Normale Antivirenprogramme nutzen entweder ihren eigenen Scanalgorithmus (Engine) oder eine Kombination aus mehreren Scan-Engines von anderen Anbietern. Der Online- Virenscanner Virustotal versammelt über 70 verschiedene Malware-Scanner unter einer Haube. Dateien, die dort bei mehr als 15 Engines einen Alarm auslösen, tragen mit an Sicherheit grenzender Wahrscheinlichkeit einen Schädling – Fehldiagnosen beinahe ausgeschlossen. Das Problem bei Virustotal ist allerdings, dass Sie dort immer nur eine einzelne Datei manuell hochladen und scannen können. Umfangreiche Ordner wie beispielsweise das Windows-Verzeichnis oder die ganze Festplatte damit zu überprüfen, ist vom Aufwand her nicht machbar.
Das lässt sich jedoch mithilfe des Kommandozeilentools Sigcheck von Microsoft ändern. Denn dieses hat eine Virustotal-Unterstützung mit an Bord. Das Tool ist eigentlich dazu gedacht, die Signatur von Dateien zu prüfen und den Hersteller, die Version sowie einige weitere Informationen auszulesen. In Verbindung mit Virustotal können Sie nun mit einem Befehl zum Beispiel alle ausführbaren Dateien in einem Verzeichnis von dem Tool scannen lassen. In der Ergebnisliste werden in der Folge alle Dateien angezeigt, für die zumindest eine Scan-Engine einen Schädling gemeldet hat. So geht’s: Entpacken Sie das Sigcheck-Archiv zunächst einmal in ein beliebiges Verzeichnis, in dem es dauerhaft verbleiben kann. Im Anschluss daran öffnen Sie über die Tastenkombination Win-R das „Ausführen“-Fenster und tippen dort bitte cmd ein, um ein Kommandozeilenfenster zu öffnen. Dort geben Sie als Nächstes die folgenden zwei Befehlszeilen ein:
cd /d
sigcheck64 -vt -vr -e -u -s c:
Mit der ersten Zeile wechseln Sie in das Verzeichnis, in dem die Datei „sigcheck.exe“ liegt. Durch die zweite Zeile werden für alle ausführbaren Dateien auf dem Laufwerk „C:“ die Prüfsummen ermittelt und bei Virustotal hochgeladen. Sie erhalten Warnungen bei denjenigen Dateien, bei denen mindestens eine Engine anschlägt. In der Zeile „VT detection“ steht dann etwa „1/72“. Das bedeutet, dass einer von 72 Virenscannern die Datei für einen Schädling hält. In jedem Verdachtsfall wird zudem ein Browser-Tab mit dem jeweiligen Ergebnis angezeigt. So sehen Sie, welche Scanner den Alarm ausgelöst haben. Wollen Sie nur die Dateien aus einem bestimmten Ordner prüfen lassen, ersetzen Sie die Angabe „C:“ durch den Pfad, etwa „C:Download“. Mit „> Protokoll .txt“ am Ende der Zeile schreibt das Tool das Scanergebnis in die Textdatei „Protokoll.txt“ im Sigcheck-Ordner statt in das Kommandozeilenfenster.
Wichtig: Der Abgleich anhand der Prüfsummen funktioniert lediglich dann, wenn Virustotal die dazugehörige Datei kennt, ein anderer Benutzer sie also in der Vergangenheit hochgeladen hat. Wenn Sie möchten, dass unbekannte Dateien von Ihrer Festplatte zu Virustotal übertragen werden, benutzen Sie statt des Parameters -vr einfach den Parameter -vrs. Je nach der Größe des Ordners sowie der Upload-Geschwindigkeit Ihres Internetanschlusses kann dieser Vorgang nun jedoch von Minuten bis hin zu Stunden dauern.
Zudem müssen Sie den Scanvorgang nach circa zehn Minuten noch einmal wiederholen, weil es so lange dauern kann, bis Virustotal alle von Ihnen hochgeladenen Dateien überprüft hat. Melden bei einer Datei mindestens 15 Engines eine Malware, sollten Sie überlegen, ob Sie diese Datei bereits einmal auf Ihrem System ausgeführt haben. Wenn nein, löschen Sie sie ganz einfach. Wenn ja, ist Ihrem System potenziell nicht mehr zu trauen, und Sie müssen konsequenterweise die Festplatte formatieren und alles neu installieren. Sollten lediglich ein bis fünf Scanner Alarm schlagen, kann es sich allerdings auch um einen Fehlalarm handeln. Denn einige Scanner sind sehr sensibel eingestellt.
Übrigens: Beabsichtigen Sie, den Scan häufiger auszuführen, schreiben Sie die beiden oben genannten Kommandozeilen in den Windows-Editor und speichern Sie diese als Batch-Datei mit der Endung .bat. Hierzu setzen Sie den Dateinamen inklusive Endung im Speichern-Dialog in Anführungszeichen, beispielsweise so: „Virustotal-Scan. bat“. Ein Doppelklick auf die Datei startet den Scan. Am besten legen Sie diese auf dem Desktop ab.