Security Task Manager 1.1

the-loser

the-loser

gehört zum Inventar
Hallo,

da häufig Fragen auftauchen, die so oder so ähnlich klingen...

Bei mir läuft ein Prozess, der heisst LSASS.EXE und ein Bekannter hat mir geschrieben, ich soll die Datei löschen, denn sie enthält einen Virus!
Zum Vergrößern anklicken....

...und wer dann mehr über die unter Window laufenden Prozsses wissen will als der Task Manager anzeigt, dem kann ich folgendes Tool empfehlen (AndreasB hat es in diesem Thread schon einmal erwähnt):

Security Task Manager, aktuelle Version: 1.1
(vorgestellt in der aktuellen Ausgabe der c't, Nr 5 vom 23.02.2004)

Der Security Task Manager liest alle Informationen über Prozesse aus, die das System zur Verfügung stellt und stellt diese in einer guten Übersicht dar. Hierzu zählen die Informationen über laufende Prozesse, wie sie gestartet werden (Autostart, Registrierung etc.), wieviel CPU und RAM zu derzeit benötigen, den Ort der Datei, eine Beschreibung der Applikation sowie den Hersteller, sofern der über die Datei bekannt ist.

Das Besondere ist aber, dass der Security Task Manager darüber hinaus die Möglichkeiten und Fähigkeiten der einzelnen Programme analysiert und darüber eine potientielle Gefahreneinstufung vornimmt:
  • Kann das Programm Tastatureingaben überwachen?
  • Ist das Programmfenster sichtbar oder versteckt?
  • Handelt es sich um eine Windows System Datei?
  • Kann das Programm den Internet Explorer überwachen?
  • Ist die Datei von Microsoft signiert?
  • Ist die Datei von z.B. VeriSign zertifiziert?
  • Startart (Dienste, Services, Auto-Run, Registry...)
  • ...
Ausserdem werden zur weiteren Analyse die in der Datei aufgefunden Texte angezeigt, z.T. ist hierüber eine genauere Zuordnung zu einzelnen Programmen möglich.

Über Kontextmenüs können Prozesse kommentiert und selbst bewertet werden, die Prozesse lassen sich auch entfernen, und es kann aus dem Security Task Manager heraus eine Google-Suche zu dem entsprechenden Eintrag angestossen werden.

Das Programm ist Shareware und kann 30 Tage kostenlos getestet werden. Danach ist eine Registrierungsgebühr von 29 Euro fällig.

Einzig die Nachteile der Shareware-Version stören etwas: Beim Beenden teilt mir die Software mit, dass noch potentiell gefährlich Dienste gefunden wurden, die in der Shareware-Version nicht angezeigt werden (das finde ich extrem ärgerlich!), und ich habe jetzt schon einmal – während der Security Task Manager lief – ein Fenster mit dem Hinweis erhalten, dass ich das Tool bitte registrieren möge. Naja...


Interessant ist z.B., dass meine Kerio Personal Firwall mit 93 Punkten als sehr gefährlich eingestuft wird. Der Grund ist aber gut zu erkennen:
  • Kann Tastatureingaben aufzeichen
  • Nicht sichtbares Fenster
  • Keine Windows System Datei
  • Funktionen: Internet, Überwachen, Eingaben aufzeichnen
Da ich aber weiss, dass die Firewall alles anderes als gefährlich ist (eher im Gegenteil), kann ich sie über "Kommtar..." als "nicht gefährlich" einstufen und somit ist das Thema gegessen :)

Vielleicht probiert es ja der ein oder andere mal aus, und teilt uns seine Erfahrungen mit... Ich werde es auf jeden Fall eine Zeitlang testen.
 
Original geschrieben von the-loser
Einzig die Nachteile der Shareware-Version stören etwas: Beim Beenden teilt mir die Software mit, dass noch potentiell gefährlich Dienste gefunden wurden, die in der Shareware-Version nicht angezeigt werden (das finde ich extrem ärgerlich!)
Zum Vergrößern anklicken....

Hiho tl,
Diese Art von Shareware wird glaube ich eher als Crippleware bezeichnet. Und diese Masche zu nutzen, um dem User einen Kauf fast schon aufzudrängen, finde ich eher bedenklich bzw. macht bei mir auf jeden Fall keinen guten Eindruck.
Ungeachtet dessen werde ich das Tool auch mal testen.
Danke für den ausführlichen Beitrag.

