Malware-Programmierern ist natürlich daran gelegen, dass ihre kleinen "Fieslinge" die angedachten Aufgaben auch ausführen können. Jedoch verhindern Schutzprogramme dieses Vorhaben, entlarven den Übeltäter und killen den Prozess. Das ist der Idealfall. Wer programmieren kann, bringt ein großes Know-How mit und ist möglicherweise in der Lage, Schutzprogramme zu blockieren und somit das Ausführen der Malware zu ermöglichen. Handelt es sich um so eine Schadsoftware, lässt sich auch Malwarebytes nicht starten. Jedenfalls nicht auf die bekannte Weise. Auch dafür hat Malwarebytes ein Gegenmittel im Köcher, es heißt Chameleon. Dabei handelt es sich vereinfacht ausgedrückt um einen Bootloader für das Hauptprogramm. Chameleon installiert einen eigenen Treiber, beendet alle schädlichen Prozesse, aktualisiert die Datenbank, startet das Hauptprogramm und führt einen Suchlauf durch. Dazu ist es nötig, einen Task über den Taskmanager von Windows zu starten. Den erreichen wir über einen Rechtsklick auf die Windows-Uhr rechts in der Taskleiste. Auf der Menüleiste öffnen wir Datei und klicken auf Neuen Task ausführen. Den Task müssen wir mit Administratorrechten erstellen, Durchsuchen.
Wenn der Installations-Pfad nicht geändert wurde, befindet sich die benötigte Datei in folgendem Ordner: C:\Program Files (x86)\Malwarebytes Anti-Malware\Chameleon\Windows. Andernfalls bitte zum geänderten Ordner navigieren. Wichtig: es muss die Option Alle Dateien (*.*) aktiviert sein. Im entsprechenden Ordner befindet sich an erster Stelle die Datei Chameleon.chm. Hierbei handelt es sich um eine kompilierte Hilfedatei mit aktivem Inhalt. Bitte diese Datei auswählen und anschließend auf Öffnen klicken. Zurück im Task erstellen Fenster erfolgt ein Klick auf OK und der Spass geht los.
Die Hilfedatei wird geöffnet und es befinden sich 13 Button darin. Zur besseren Übersichtlichkeit sind auf dem Bild nur drei Button dargestellt. Wir haben demnach 13 Versuche, um Malwarebytes zu starten. Der erste Versuch ist natürlich der erste Button. Auf unserem Testsystem führte dieser Versuch sofort zum Erfolg. Ein schwarzes Eingabefenster öffnet sich und fordert uns auf, eine beliebige Taste zu betätigen. Wir entscheiden uns instinktiv für die Enter-Taste, jede andere Taste tut es aber auch.
Schädliche Prozesse werden beendet, Malwarebytes gestartet und die Datenbank wird aktualisiert. Eine Verbindung mit dem Internet ist dazu natürlich erforderlich. Automatisch beginnt der Bedrohungs-Suchlauf. Die weitere Vorgehensweise ist identisch mit dem bereits beschriebenen Bedrohungs-Suchlauf.
Chameleon ist ein sehr probates Mittel, um schädliche Prozesse zu beenden und die Blockade unserer Schutzprogramme aufzuheben. Der Suchlauf kann starten und entdeckte Malware in Quarantäne verbannt werden.
Die Suche nach Rootkits wird mit einer Fehlermeldung abgebrochen In den Einstellungen haben wir die Suche nach Rootkits aktiviert. Während eines Suchlaufs bricht Malwarebytes den Vorgang mit einer Fehlermeldung ab. Das kann folgende Gründe haben:
Dieser Fehler tritt auf, wenn Malwarebytes Anti-Rootkit (MBAR) auf ein Volumen mit dem Direct Disk Access (DDA)-Treiber zugreift. Drittanbieter-Software (Antivirus, HIPS, Firewall zum Beispiel) verhindert diesen Zugriff. Problembehandlung: Deaktivieren der Sicherheits-Software im normalen Modus oder den Suchlauf im abgesicherten Modus ausführen.
Festplatten-Verschlüsselungs-Software wie BitLocker, WinMagic oder andere verhindern den Zugriff Problembehandlung: Sicherstellen, dass keine andere Verschlüsselungssoftware als TrueCrypt verwendet wird. MBAR bietet eingeschränkte Unterstützung für verschlüsselte TrueCrypt-Volumes.
Festplattenprobleme Problembehandlung: Die Festplatte(n) mit geeigneten Tools überprüfen und Fehler wenn möglich reparieren lassen.
Malwarebytes startet mit Windows automatisch Problembehandlung (nur Premium-Version): Es handelt sich hier zwar nicht generell um ein Problem, jedoch kann es zu Unverträglichkeiten mit unserem Antivirenprogramm kommen, wenn Malwarebytes ständig parallel im Hintergrund mitläuft. Deshalb empfehlen wir, in Malwarebytes den automatischen Start mit dem Betriebssystem zu deaktivieren.
Die Dienste MBAMScheduler und MBAMService starten automatisch Problembehandlung: Für MBAMService reicht auch die manuelle Einstellung für den Betrieb, das hat keine weiteren Auswirkungen. Der Dienst MBAMScheduler muß nur dann auf Automatisch stehen, wenn Malwarebytes ständig im Hintergrund läuft und der Suchlauf terminiert gestartet wird. Ist das nicht der Fall, sollte der Dienst ebenfalls auf Manuell eingestellt sein. Zum Ändern der Einstellungen bitte in den Diensten MBAMServiceund MBAMScheduler zunächst beenden, dann den Starttyp auf Manuell ändern. Wenn MBAM ausgeführt wird, werden die Dienste wieder auf Automatisch gesetzt und gestartet. Wird MBAM beendet, werden auch die Dienste beendet. Die Einstellung Automatisch bleibt dann zwar erhalten, jedoch werden die Dienste nicht mit dem Windows-Start ausgeführt.(Vielen Dank an Tiziana für die Hinweise auf die Dienste)