Einen ersten Überblick auf schädliche Prozesse bieten die Sysinternals-Werkzeuge Autoruns und Process Explorer.
Beide Programme lädt man einfach von Microsofts Sysinternals-Adresse, die man im Windows-Explorer einträgt: \\live.sysinternals.com. Im Verzeichnis Tools finden sich alle Sysinternals-Werkzeuge, eben auch autoruns.exe und procexp.exe. Alternativ kann man auch gleich den Pfad \\live.sysinternals.com\Tools eingeben. Die Programme lassen sich vom Sysinternals-Server aus starten, etwas flotter geht das ganze, wenn man die Dateien auf den eigenen Rechner kopiert. Manche Virenscanner reagieren auch allergisch auf Programme, die nicht von lokalen Datenträgern ausgeführt werden.
Process Explorer
Zunächst wählt man unter File – Show Details for all Processes; daraufhin startet das Programm mit Adminrechten neu. Unter Options – VirusTotal.com – Check VirusTotal.com erlaubt man die Übertragung der Hash-Werte aller Prozesse an VirusTotal, weswegen diese Prüfung sehr schnell erfolgt. In der neuen Spalte VirusTotal zeigt der Process Explorer nun die Ergebnisse der Prüfung als Virusverdacht / Scanneranzahl an. Sollte auch nur ein Virenscanner Alarm schlagen, wird das Ergebnis rot statt blau angezeigt.
Einzelne Fehlalarme können das Ergebnis verfälschen, so dass nicht immer 0/57 erreicht wird; die Anzahl der Virenscanner kann variieren.
Möchte man eine Datei genauer untersuchen, kann man in der Zeile der Datei im Kontextmenü Check VirusTotal auswählen, woraufhin die verdächtige Datei zu VirusTotal zum Testen geladen wird.
Autoruns
Um Autoruns mit Adminrechten auszuführen wählt man nach dem Start des Programms im Menü File – Run as Administrator. Den VirusTotal-Test startet man unter Options – Scan Options – Check VirusTotal. Mit Submit Unknown Images werden unbekannte Dateien zur genaueren Untersuchung an VirusTotal geschickt. Nach dem Klick auf Rescan wird auch hier eine neue Spalte eingeblendet, in der die Ergebnisse von VirusTotal angezeigt werden.
Linkliste
VirusTotal
https://www.virustotal.com
Sysinternals (Browser)
https://live.sysinternals.com/tools/
Sysinternals (Dateimanager)
\\live.sysinternals.com\Tools
