Malwarebytes - Antimalware im Einsatz
Einleitung:
Profil: Anfänger und Fortgeschrittene
Malwarebytes wird oft genannt wenn es darum geht, einen Computer auf Schädlinge zu überprüfen und zu entfernen, welche vom Virenschutz nicht erkannt/gelöscht werden. Ein typisches Beispiel: wenn ein Computersystem plötzlich nicht mehr so funktioniert wie vor dem Neustart, liegt nicht selten der Verdacht nahe, dass es von einem Schadprogramm - Malware - befallen ist. Sei es ein nicht mehr startendes Programm, aufpoppende Fehlermeldungen oder unerklärliche Abstürze.
Bei Malware handelt es sich um einen Sammelbegriff für Schadsoftware im Computerbereich. In der heutigen Zeit haben wir es nicht nur mit Computerviren zu tun, die sich im Netzwerk verbreiten und Schaden anrichten, sondern mit weitaus "intelligenteren" Programmen. Das Ausspähen von Kennwörtern durch mitloggen der Tastaturanschläge ist dabei eine beliebte Variante. Oder das Öffnen von Hintertüren und die Verbreitung von vermeintlich nützlicher Software sind weitere schlechte Beispiele dieser Art von Software. Auf herkömmliche Weise lassen sich diese Programme sehr selten entfernen.
Nun werdet ihr einwerfen: "Ich habe bereits ein gutes Antivirenprogramm im Hintergrund laufen. Wozu noch Eines"? Natürlich setzen wir voraus, dass sich verantwortungsvolle User vor Angriffen aus dem Internet wirkungsvoll schützen. Jedoch ist kein Schutzprogramm in der Lage, auf Anhieb alle Bedrohungen zu identifizieren und zu löschen. Warum also nicht eine zweite Meinung einholen und somit die Wahrscheinlichkeit der Erkennung von möglicher Schadsoftware erhöhen? Zu diesem Zweck sehen wir uns das Programm Malwarebytes genauer an. Was dieser Reinigungsspezialist leistet, erfahrt ihr in diesem Artikel. Wir wünschen Euch viel Vergnügen beim Weiterlesen...
Malwarebytes wird oft genannt wenn es darum geht, einen Computer auf Schädlinge zu überprüfen und zu entfernen, welche vom Virenschutz nicht erkannt/gelöscht werden. Ein typisches Beispiel: wenn ein Computersystem plötzlich nicht mehr so funktioniert wie vor dem Neustart, liegt nicht selten der Verdacht nahe, dass es von einem Schadprogramm - Malware - befallen ist. Sei es ein nicht mehr startendes Programm, aufpoppende Fehlermeldungen oder unerklärliche Abstürze.
Bei Malware handelt es sich um einen Sammelbegriff für Schadsoftware im Computerbereich. In der heutigen Zeit haben wir es nicht nur mit Computerviren zu tun, die sich im Netzwerk verbreiten und Schaden anrichten, sondern mit weitaus "intelligenteren" Programmen. Das Ausspähen von Kennwörtern durch mitloggen der Tastaturanschläge ist dabei eine beliebte Variante. Oder das Öffnen von Hintertüren und die Verbreitung von vermeintlich nützlicher Software sind weitere schlechte Beispiele dieser Art von Software. Auf herkömmliche Weise lassen sich diese Programme sehr selten entfernen.
Nun werdet ihr einwerfen: "Ich habe bereits ein gutes Antivirenprogramm im Hintergrund laufen. Wozu noch Eines"? Natürlich setzen wir voraus, dass sich verantwortungsvolle User vor Angriffen aus dem Internet wirkungsvoll schützen. Jedoch ist kein Schutzprogramm in der Lage, auf Anhieb alle Bedrohungen zu identifizieren und zu löschen. Warum also nicht eine zweite Meinung einholen und somit die Wahrscheinlichkeit der Erkennung von möglicher Schadsoftware erhöhen? Zu diesem Zweck sehen wir uns das Programm Malwarebytes genauer an. Was dieser Reinigungsspezialist leistet, erfahrt ihr in diesem Artikel. Wir wünschen Euch viel Vergnügen beim Weiterlesen...
