Über 40 Virenscanner befragen

Virencheck mit 70 Virenscannern

Geboren Mitte der 70er Jahre, ist er mit dem PC aufgewachsen. Erste Basic-Programme auf dem 8086, beeindruckende CGA- und EGA-Adventures auf dem 80286 - der PC war immer da, als Werkzeug, als Spielzeug, als Chance, einzigartige Dinge zu tun. Schon während des Physik-Studiums machte er dann sein Hobby langsam zum Beruf, indem er als studentische Aushilfskraft die PC-WELT-Redaktion bei allerlei kleinen Aufgaben unterstützte. Von da an war der Studienabschluss eigentlich nur noch ein notwendiges, aber eher lästiges Projekt. Der echte Spaß ging immer erst nach den Vorlesungen in der Redaktion los - tüfteln, querdenken, schreiben, Menschen erreichen. Klar, dass es nach Abschluss des Studiums nur einen Weg geben konnte – mit voller Kraft zur PC-WELT. Seither besteht seine Begeisterung für Wissenschaft, Technik und deren Einfluss auf die Menschen fort. Die Vernetzung und Digitalisierung der Welt ist sicherlich eine der größten Entwicklungen dieser Generationen. Er ist froh, diese spannende Zeit mit der und für die PC-WELT und Macwelt gestalten zu können.
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
In diesem Tipp erfahren Sie, wie Sie Dateien automatisiert mit über 70 Virenscannern auf einen Schlag überprüfen. Möglich macht’s das Gratis-Tool Sigcheck.
Foto: hywards - shutterstock.com

Normale Antivirenprogramme nutzen entweder ihren eigenen Scanalgorithmus (Engine) oder eine Kombination aus mehreren Scan-Engines von anderen Anbietern. Der Online- Virenscanner Virustotal versammelt über 70 verschiedene Malware-Scanner unter einer Haube. Dateien, die dort bei mehr als 15 Engines einen Alarm auslösen, tragen mit an Sicherheit grenzender Wahrscheinlichkeit einen Schädling - Fehldiagnosen beinahe ausgeschlossen. Das Problem bei Virustotal ist allerdings, dass Sie dort immer nur eine einzelne Datei manuell hochladen und scannen können. Umfangreiche Ordner wie beispielsweise das Windows-Verzeichnis oder die ganze Festplatte damit zu überprüfen, ist vom Aufwand her nicht machbar.

Dateien automatisiert mit über 40 Virenscannern auf einen Schlag überprüfen: Das Gratis-Tool Sigcheck mit Virustotal.com-Unterstützung macht’s möglich
Dateien automatisiert mit über 40 Virenscannern auf einen Schlag überprüfen: Das Gratis-Tool Sigcheck mit Virustotal.com-Unterstützung macht’s möglich

Das lässt sich jedoch mithilfe des Kommandozeilentools Sigcheck von Microsoft ändern. Denn dieses hat eine Virustotal-Unterstützung mit an Bord. Das Tool ist eigentlich dazu gedacht, die Signatur von Dateien zu prüfen und den Hersteller, die Version sowie einige weitere Informationen auszulesen. In Verbindung mit Virustotal können Sie nun mit einem Befehl zum Beispiel alle ausführbaren Dateien in einem Verzeichnis von dem Tool scannen lassen. In der Ergebnisliste werden in der Folge alle Dateien angezeigt, für die zumindest eine Scan-Engine einen Schädling gemeldet hat. So geht's: Entpacken Sie das Sigcheck-Archiv zunächst einmal in ein beliebiges Verzeichnis, in dem es dauerhaft verbleiben kann. Im Anschluss daran öffnen Sie über die Tastenkombination Win-R das "Ausführen"-Fenster und tippen dort bitte cmd ein, um ein Kommandozeilenfenster zu öffnen. Dort geben Sie als Nächstes die folgenden zwei Befehlszeilen ein:

cd /d <Pfad zum Sigcheck-Ordner>

sigcheck64 -vt -vr -e -u -s c:\

Mit der ersten Zeile wechseln Sie in das Verzeichnis, in dem die Datei "sigcheck.exe" liegt. Durch die zweite Zeile werden für alle ausführbaren Dateien auf dem Laufwerk "C:" die Prüfsummen ermittelt und bei Virustotal hochgeladen. Sie erhalten Warnungen bei denjenigen Dateien, bei denen mindestens eine Engine anschlägt. In der Zeile "VT detection" steht dann etwa "1/72". Das bedeutet, dass einer von 72 Virenscannern die Datei für einen Schädling hält. In jedem Verdachtsfall wird zudem ein Browser-Tab mit dem jeweiligen Ergebnis angezeigt. So sehen Sie, welche Scanner den Alarm ausgelöst haben. Wollen Sie nur die Dateien aus einem bestimmten Ordner prüfen lassen, ersetzen Sie die Angabe "C:\" durch den Pfad, etwa "C:\Download". Mit "> Protokoll .txt" am Ende der Zeile schreibt das Tool das Scanergebnis in die Textdatei "Protokoll.txt" im Sigcheck-Ordner statt in das Kommandozeilenfenster.

So sieht ein typisches Scanergebnis einer Datei bei Virustotal aus: Ein Virenscanner schlägt Alarm, 71 stufen die Datei als harmlos ein. Solange nur ein bis fünf Scanner Alarm schlagen, ist es immer noch möglich, dass die Datei harmlos ist.
So sieht ein typisches Scanergebnis einer Datei bei Virustotal aus: Ein Virenscanner schlägt Alarm, 71 stufen die Datei als harmlos ein. Solange nur ein bis fünf Scanner Alarm schlagen, ist es immer noch möglich, dass die Datei harmlos ist.

Wichtig: Der Abgleich anhand der Prüfsummen funktioniert lediglich dann, wenn Virustotal die dazugehörige Datei kennt, ein anderer Benutzer sie also in der Vergangenheit hochgeladen hat. Wenn Sie möchten, dass unbekannte Dateien von Ihrer Festplatte zu Virustotal übertragen werden, benutzen Sie statt des Parameters -vr einfach den Parameter -vrs. Je nach der Größe des Ordners sowie der Upload-Geschwindigkeit Ihres Internetanschlusses kann dieser Vorgang nun jedoch von Minuten bis hin zu Stunden dauern.

Zudem müssen Sie den Scanvorgang nach circa zehn Minuten noch einmal wiederholen, weil es so lange dauern kann, bis Virustotal alle von Ihnen hochgeladenen Dateien überprüft hat. Melden bei einer Datei mindestens 15 Engines eine Malware, sollten Sie überlegen, ob Sie diese Datei bereits einmal auf Ihrem System ausgeführt haben. Wenn nein, löschen Sie sie ganz einfach. Wenn ja, ist Ihrem System potenziell nicht mehr zu trauen, und Sie müssen konsequenterweise die Festplatte formatieren und alles neu installieren. Sollten lediglich ein bis fünf Scanner Alarm schlagen, kann es sich allerdings auch um einen Fehlalarm handeln. Denn einige Scanner sind sehr sensibel eingestellt.

Übrigens: Beabsichtigen Sie, den Scan häufiger auszuführen, schreiben Sie die beiden oben genannten Kommandozeilen in den Windows-Editor und speichern Sie diese als Batch-Datei mit der Endung .bat. Hierzu setzen Sie den Dateinamen inklusive Endung im Speichern-Dialog in Anführungszeichen, beispielsweise so: "Virustotal-Scan. bat". Ein Doppelklick auf die Datei startet den Scan. Am besten legen Sie diese auf dem Desktop ab.

(PC-Welt)

Zur Startseite