Task-Manager: Comodo KillSwitch.exe
KillSwitch.exe
Das Tool ist Bestandteil des Free-Virenscanners Comodo Cleaning Essentials (CCE) und läuft auf Windows 7, Vista, XP SP2. Man startet einfach KillSwitch.exe im Hauptverzeichnis der CCE.
Comodo KillSwitch ist mehr als nur ein Task-Manager, indem es unter anderem eine gute Suchfunktion bietet und ‚möglicherweise problematische Dateien‘ hervorhebt. Signierte Programme gelten als Safe, unsignierte werden als Unknown hervorgehoben.
Der Stempel „Unknown“ muss noch nichts heißen, denn vor allem (aber nicht nur) selbständige Programmierer verwenden nicht unbedingt die aufwändige Signierung. Dennoch lohnt es sich, die betreffenden Objekte mal anzusehen – etwa mit Hilfe eines Online-Virenscanner – und zu überlegen, ob man ihnen trauen kann; auch und vor allem, wenn man ohnehin einen Verdacht gegen sie hegt.
Comodo KillSwitch
Task-Manager mit KillSwitch ersetzen
Legen Sie zunächst die Comodo Cleaning Essentials in ein passendes, dauerhaft genutztes Verzeichnis auf C:\, etwa C:\utility\cce.
Mit Options, Replace Task-Manager ersetzen Sie den vorhandenen Windows-Taskmanager mit Comodo KillSwitch. Er startet dann immer dann, wenn sonst eigentlich der Windows-Taskmanager starten würde, selbst beim Aufruf über [Windows][R], taskmgr.exe. Hinweis: KillSwitch erfragt dann aber jedes mal neu die Admin-Rechte – das ist normal, aber halt etwas störend.
Zum Deaktivieren einfach Mit Options, Replace Task-Manager deaktivieren.
Ordner-/Dateinamen suchen
Typisches Problem: Man kann eine Datei, einen Ordner nicht löschen. Lösung: Verwenden Sie KillSwitch und darin Tools, Find Handles or DLLs oder [Strg F]. Suchen Sie nach dem fraglichen Ordner- oder Dateinamen. KillSwitch sagt, welches Programm gerade das Objekt bearbeitet.
Hier ein Beispiel mit zwei Dokument-Dateien und wie sich die zugehörigen Programme zeigen:
Wer hat die beiden Textdateien geöffnet? Hier: LibreOffice und Wörd …
(Allein für dieses Feature lohnt sich KillSwitch schon!)
Nur unsichere Prozesse sehen
Sie wollen mehr Übersicht und nur potentielle Missetäter sehen? Wählen Sie View, Hide Safe Processes.
Alle Unsafe-Prozesse entfernen
Haben Sie konkret einen höchstwahrscheinlich infizierten PC vor sich, bietet das Menü KillSwitch praktische Befehle wie Kill All Unsafe Processes, um mehrere Malware-Programme, die sich vielleicht auch gegenseitig überwachen, schnell aus dem Speicher zu werfen.
Vorsicht: Die digitale Signatur ist kein optimales Mittel, um Gut von Böse unterscheiden zu können. Aber bei einem infizierten System ist es einen Versuch wert.
Einstellungen reparieren
Über Tools, Quick Repair analysiert KillSwitch typische Einstellungen von Windows – voreingestellte Kommandozeile, Task-Manager, Registry-Editor -, erkennt Abweichungen und kann diese rückgängig machen.
Netzwerkaktivitäten anzeigen
Im Register Network lassen sich außerdem Netzwerkaktivitäten überprüfen, über View, Select Column… können Sie zum Beispiel übertragene Bytes als Spalte einblenden lassen. Auch so kann man Verdächtige finden.
Spalte ‚Network Send Bytes‘ hinzugefügt
Mehr über einen Prozess erfahren
Per Rechtsklick auf einen Prozess öffnen Sie ein Kontextmenü, das über Properties… weitere Details anzeigt. Über die Handles sehen Sie zum Beispiel, auf welche Registry-Keys die Anwendung ihre Finger legt. Auch hier muss man nicht paranoid sein, es kann auch ein lesender Zugriff sein. Und doch darf man sich gelegentlich fragen, wozu dieser oder jener Key ausgelesen werden muss.
Per Rechtsklick und Search Online suchen Sie den Prozessnamen via Google. So finden Sie Webseiten, in denen über möglicherweise verdächtige Prozesse diskutiert wird. Mit Hilfe eines Online-Virenscanners wie VirusTotal holen Sie bei Bedarf weitere Scanner-Meinungen ein.