Gruß
Jensus
 
So, wie versprochen habe ich eben mal ein wenig Testfuchs gespielt (ein Wortspiel, die Firma gibt es tatsächlich :D).
Macht an für sich einen guten Eindruck. Als potentiell sehr gefährlich wird die Immunisierung von Spybot S&D angesehen, die SDHelper.dll, welche mit dem IE gestartet wird und über das "Immunisieren"-Menü von SS&D gestartet wurde. Aus gutem Grund:

task1.jpg

Nun weiss ich aber aus gut unterrichteter Quelle, dass SS&D nicht gefährlich ist, also mal den Rechtsklick und das herabstufen der Gefährlichkeit ausprobiert... Schwupp, weg ist es.

Gut gefallen hat mir auch die Möglichkeit, gleich über Google nach Einträgen zu suchen. So wurde bei mir das Programm ati2evxx.exe 2 mal ausgeführt. Eine Suche ergab, dass eine nicht durchgeführte Deinstallation vor einem Treiberupdate der ATI-Karte dafür sorgen kann... Dieses Programm kann aber auch deaktiviert werden. Gut! Weniger gut: Diesen Prozess konnte das Programm nicht beenden und auch nicht in Quarantäne verschieben. Testweise wurde der Totalcommander beendet: Kein Problem. Ich weiss daher nicht, warum sich die Exe, die über einen Systemdienst gestartet wird, einfach gegen ein Beenden wiedersetzen kann... Mit Taskinfo2003 konnte ich diesen Prozess über "Close Process" problemlos löschen, ich hätte sogar noch "Terminate Process" anwenden können, wenn nötig. Also: "?"

Firewall und Virenscanner bekommen hohes Risiko (62 und 57), ist ja richtig, die haben ja auch ziemlich viel zu sagen :), geht also in Ordnung.

Was negativ auffällt: FreememPro läuft im Tray und zeigt in 2-Sekunden-Abständen den freien Speicher an. Wird ganz normal über die User/Run-Funktion aktiviert.
Im Übersichtsfenster von STM gilt das Programm aber als inaktiv :unsure: Erst, wenn es Speicher freigibt, wird es erkannt. Kann sein, dass die GUI dafür verantwortlich ist. Naja.... ein "?" bleibt.

Nach dem Einatz von FremmemPro und einem Refresh der Anzeige tauchen auf einmal die Menüerweiterungen (Rechtsklickmenü) von RAR und NOD32 auf? Moment.... Ja, ansonsten nicht, weder nach einem Rescan noch sonst. Erst, wenn 256 MB Speicher freigegeben werden.... hm. Kann ich nicht mehr reproduzieren.
Aber nach einem Absturz meines Desktops ist mein WebWashericon im Tray verschwunden, und sofort schnellt die Gefährlichkeit hoch auf 93? Das hinterlässt bei mir den Eindruck, dass die Sichbarkeit des Programmes einen sehr großen Einfluss auf dessen Gefährlichkeit hat....

Naja, für mich reicht der Test. Ein nützliches Programm, wenn.... die nervigen Sharewarehinweise, die immer wieder aufpoppen und der m.M. nach freche, von the-loser angesprochene Warnhinweis am Ende (es seien noch Prozesse als potentielle Gefahr vorhanden und man möge doch bezahlen, um diese angezeigt zu bekommen) nicht wären. Ach ja, und der ATI-Prozess, den TaskInfo2003 killen kann, dieses Tool aber nicht.
Ein gut programmiertes Tool zu einem leider zu hohen Preis. Aber das spiegelt nur meine Meinung wieder, testet ruhig selbst :)

Gruß
Jensus
 
Keine Crippleware

Hallo Crippleware, Danke für Deinen Tipp und Deine Einschätzung. Ich finde das Programm auch recht nützlich. Aber ich denke das Programm ist keine Crippleware, da ALLE Prozesse angezeigt und ausgewertet werden. In der Vollversion werden zusätzlich noch Dienste und Treiber ausgewertet (so wie ich das verstanden hab). Also ich finde die Shareware-Version von SecTaskMan ist so gut wie die Vollversion von WinTasks oder TaskInfo2000 (diese zwei Progs sind auch nicht billiger).

Tschüssi
Ben
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben