Werbung

Artikel

Virenalarm auf dem Rechner: Selbst-Diagnose

Cristina Vidal

Cristina Vidal

  • Aktualisiert:

Nach dem kurzen Abriss zur Herkunft von Computerviren widmen wir uns heute den ersten Schritten im Fall einer tatsächlichen Infektion. Was tun, wenn so ein winziger Fiesling am Wachhund des PCs vorbeikommt?

Wenn der PC eine Virusgrippe hat, gibt es meist schnell erste Krankheitszeichen. Dabei gilt wie im richtigen Leben: Je weniger Symptome ein Virus zeigt, desto schwieriger dessen Aufdeckung. Als erstes kommt es also auf die richtige Diagnose an.

Erster Verdacht

Auch in der elektronischen Welt gibt es Hypochonder, die hinter jeder lahmen Kiste einen Virus wittern. Wer aber meint, sich tatsächlich etwas eingefangen zu haben, taucht am Besten in das System ein und forscht selbst nach Spuren virtueller Ungeziefer.

Manchmal gleichen diese Spuren allerdings eher Fußtritten: Beispielsweise deuten spontan aufgehende Werbefenster auf eine klare Infektion hin. Fast genauso eindeutige Zeichen sind Webseiten im Browser, die man nicht selbst aufgerufen hat. Technisch gesehen sind das meist keine echten Viren, sondern Adware. Unerwünscht ist aber beides.

Zweideutiger verhält es sich bei allzu langsamen Netzverbindungen. Das kann zwar natürlich auch am Provider liegen. Bei einer dauerhaft lahmen Verbindung muss man aber misstrauisch hinterfragen, ob es sich nicht um einen Virus handeln könnte. Vor allem dann, wenn man mit einem anderen Rechner auf der gleichen Leitung deutlich schneller surft.

Ein weiteres Symptom ist eine überlange Lesedauer der Festplatte. Besitzt man eine aufgeräumte Registry und ein regelmäßig defragmentiertes Laufwerk, kann eine lahme Platte auf eine Infektion hinweisen.

Ein sicheres Zeichen für einen kleinen Feind im PC-Inneren sind allerdings Mails, die sich selbst versenden. Wenn ein Bekannter nachfragt, wieso man ihn mit merkwürdigen E-Mails überhäuft, ist aller Wahrscheinlichkeit nach ein Virus am Werk.

Bei einem starken Verdacht gibt es verschiedene Optionen, um Viren auf die Schliche zu kommen. Dabei schaut man sich die Prozesse, die Netzverbindungen und den Systemstart etwas genauer an. Mit Hilfe dieser öffentlich zugänglichen Informationen kann man herausfinden, ob der eigene Rechner infiziert ist.

Prozesse beobachten

Um einen Virenverdacht zu bestätigen, gibt es mehrere Vorgehensweisen. Eine davon ist die Analyse der laufenden Prozess. Dazu ruft man den Taskmanager auf. In der Spalte Prozesse sieht man alle gerade aktiven Windows-Prozesse.

Alles, was hier fehlt am Platz wirkt, ist verdächtig. In den meisten Fällen hat man als Durchschnittsnutzer davon wenig Ahnung. Es gibt glücklicherweise sehr gute Webseiten, auf denen man sämtliche Windowsprozesse nachschlagen kann und somit Viren von normalen Prozessen unterscheiden lernt, beispielsweise ProcessLibrary.

Entsprechende Software nimmt dem Nutzer die Arbeit ab und analysiert laufende Prozesse. Beispielsweise der von Microsoft empfohlene Process Explorer, der visuell ansprechende Security Process Explorer, oder der Allrounder System Explorer, der eventuelle Schädlinge gleich mit neutralisiert.

Active Netzverbindungen überprüfen

Auch die aktiven Netzverbindungen des Rechners liefern möglicherweise ein Indiz für unerwünschte Aktivitäten. Zur Liste der aktiven oder gerade erfolgten Verbindungen gelangt man über das MS-Eingabefenster. Dafür ruft man im Startmenü die Option Ausführen auf und gibt in das kleine Fenster den Befehl cmd ein.

Nun erscheint das DOS-Eingabefenster, in dem man den Befehl netstat eingibt. Spezifischere Informationen erhält man mit den Befehlsvarianten netstat -a, netstat -b, netstat -p oder nestat -r. Damit erhält man eine Liste aller Verbindungen inklusive Ursprungs- und Zieladresse.

Auch hier muss man die Einträge richtig deuten. Verbindungen mit localhost oder die des eigenen Rechners ignoriert man  erst einmal. Das gilt auch für Verbindungen bekannter Programmen wie Messenger, P2P-Verbindungen oder diverse Updatemanager-Anfragen. Um diese uninteressanten Daten soweit möglichst auszublenden, führt man den netstat-Befehl am besten aus, ohne dass andere Programme laufen.

Wenn dann immer noch eine Reihe unidentifizierter Verbindungen laufen, könnte es sich um Zombie-Verbindungen handeln, die sich eigenständig im Netz verbreiten und selbstständig fremde Server aufrufen.

Windows Startmanager

Der automatische Start in Windows ist eine obligatorische Station für fast alle Viren und Trojaner. Um die automatischen Startprozesse zu überprüfen, benötigt man kein eigenes Werkzeug.

Dafür öffnet man über den Befehl Startmenü / Ausführen / msconfig das Systemkonfigurationsfenster. Dort zeigt der Reiter Systemstart alle automatischen Programmstarts.

Anfangs ist es schwierig, zwischen normalen und ungewöhnlichen Elementen zu unterscheiden.  Hier erweist sich die Webseite ProcessLibrary als Nachschlage-Hilfe. Schlecht versteckte Malware erleichtert dem Nutzer das Spiel: Da Schadsoftware oft selbst generierte Fantasienamen annimmt wie aebdfcehu.exe, bueghefa.exe, abdubfgb.exe, hält man Ausschau nach sinnlosen Einträgen.

Sorgfältiger getarnte Viren findet man mit Programmen, die den Systemstart analysieren. Autoruns beispielsweise taucht richtig tief ein. Der schon erwähnte System Explorer und Startup Organizer bieten übersichtlichere Information an und zeigen teilweise auch unnötige Startprogramme an.

Im zweiten Teil erläutern wir, wie man Viren anschließend manuell entsorgt.

Via OnSoftware

Cristina Vidal

Cristina Vidal

Das Neueste von Cristina Vidal

Editorialrichtlinien