Malwarebytes - Die Installation:
Im ersten Schritt laden wir uns hier die aktuelle Version von Malwarebytes herunter. Es genügt zunächst die Freeware-Version. Sie lässt sich nach Erwerb eines Schlüssels problemlos in eine Premium-Version umstellen. Für einen ersten Test ist die kostenlose Version zunächst ausreichend.
Die Installation stellt uns vor keine großen Herausforderungen. Nach dem Download navigieren zum entsprechenden Speicherort und klicken die Installationsdatei mit der rechten Maustaste an, Als Administrator ausführen. Die Abfrage der Benutzerkontensteuerung bestätigen wir und fahren fort. Die Sprachauswahl ist bereits auf Deutsch eingestellt, OK. Die nächsten drei Fenster bestätigen wir mit Weiter.
Die Installation stellt uns vor keine großen Herausforderungen. Nach dem Download navigieren zum entsprechenden Speicherort und klicken die Installationsdatei mit der rechten Maustaste an, Als Administrator ausführen. Die Abfrage der Benutzerkontensteuerung bestätigen wir und fahren fort. Die Sprachauswahl ist bereits auf Deutsch eingestellt, OK. Die nächsten drei Fenster bestätigen wir mit Weiter.
Den vorgeschlagenen Installations-Ordner übernehmen wir, Weiter. Danach entscheiden wir, ob der Programmordner im Startmenü die genannte Bezeichnung erhalten und erstellt werden soll, Weiter. Ein Desktop-Symbol möchten wir auch sehen, Weiter und Installieren.
Malwarebytes bietet uns an, einen kostenlosen Test der Pro-Version zu machen und das Programm nach der Installation sofort zu starten. Wir sind neugierig und setzen also beide Haken, Fertigstellen. Während des Testzeitraums stehen alle Funktionen der Vollversion zur Verfügung. Nach dessen Ablauf sind der Echtzeitschutz und die automatische Aktualisierung der Definitions-Datenbank deaktiviert, die Datenbank muss dann manuell vor einem Suchlauf aktualisiert werden.
Nach Abschluss der Installation startet Malwarebytes sofort und wir sehen die englische Programmoberfläche. Das wird nicht so bleiben, wie wir im nächsten Kapitel erfahren.
Malwarebytes - Die Einstellungen:
Wichtige Hinweise:
In der Freeware-Version sind zahlreiche Einstellungs-Optionen deaktiviert. Dazu zählen folgende Einstellungen:
- Web-Ausschlüsse
- Erkennung und Schutz, hier die Optionen Malwareschutz und Schutz vor bösartigen Webseiten
- Zugriffsrichtlinien, alle Optionen
- Erweiterte Einstellungen, alle Optionen
- Automatisierte Planung, alle Optionen
- Hyper-Suchlauf ist deaktiviert
In diesem Kapitel werden wir einige grundlegende Einstellungen vornehmen. Dazu klicken wir im schwarzen Bereich der Programmoberfläche auf die kaum erkennbare Bezeichnung Settings, etwa in der Mitte der Fläche. In den Einstellungs-Optionen klicken wir auf den linken, oberen Button mit der Bezeichnung General Settings. Dort stellen wir die Sprache der Programm-Oberfläche auf Deutsch um. Anschließend können wir optional verfügen, dass Malwarebytes zum Kontextmenü des Windows-Explorers hinzugefügt wird. Das hat den Vorteil, mittels Rechtsklick auf einen Ordner den Suchlauf von Malwarebytes nur für den selektierten Ordner durchzuführen. Das kann sinnvoll für unseren Download-Ordner sein, um nach dem Download einer neuen Datei speziell dafür einen Suchlauf zu starten. Die weiteren Voreinstellungen belassen wir.
