Windows-Prozesse analysieren mit Eset SysInspector

Das Tool ist eigentlich Teil der kommerziellen Security-Produkte von Eset, steht aber auch in einer kostenlosen Version bereit:

• Eset SysInspector
  www.eset.com/de/support/sysinspector/
  Windows 8, 7, Vista, XP, 2000

Zum Starten des Eset SysInspector starten Sie die heruntergeladene Datei SysInspector.exe. Sie kommt ohne Installation aus.

Anders als KillSwitch aus CCE ist Eset SysInspector kein erweiterter Task-Manager im üblichen Sinne. Statt dessen zeigt er in Form eines hierarchischen Objektbrowsers folgendes an:

• ausgeführte Anwendungen und Prozesse, die gerade laufen, samt Details zu jedem Prozess, etwa Name und Pfad der verwendeten dynamischen Bibliotheken, Größe, Hashwert …;
• aktuelle Netzwerkverbindungen (TCP und UDP) mit Prozessen, Status wie LISTEN, den Remote-IP-Adresse, mit denen sie kommunizieren, usw.;
• wichtige Einträge in der Windows-Registrierungsdatenbank, etwa typische Registry-Einträge für autostartende Programme, Shell-Open-Commands, Browser-Hilfsobjekte, etc.;
• sowie Dienste,  Treiber, sogenannte kritische Dateien (hier: ini-Dateien, hosts) sowie
• die Einträge der Windows-Aufgabenplanung (Taskplaner) und anderes.

Alle Objekte erhalten einen Status zwischen 1 und 9, der ihr Bedrohungspotential anzeigt, sie werden entsprechend eingefärbt. Die Palette reicht von Grün für In Ordnung (1-3) über Gelb für Unbekannt (4-6) und Rot für Risikoreich (7-9). Nach dem Start zeigt SysInspector alles und gleichzeitig nichts:

Durch Anklicken der (+)-Knoten öffnen Sie den Baum mit einzelnen Einträgen. Über den Objektbrowser untersuchen Sie auf diese Weise einzelne Objekte näher, sehen bei Prozessen zum Beispiel davon geladene DLLs und verknüpfte Dienste.

Auch hier wird jedes Objekt eingefärbt, so dass man hier zum Beispiel sehen kann, warum bestimmte, eigentlich harmlose Prozesse als Risikoreich bewertet werden – etwa, weil sie Module laden, die als Unbekannt oder Risikoreich gelten. Der Firefox erhält z.B. bei mir eine gelbe Bewertung, weil er Plugins geladen hat, die dem Eset SysInspector unbekannt sind. Auch winword.exe wird bekrittelt:

Der Clou ist natürlich der Schieberegler Filterung, der sich zwischen 1 und 9 verändern lässt. Eset SysInspector blendet dann einfach alle Objekte unterhalb der gewählten Risikostufe aus. So sieht man im Endeffekt nur noch die potentiell risikoreichen Prozesse. Das sorgt für Übersicht:

Word für Windows erhält eine rote Bewertung, weil es mit der Office-Erweiterung ‘Duden Rechtschreibung’ betrieben wird, die Eset SysInspector aus unbekannten Gründen für gefährlich hält. Aha. Wer mehr wissen will, bleibt auf sich allein gestellt. Alle Objekte lassen sich dazu immerhin mit der rechten Maus anklicken: Über Onlinesuche durchführen startet SysInspector eine Suche nach Prozessname, Registry-Pfad, ini-Datei-Eintrag, Aufgabenplaner-Startpfad und so weiter, ja sogar nach dem SHA1-Hash der Datei.

Fazit

Mit gefällt der Eset SysInspector. Es ist ein Analysetool, der jedem Windows-Bastler nur empfohlen werden kann, um damit durchs eigene System zu surfen. Wer sich etwas mit Prozessen, Registry und so weiter auskennt und nicht in Panik gerät, kann das Utility als Ausgangspunkt nehmen für Prozesse und Einstellungen zum Beispiel ab Stufe 6, “die man mal genauer anschauen sollte”. Entsprechende Dateien kann man dann an Online-Virenscanner verfüttern.

Für Einsteiger ist das Programm nicht geeignet: Die gelbe bis rote Einstufung “Unbekannt” heißt eben noch gar nichts, und es ist dem Eset SysInspector leider ziemlich viel unbekannt. Genaue Gründe, was nun etwa im Fall der Duden-Rechtschreibung die Unsicherheitsstufe 6 herbeiführt, erhält man nicht. Eine FAQ nennt “heuristische Regeln” als Grundlage für die Bewertung, ein Begriff, den man immer dann findet, wenn Hersteller nicht wirklich sagen wollen, was sie da analysieren; im Fall des Duden Rechtschreibprüfung ist es gut möglich, dass der Umlaut im Pfad seinen Teil zur schlechten Bewertung beigetragen hat.