Mit Process Explorer nach Schadsoftware suchen

Bei der Suche nach Schadprogrammen kann der Process Explorer von sysinternals wertvolle Hilfe leisten. Zum Start des Process Explorers im Datei-Manager den folgenden UNC-Pfad eingeben:

\\live.sysinternals.com\tools

Rechte Maus auf die Datei procexp64.exe (bei einem 64-bit System) und „als Administrator ausführen“ wählen. Bei Systemen mit ARM-CPU befindet sich im Unterverz. ARM64 die passende Datei.

Zunächst sollte die Spalte „Verified Signer“ angezeigt werden. Gehen sie dazu auf „View/ Select Colums“ und wählen die Spalte „Verified Signer“ aus. Nun muss noch die Option „Options/ Verify Image Signatures“ aktiviert werden.

Ein kritischer Blick lohnt sich auf diejenigen Einträge, die im Feld „Company Name“ einen bekannten SW-Hersteller beinhalten, aber der dazugehörige Eintrag in der Spalte „Verified Signer“ nicht dazu passend ist, oder der Eintrag leer ist.

Der Process Explorer hat eine Schnittstelle zu VirusTotal.com. Um den Virenscanner zu nutzen, muss zunächst die Funktion „Options/ VirusTotal.com/ Check VirusTotal.com“ aktiviert werden und dem Service-Hinweisfenster zugestimmt werden. Nun erscheint in der Process-Übersicht eine zusätzliche Spalte „Virus Total“. Abhängig einer zwischengeschalteten Firewall oder eines Proxyservers kann eine Übertragung der zu prüfenden Dateien oder des Hashwertes der Datei auch verhindert werden.

Best case ist ein Eintrag in Form von „0/76“. Der Eintrag bedeutet dass bei 76 Virenscannern kein Virus entdeckt wurde. Wenn als erste Zahl eine niedrige Zahl erscheint ist das im Regelfall ein Hinweis auf False Positive. Ein Mausklick auf einen Eintrag in der Spalte „Virus Total“ liefert detaillierte Informationen zum Ergebnis des Virenchecks.

Erscheint in der Spalte „Virus Total“ der Eintrag „Unknown“ kann mit einem Rechtsklick und Auswahl „Check Virus Total“ die Datei an Virus Total zum Virenscan versendet werden.

Im worst case (Virenfund) sollte der betroffene Prozess mit dem Befehl „suspend“ (rechte Maus auf den Prozess und „Suspend“ wählen) zunächst beendet werden.Wenn sie den betroffenen Prozess markieren und mit der rechten Maus auf Eigenschaften (Properties) gehen, können sie im Register „Image“ im Eintrag „Autostart Location“ herausfinden, wie der Prozess startet. In einem zweiten Schritt können sie nun versuchen ggfs. den betroffenen Registry-Key zu löschen oder mit dem sysinternal Tool „autoruns“ den Starteintrag zu entfernen.

Alternativ ist auch die Auswahl „Kill Process“ hilfreich, jedoch können so beendete Prozesse häufig wieder neu starten. Um den Neustart zu verhindern ist es meist hilfreich im Prozessbaum benachbarte Prozesse ebenfalls zu analysieren und ggfs. zu beenden bzw. das Startverhalten der Nebenprozesse zu betrachten und ebenfalls zu beenden.