

Hallo @BotschafterSarek, willkommen im Forum.
Freut mich, endlich mal einen Vulkanier begrüßen zu dürfen ☺

Einen Zusammenhang mit SecureBoot kann ich mir durchaus vorstellen. Leider habe ich gerade keine Möglichkeit, das zu testen.

Ist auf einem Deiner anderen Rechner, auf denen die KRD läuft, SecureBoot ebenfalls aktiviert?
Zweite Frage: sind auf dem betroffenen Rechner auch Legacy-Bootmedien erlaubt? SecureBoot schließt das ja eigentlich aus...

 

[BotschafterSarek]

Hallo @BotschafterSarek, willkommen im Forum.
Freut mich, endlich mal einen Vulkanier begrüßen zu dürfen ☺

Einen Zusammenhang mit SecureBoot kann ich mir durchaus vorstellen. Leider habe ich gerade keine Möglichkeit, das zu testen.

Ist auf einem Deiner anderen Rechner, auf denen die KRD läuft, SecureBoot ebenfalls aktiviert?
Zweite Frage: sind auf dem betroffenen Rechner auch Legacy-Bootmedien erlaubt? SecureBoot schließt das ja eigentlich aus...

 

Nein, auf meinen anderen Rechnern habe ich kein SecureBoot. Ich weiß gar nicht, ob es das außerhalb von HP überhaupt gibt.

Auf dem betroffenen Rechner habe ich bereits versucht, die Option “Enable legacy, disable secure boot” zu nutzen - leider ohne Erfolg. Ich weiß allerdings nicht, ob dieses HP-BIOS (das sich in der Oberfläche vollkommen von allen anderen (UEFI-)BIOSsen unterscheidet, die ich bisher gesehen habe) nicht doch noch irgendwo irgendwelche Eigenheiten hat :-(

 

Langes Leben und Frieden \\//_ 

[Schulte]

OK,
falls in der Zwischenzeit kein anderer User etwas beisteuern kann, schaue ich mir die Einstellungen mal etwas genauer an. Muss mir aber einen Kundenrechner aussuchen, daher kann es ein paar Tage dauern.
Kannst Du uns noch etwas genauere Info zum Prodesk geben? Modell?

Das HP-Bios ist mir zwar prinzipiell bekannt, aber nicht für jede Generation.

PS: SecureBoot ist nichts HP-spezielles, jeder (halbwegs) aktuelle Rechner muss diese Option bieten.

[BotschafterSarek]

Kannst Du uns noch etwas genauere Info zum Prodesk geben? Modell?

 

Es handelt sich um einen HP ProDesk 400G5 SFF, Produktnummer 4HR74EA#ABD

 

Danke für’s Forschen ...

[alexcad]

Hallo Sarek,

leider habe ich dir für dein Problem keine Erklärung oder Lösung.

Alternativ könntest du mit dem KVRT einen Online-Scan durchführen https://support.kaspersky.com/de/viruses/kvrt2015

Wenn es ein Offline-Scan sein muss, sehe ich nur die Möglichkeit den Datenträger auszubauen und an einem anderen Gerät zu scannen.

Generell möchte ich mal hinterfragen, wozu die Offline-Scans gut sein sollen. Die Möglichkeiten von KRD und KVRT sind gegenüber der KES doch stark eingeschränkt.
Wiederherstellung von Daten von kompromittierte Systemen laufen immer über Systeme mit aktiver KES oder KS4WS. Kompromittierte Systeme werden neu installiert.

Grüße
Alex

[BotschafterSarek]

Generell möchte ich mal hinterfragen, wozu die Offline-Scans gut sein sollen. Die Möglichkeiten von KRD und KVRT sind gegenüber der KES doch stark eingeschränkt.

 

Vielleicht um Malware zu finden, die sich noch vor dem regulären Malwareschutz (in dem Fall Small Office Security) in den Arbeitsspeicher lädt und sich dann vor dem Echtzeitscan verbirgt?

[alexcad]

Vielleicht um Malware zu finden, die sich noch vor dem regulären Malwareschutz (in dem Fall Small Office Security) in den Arbeitsspeicher lädt und sich dann vor dem Echtzeitscan verbirgt?

Durch einen Offline-Scan lässt sich der Arbeitsspeicher nicht scannen.

Das ist ein rein Muster-/Heuristik-basierter Scan des Dateisystems. Laut Statistik von 2019 wird dadurch max. 5% der in Umlauf befindlichen Malware erkannt. 
Die Erkennung der restlichen 95% erfolgt über Funktionen wie KSN oder Schutzmodule wie der Verhaltensanalyse mit maschinellem Lernverfahren oder -jetzt ganz neu in der kES- der adaptiven Kontrolle von Anomalien.

Grüße
Alex

[Schulte]

Hallo @BotschafterSarek,

falls Du noch nicht erfolgreich warst:
in Deinem HP-Bios müsste es eine Option “SureStart Secure Boot“ geben.

Hast Du diese mal testweise deaktiviert?

[BotschafterSarek]

Hallo @BotschafterSarek,

falls Du noch nicht erfolgreich warst:
in Deinem HP-Bios müsste es eine Option “SureStart Secure Boot“ geben.

Hast Du diese mal testweise deaktiviert?

 

Nein, habe ich nicht, und momentan komme ich an den Rechner auch nicht ran, da der von einem Bekannten benutzt wird. Aber das merke ich mir mal. Dieses SecureBoot ist mir ein Buch mit sieben Siegeln ;(

[Schulte]

Die “SureStart Secure Boot“ ist eine HP eigene Erweiterung, die muss einem nicht unbedingt bekannt sein.

Mit den nächsten Windows-Updates (und den jetzt zurückgezogenen) wird es aber zwangsläufig Einschränkungen für die KRD geben.
Der KRD-Bootloader wird von MS als Sicherheitsproblem für UEFI-Systeme betrachtet. Die Signatur für die .efi-Files soll widerrufen werden

[BotschafterSarek]

Mit den nächsten Windows-Updates (und den jetzt zurückgezogenen) wird es aber zwangsläufig Einschränkungen für die KRD geben.

 

hm, was hat Microsoft damit zu tun? Windows läuft ja nicht, wenn man die KRD benutzt.

 

[Schulte]

Wenn SecureBoot aktiviert ist, können nur Bootloader gestartet werden, die von MS signiert wurden. Das betrifft auch Linux & CO.

MS verwaltet zusammen mit dem UEFI-Forum eine Liste, die zurückgezogene/gesperrte Signaturen beinhaltet. Mit einem UEFI-Update durch Windows wird die Liste auf Deinem Rechner aktualisiert.

Jetzt kommt es noch darauf an, wie alt Deine KRD ist. Kaspersky hat nach eigenen Angaben letzten August die KRD aktualisiert, neuere Versionen sollten von der Sperre also nicht betroffen sein.

[BotschafterSarek]

Wenn SecureBoot aktiviert ist, können nur Bootloader gestartet werden, die von MS signiert wurden. Das betrifft auch Linux & CO.

 

Ganz schön dreist von Microsoft (oder vom UEFI-Forum) …

 

 

Jetzt kommt es noch darauf an, wie alt Deine KRD ist. Kaspersky hat nach eigenen Angaben letzten August die KRD aktualisiert, neuere Versionen sollten von der Sperre also nicht betroffen sein.

 

Die hatte ich frischer heruntergeladen …