Schnellerkennung von PC-Infektionen (Windows)

Wenn Sie einen schnellen Überblick über eventuelle Software-Infektionen eines Windows-PC gewinnen möchten, können Sie ein von Microsoft zur Verfügung gestelltes Administrator-Werkzeug für die effektive Virensuche verwenden. In wenigen Schritten prüfen Sie damit alle derzeit auf dem PC laufenden Programme mit über 50 Virenscannern. Bitte beachte Sie jedoch, dass diese Schnellüberprüfung z. B. Rootkits nicht zuverlässig erkennen kann.

Hinweis

Die nachfolgenden Tipps erfordern fortgeschrittene AnwenderInnen-Kenntnisse sowie administrativen Zugriff auf den PC und richten sich somit an MitarbeiterInnen des ZID, EDV-Beauftragte der Fakultäten und an PC-Eigenverantwortliche, wie z. B. Studierende.

Das Werkzeug

Es handelt sich dabei um das in der "Sysinternals"-Reihe von Microsoft gratis veröffentlichte Programm "ProcessExplorer". Sie können die aktuelle Version unter dem Namen "procexp.exe" über diese Seite herunterladen. Die 64bit Version ist in "procexp.exe" bereits enthalten - "procexp64.exe" wird nicht separat benötigt!

Starten Sie das Programm procexp.exe und bestätigen Sie beim ersten Aufruf die Nutzungsbedingungen. Wählen Sie anschließend aus dem "File"-Menü "Show Details for All Processes" aus. Im Anschluss startet sich das Programm selbst neu und zeigt nun alle Details an.

Wählen Sie im Menü "Options" den Punkt "Check VirusTotal.com" aus. Daraufhin sehen Sie in der Programmdarstellung die neue Spalte "VirusTotal". Dies ist ein zu Google gehörender VirenScan-Dienst, der Programme mit über 50 unterschiedlichen Viren-Scannern überprüft und die Resultate allgemein zugänglich macht.

Das Programm berechnet nun für alle derzeit auf Ihrem Computer laufenden Programme einen Prüfwert, vergleichbar mit einem eindeutigen Fingerabdruck des Programms, und vergleicht diesen mit Prüfwerten des Services "VirusTotal". Dieser Vergleich ermöglicht einen Rückschluss darauf, ob ein Programm unbedenklich ist oder ob es sich um Schadsoftware bzw. eine veränderte Version eines bekannten Programms handelt. Standardmäßig werden nur die Prüfwerte, nicht jedoch die Programme selbst übertragen. Deshalb kann die Prüfung sehr schnell erfolgen.

Hinweis

Standardmäßig werden von ProcessExplorer keine lokalen Dateien an "VirusTotal" hochgeladen. Beachten Sie bitte, dass Sie beim Ändern der Standardeinstellung in "ProcessExplorer" oder beim manuellen Hochladen von Dateien an "VirusTotal" eventuell vertrauliche Informationen an einen Webdienst übermitteln. Der ZID empfiehlt daher, keine Dokumente mit vertraulichen Informationen hochzuladen.

Resultate interpretieren

Das Resultat wird beispielsweise als "0 / 57" dargestellt. Dies würde bedeuten, dass 57 Virenscanner diese Datei geprüft haben und keiner diese als verdächtig eingestuft haben.

Ist der erste Wert im niedrigen einstelligen Bereich (rot dargestellt), lohnt ein Klick auf den eingeblendeten Link in der "VirusTotal"-Spalte des ProcessExplorers, um im Browser mehr Details zu erfahren. Möglicherweise handelt es sich um einen Fehlalarm eines einzelnen Virenscanner-Anbieters. Es kann sich aber auch um eine neue Art von Computerschädling handeln, die erst von wenigen Anbietern erkannt wird. Hier entscheidet der Kontext, wie der Fund zu bewerten ist.

Ist der erste Wert hingegen sogar zweistellig, handelt es sich wahrscheinlich um eine echte Infektion. In diesem Fall empfiehlt der ZID die weitere Untersuchung des PCs mit einem Boot-Medium, wie z.B. desinfec’t oder die Neuinstallation des PCs. EDV-Beauftragte der Universität Wien können jedenfalls beim IT-Security-Team des ZID ein kostenloses Exemplar des desinfec't Boot-Mediums anfordern.

Tipp: Die Spalte "VirusTotal" lässt sich durch einfaches Anklicken auch sortieren, um Programme mit Funden gesammelt am oberen oder unteren Ende der Liste anzeigen zu lassen.

Optional

Auf ähnliche Weise können Sie Programme prüfen, die beim Windows-Start automatisch mitgestartet werden, möglicherweise nur kurzzeitig laufen und bereits beendet wurden. Diese wären daher in "ProcessExplorer" nicht mehr sichtbar. Verwenden Sie dazu das Programm "autoruns.exe", das Sie ebenfalls über diese Seite herunterladen können und das ähnliche Einstellungen wie "ProcessExplorer" bietet.

KontaktFeedback