Windows 7/8/10: Wann wurde eine Datei zuletzt geöffnet? Virus schon geöffnet?

Laden Sie eine Virus- oder sonstige Malware-Datei herunter, ist das für die Sicherheit Ihres PCs kein Problem: Der bloße Besuch einer Webseite mit einem Schadcode-Download verseucht Ihr Gerät noch nicht. Das wäre zwar bei einem Drive-by-Download möglich, wobei sich ein Fremdprogramm über Sicherheitslücken im Browser unbemerkt installiert. Doch ist kein Drive-by-Download im Spiel und laden Sie eine Schadsoftware (im guten Glauben an etwas Nützliches) "nur" herunter, passiert Ihrem PC meist nichts Schlimmes – weitere Infos zur Gefährlichkeit von Dateien, siehe letzten Artikel-Absatz.

Erst wenn Sie eine verseuchte Datei ausführen, fällt das Kind in den Brunnen: Dadurch aktiviert sich der Schadcode. Als letztes Schutzschild fragt zuvor eventuell die Benutzerkonten-Steuerung (UAC, User Account Control) von Windows nach, ob Sie den Vorgang fortsetzen möchten. Wenn Sie zustimmen, der Schädling keine Administrator-Rechte erfordert oder UAC deaktiviert ist, macht sich die Software direkt ans Werk. Das kostenlose sowie portable Tool LastActivityView verrät, ob und wann Sie eine (bösartige) Datei schon ausgeführt haben. Das bloße Herunterladen reicht noch nicht aus, damit das Programm Ihnen die Ausführung attestiert.

Wichtig zur Beurteilung der PC-Sicherheit ist die Frage: Habe ich eine (mutmaßlich) verseuchte Datei bereits geöffnet beziehungsweise ausgeführt oder nicht? Lautet die Antwort "Ja", empfiehlt sich bei einem hohem Sicherheitsanspruch eine baldige Windows-Neuinstallation. Haben Sie einen Schadcode noch nicht gestartet, kann zwar Ihr Virenscanner meckern, dass da etwas verseucht ist – aber braucht Sie das nicht zu beunruhigen, denn es ist nur die Datei und nicht Windows kompromittiert (die bösartigen Routinen konnten ohne den zum Öffnen nötigen Doppelklick ihr Wert noch nicht verrichten). Erinnern Sie sich nicht, ob Sie eine womöglich bösartige Datei ins RAM geladen haben? Kein Problem, Windows weiß es noch, LastActivityView zapft dessen Datensätze an. Das Programm können Sie auch im Nachhinein herunterladen, es ist nicht nötig, es sich vor einer etwaigen Virus-/Malware-Ausführung zu holen. Sollte sich eine Datei als schadhaft herausstellen und haben Sie sie in Ruhe gelassen, löschen Sie sie wahlweise händisch im Windows Explorer oder mit Ihrem Virenscanner.

LastActivityView spezialisiert sich nicht auf Viren, Trojaner & Co., sondern deckt Aufrufzeitpunkte von Dateien aller Art auf – auch von harmlosen. Nach dem Download entpacken Sie das Tool aus seinem ZIP-Archiv und starten die Software per Doppelklick. Nun stöbern Sie in Ihrer PC-Nutzungs-Vergangenheit: Das Tool liest die Windows-Datenpools "Ereignisprotokoll", "Recent-Ordner" und "Prefetch-Ordner" aus.

Anhand der Ereignisprotokoll-Daten sehen Sie die Zeitpunkte der vormaligen Hochfahren-Vorgänge, Recent steuert Infos zu Dateiaufruf-Zeitpunkten bei und Prefetch informiert zu Programmausführungen. Wenn Sie die entsprechenden Daten nicht gelöscht haben, liefert Ihnen LastActivityView genügend Anhaltspunkte zum Erkunden der vergangenen PC-Nutzung. Es bestehen zwei Möglichkeiten, einen Programmaufruf zu recherchieren: Stellen Sie sicher, dass die Liste nach "Action Time" sortiert ist und halten Sie nach dem Dateinamen des zugehörigen EXE-Files Ausschau. Oder Sie fahnden nach der für Sie interessanten Datei per Suchfeld – meist ist das die beste Variante: Öffnen Sie die Suche mit Strg-F, tippen Sie den Namen der Datei ein und drücken Sie die Eingabetaste. Findet das Tool die Datei im Protokoll-Datensatz, markiert es die entsprechende Zeile. Wichtig ist, dass links darin "Run .EXE file" steht. Wenn Sie nicht auf so einen Eintrag stoßen, haben Sie die betreffende Datei noch nicht ausgeführt. Das Löschen von Dateien über LastActivityView ist nicht möglich: Markieren Sie eine Zeile, bewirkt die Entf-Taste keine Entfernung aus dem Dateisystem.

Mit LastActivityView erhalten Sie einen guten Anhaltspunkt zur Frage, ob eine bestimmte Datei jemals aktiv war. Auch ein gewisses Sicherheitsbewusstsein schützt Sie: Wenn Sie zwielichtige ausführbare Dateien und fragwürdige Webseiten nicht aufrufen, haben Sie einen wichtigen Beitrag zur Abschottung Ihres Geräts vor Malware geleistet. Doch mit solchem Nichtstun sind Sie nicht vollkommen geschützt. So sind Fälle bekannt, bei denen der Nutzer eine Datei nicht aktiv ausführen muss, damit sich deren Schadfunktionen entfalten. Der Virenscanner ist dabei der Übeltäter: So ein Programm, das eigentlich Eindringlinge abwehren soll, verhilft Schadcode durch das (sonst prinzipiell sinnvolle) Scannen zum Ausbruch. Dagegen schützen Sie sich nicht direkt, die Nutzung eines mit Updates aktuell gehaltenen Virenscanners mag aber helfen.

Hinzu kommt eine weitere Falle: Nicht jeder Nutzer weiß, dass nicht nur von ausführbaren Dateien (*.exe, *.msi, auch Batch: *.cmd, *.bat) eine Gefahr ausgeht. Schadcode steckt außerdem potenziell in Datendateien wie Bildern oder PDF-Dokumenten – wenn sie manipuliert sind. Dabei kann so eine Datei selbst nichts anrichten, doch wenn Sie sie zum Öffnen in einem Viewer-Programm laden, könnten Sicherheitslücken darin ausgenutzt und im File enthaltener Code aktiviert werden (Buffer-Overflow, Pufferüberlauf). Dagegen hilft Skepsis: Öffnen Sie auch harmlos wirkende Dateien zweifelhafter Herkunft nicht. Laden Sie sie am besten gar nicht erst herunter, befindet sich so etwas schon auf der Platte, löschen Sie es. Als Schutzmaßnahme helfen ferner Updates, sie schließen Lücken in Ihren Programmen und machen Buffer-Overflows zunichte (vorausgesetzt, die Aktualisierungen beseitigen genau die Lecks, die solche manipulierten Exploit-Dateien missbrauchen möchten).