1923729

Der ultimative Malware-Scan mit einem Tool

25.07.2014 | 09:31 Uhr |

In diesem Tipp erfahren Sie, wie Sie Dateien automatisiert mit über 40 Virenscannern auf einen Schlag überprüfen. Möglich macht’s das Gratis-Tool Sigcheck.

Normale Antiviren-Programme nutzen entweder ihren eigenen Scan-Algorithmus (Engine) oder eine Kombination aus mehreren Scan-Engines anderer Anbieter. Der Online-Virenscanner Virustotal versammelt über 40 verschiedene Malware-Scanner unter einer Haube. Dateien, die dort bei mehr als zehn Engines einen Alarm auslösen, tragen mit an Sicherheit grenzender Wahrscheinlichkeit einen Schädling – Fehldiagnosen nahezu ausgeschlossen Das Problem bei Virustotal ist aber, dass Sie dort immer nur eine einzelne Datei manuell hochladen und scannen können. Umfangreiche Ordner wie das Windows-Verzeichnis damit durchzuchecken ist vom Aufwand her nicht machbar. Zumindest bis jetzt! Denn die neue Version des Kommandozeilen-Tools Sigcheck von Microsoft hat eine Virustotal-Unterstützung an Bord. Das Tool ist eigentlich dazu gedacht, die Signatur von Dateien zu prüfen und den Hersteller, die Version und einige weitere Informationen auszulesen. In Verbindung mit Virustotal können Sie jetzt mit einem Befehl etwa alle ausführbaren Dateien aus einem Verzeichnis von Virustotal lassen. In der Ergebnisliste erhalten Sie dann all diejenigen Dateien angezeigt, für die zumindest eine Scan-Engine einen Schädling gemeldet hat.

Und das geht so:

Entpacken Sie das Sigcheck-Archiv zunächst in ein beliebiges Verzeichnis, in dem es dauerhaft verbleiben kann. Dann öffnen Sie über die Tastenkombination Win-R das „Ausführen“-Fenster und tippen dort cmd ein, um ein Kommandozeilenfenster zu öffnen. Dort geben Sie dann folgende Befehlszeilen ein:

cd /d <Pfad zum Sigcheck-Ordner>
sigcheck -e -u -vn -vt c:\windows\system32

Mit der ersten Zeile wechseln Sie in das Verzeichnis in dem die Datei sigcheck.exe liegt. Durch die zweite Zeile werden für alle ausführbaren Dateien in dem Verzeichnis C:\Windows\System32 die Prüfsummen ermittelt und bei Virustotal hochgeladen. Sie erhalten Warnungen bei denjenigen Dateien, bei denen mindestens eine Engine anschlägt. In der Zeile „VT detection“ steht dann zum Beispiel „2/47“. Das bedeutet, zwei von 47 Virenscannern halten die Datei für einen Schädling. Wenn Sie den Parameter -s hinzufügen, bezieht Sigcheck auch alle Unterverzeichnisse mit ein. Und mit „> Protokoll.txt“ am Ende der Zeile schreibt das Tool das Scan-Ergebnis in die Textdatei Protokoll.txt im Sigcheck-Ordner statt in das Kommandozeilenfenster. Anstelle von C:\Windows\System32 können Sie auch jeden beliebigen anderen Ordner eintragen, zum Beispiel Ihr Download-Verzeichnis.

Download: PhrozenSoft VirusTotal Uploader

Der Abgleich anhand der Prüfsummen funktioniert natürlich nur, wenn Virustotal die dazugehörige Datei kennt, ein anderer Benutzer sie also in der Vergangenheit hochgeladen hat. Wenn Sie möchten, dass unbekannte Dateien von Ihrer Festplatte zu Virustotal übertragen werden, verwenden Sie statt des Parameters „-vn“ nur „-v“. Je nach Größe des Ordners und Upload-Geschwindigkeit Ihres Internet-Anschlusses kann der Vorgang dann aber von Minuten bis hin zu Stunden dauern. Außerdem müssen Sie den Scan-Vorgang dann nach circa zehn Minuten noch einmal wiederholen, da es solange dauern kann, bis Virustotal alle von Ihnen hochgeladenen Dateien überprüft hat.

Wenn bei einer Datei mindestens zehn Engines eine Malware melden, sollten Sie überlegen, ob Sie die Datei schon einmal auf Ihrem System ausgeführt haben. Wenn nein, dann löschen Sie sie einfach. Wenn ja, dann ist Ihrem System potentiell nicht mehr zu trauen, und Sie müssen konsequenterweise die Festplatte formatieren und alles neu installieren.

Übrigens: Wenn Sie den Scan häufiger ausführen möchten, dann schreiben Sie die beiden oben genannten Kommandozeilen in den Windows-Editor und speichern Sie sie als Batch-Datei mit der Endung .bat. Dazu setzen Sie den Dateinamen samt Endung im Speichern-Dialog in Anführungszeichen, zum Beispiel so „Virustotal-Scan.bat“. Ein Doppelklick auf die Datei startet den Scan. Am besten legen Sie sie auf dem Desktop ab.

0 Kommentare zu diesem Artikel
1923729