Die Option Malware-Ausschlüsse überspringen wir. Hier lassen sich Ordner und Dateien definieren, die nicht gescannt werden sollen. Aus unserer Sicht ist das nicht von Vorteil, denn es sollen immer alle Dateien und Ordner auf Malware untersucht werden. Die nächste Option - Web-Ausschlüsse (nur Premium-Version) - ist schon einen Blick wert. Hier lassen sich Webseiten festlegen, die von Malwarebytes nicht untersucht werden müssen. Dazu zählen natürlich nur uns bekannte und sichere Seiten. Ein Beispiel ist natürlich die Webseite von PC-Experience. Um diese Adresse in den Ausschluss aufzunehmen bemühen wir den Reiter Domäne hinzufügen. In der Eingabezeile geben wir die komplette Adresse ein und bestätigen das mit OK. Schon wird diese Seite nicht mehr überwacht, wie am Eintrag erkennbar ist.
Jetzt kümmern wir uns um die Erkennung und Schutz (vollständig nur Premium-Version). In der Voreinstellung ist kein Haken bei der Suche nach Rootkits gesetzt, das ändern wir natürlich sofort. Diese kleinen Fieslinge sind in der Lage, Anmeldevorgänge von Eindringlingen zu verstecken, Tastaturanschläge mitzuloggen, Passwörter auszuspähen und dergleichen Unfug mehr. Das wollen wir verhindern und setzen den Haken an entsprechender Stelle.
Die Aktualisierungseinstellungen sind bereits voreingestellt und benötigen keine Änderung. Interessant wird es im Abschnitt Verlaufseinstellungen. Hier finden wir eine Option zum Senden von anonymen Informationen zum Kampf gegen Malware. Wer Zweifel an der Anonymität hat, sollte den Haken entfernen. Wir gehen davon aus, dass es sich wirklich um die beschriebenen Informationen handelt und belassen die Einstellung.
Im Abschnitt Zugriffsrichtlinien (nur Premium-Version) lassen sich für jeden User bestimmte Zugriffs-Optionen definieren. Auf einem System mit nur einem User macht das keinen Sinn. Wird der Computer von mehreren Personen benutzt, können hier Rechte definiert werden, sodass einige Einstellungen nicht veränderbar sind. Wir gehen weiter zum Abschnitt Erweiterte Einstellungen (nur Premium-Version). Abgesehen von den Voreinstellungen bietet Malwarebytes hier eine sehr sinnvolle Option: den Selbstschutz des Programms. Wenn diese Option aktiviert ist, wird die Deaktivierung der Schutzfunktion von Malwarebytes durch Schadsoftware verhindert. Wir empfehlen, hier beide entsprechenden Haken zu setzen.
Die letzte Option ist die Einstellung für die Automatisierte Planung (nur Premium-Version). Hier kann je nach Bedarf die Häufigkeit des Suchlaufs vorgegeben und der Aktualisierungsintervall festgelegt werden. Ein Doppelklick auf einen der Einträge öffnet das Einstellung-Menü und die Vorgaben können ausgewählt und eingestellt werden.
Damit sind wir mit dem Einstellungsdialog fertig und können uns nun um die Untersuchung unseres Systems kümmern. Lest dazu bitte im nächsten Kapitel weiter.
Malwarebytes - Der Suchlauf:
Malwarebytes bietet uns drei verschiedene Suchoptionen an:
- Der Bedrohungs-Suchlauf - Untersucht alle Bereiche, in denen sich Malware eingenistet haben kann und schickt Funde in Quarantäne
2. Der benutzerdefinierte Suchlauf - Erlaubt die Auswahl der zu untersuchenden Laufwerke, Ordner oder Dateien, schickt Funde in Quarantäne
3. Der Hyper-Suchlauf (nur Premium-Version) - Ein sehr schneller Suchlauf, weist lediglich auf Funde hin. Anschließender Bedrohungs-Suchlauf nötig!
