Unbekannte Prozesse aufspüren mit dem Prozess-Explorer
|
21. November 2008
Posted in
Tipps und Tricks -
Anwendungssoftware
Manche Malware versteckt sich vor Virenscannern um nicht entdeckt zu werden oder deaktiviert gar den Echtzeitschutz des Virenscanners.
Mit dem Process Explorer aus den Windows Sysinternals (ehemals Sysinternals Suite) lässt sich solche Malware dennoch aufspüren.
Windows Sysinternals lässt sich unter Windows Sysinternals
herunter laden.
Neben dem hier behandelten Process Explorer beinhaltet diese Programmsammlung eine ganze Reihe nützlicher Tools (leider englischsprachig!) für den
fortgeschrittenen User.
Das herunter geladene Zip-Archiv in einen Ordner auf der Festplatte entpacken.
Den Process Explorer durch Doppelklick auf die Datei procexp.exe starten
Im sich jetzt öffnenden Fenster die Lizenzbedingungen durch Klick auf Agree bestätigen
Jetzt öffnet sich das Programmfenster des Process Explorer
Die linke Seite listet alle laufenden Prozesse des Systems auf, die rechte Seite gibt Informationen über die Prozess-ID (PID) sowie eventuell
eine Beschreibung und den Hersteller an.
Zum Aufspüren unbekannter Prozesse sind vor allem solche Prozesse interessant, die weder eine Beschreibung (Description) noch den Hersteller angeben.
Hier kann es sich um Malware handeln. Da sich Malware auch als reguläre Prozesse tarnen, sollte man dafür Vorsorge treffen:
Wähle aus dem Menü des Process-Explorers den Befehl View ----> Select Columns und in dem erscheinenden Dialogfensterden Befehl Verfied Signer.
Jetzt kann man mit Hilfe der Prozess-Eigenschaften für jeden Prozess die Signatur überprüfen (eine als regulärer Prozess getarnte Malware ergibt bei der Überprüfung keine Übereinstimmung mit der vorhandenen Signatur des Herstellers).
Mit Hilfe von Google kann man sich jetzt genauere Infos holen, indem man den Prozessnamen als Suchangabe eingibt. Setzt den Prozessnamen in Anführungsstriche, hat man seine Suche schon sehr weit eingegrenzt.
Wird ein Prozess so als Malware identifiziert, lässt sich dieser mit Hilfe des Process Explorers sofort beenden, indem man den betreffenden Prozess mit der linken Maustaste anklickt und so markiert.
Ein Rechtsklick auf den markierten Prozess öffnet das Kontextmenü.
Durch Auswählen des Befehls Kill Process kann man z.B. versuchen, den Prozess zu beenden.
Die Aufpoppende Warnung mit Yes bestätigen.
| < Zurück |
|---|
Bitte beachtet die Nutzungsbedingungen
Zu beachten sind auch diese Regeln.
Wer sich nicht an diese Regeln hält, bekommt das Schreibrecht für eine gewisse Zeit entzogen.
Dauerndes Verstoßen gegen die Regeln zieht eine Sperrung des Zugangs nach sich.