Wir empfehlen den Bedrohungs-Suchlauf um sicher zu stellen, dass alle Bereiche des Systems untersucht werden. Sehen wir uns die verschiedenen Optionen einmal an.
Der Bedrohungs-Suchlauf:
Nach der Installation und den vorgenommenen Einstellungen sehen wir auf dem Armaturenbrett den Hinweis, dass ein Suchlauf noch nicht durchgeführt wurde. Um das zu ändern, klicken wir auf die Schaltfläche Jetzt beheben. Malwarebytes aktualisisert sofort die Datenbank und beginnt nach wenigen Augenblicken automatisch mit dem Bedrohungs-Suchlauf. Je nach Datenmenge und Speicherplatz dauert es eine Weile, aber das kennen wir ja auch von anderen Virenjägern. Auf unserem Testsystem war der Suchlauf nach 26 Minuten beendet.
Der Bedrohungs-Suchlauf:
Nach der Installation und den vorgenommenen Einstellungen sehen wir auf dem Armaturenbrett den Hinweis, dass ein Suchlauf noch nicht durchgeführt wurde. Um das zu ändern, klicken wir auf die Schaltfläche Jetzt beheben. Malwarebytes aktualisisert sofort die Datenbank und beginnt nach wenigen Augenblicken automatisch mit dem Bedrohungs-Suchlauf. Je nach Datenmenge und Speicherplatz dauert es eine Weile, aber das kennen wir ja auch von anderen Virenjägern. Auf unserem Testsystem war der Suchlauf nach 26 Minuten beendet.
Nach dem Suchlauf möchten wir natürlich erfahren, ob und was Malwarebytes denn gefunden und verbannt hat. Dazu klicken wir auf den blauen Schriftzug Ausführliches Protokoll anzeigen. Es öffnet sich das Protokoll-Fenster und wir sehen das Ergebnis des Suchlaufs.
Wenn der Info-Kasten ähnliche Einträge aufweist wie in unserem Screenshot, können wir mit dem Ergebnis zufrieden sein. Es wurde keine Malware gefunden, das System ist sauber. Ohne Änderungen am System vorzunehmen, starten wir einen neuen Versuch:
Der Benutzerdefinierte Suchlauf:
Auf der schwarzen Leiste klicken wir dazu auf den Schriftzug Suchlauf und entscheiden uns für den Benutzerdefinierten Suchlauf, Suchlauf jetzt starten. Nun erwartet Malwarebytes von uns eine Entscheidung, in welchem Bereich und Umfang es den Suchlauf durchführen soll. Es lassen sich Laufwerke, Partitionen, Ordner oder einzelne Dateien auswählen. Vor den Laufwerken sehen wir ein kleines Dreieck. Wer nicht das gesamte Laufwerk durchsuchen möchte, öffnet mittels des Dreiecks das Laufwerk und kann so weiter navigieren bis zum gewünschten Objekt. Wir entscheiden uns für das Systemlaufwerk und setzen den Haken im Kästchen davor. Im linken Teil des Fensters setzen wir ebenfalls einen Haken für die Suche nach Rootkits. Nach einem Klick auf die Schaltfläche Überprüfung starten wird der Suchlauf durchgeführt.
Sobald das Info-Fenster zeigt, dass der Suchlauf beendet ist, bemühen erneut die Option Ausführliches Protokoll anzeigen. Das Ergebnis sieht nun so aus:
Auf unserem Testsystem ließen wir vor einiger Zeit das Tool ADW Cleaner nach Adware suchen. Gefunden wurden zwei unerwünschte Dateien, welche ebenfalls in einen Quarantäne-Ordner vom ADW Cleaner verschoben wurden. Da es sich nun nicht mehr um eine Bedrohung handelte, wurden diese Dateien beim Bedrohungs-Suchlauf nicht entdeckt. Anders beim Benutzerdefinierten Suchlauf. Hier wird auch nach potenziell unerwünschten Dateien gesucht, was zur Folge hat, dass nun diese beiden Einträge gelistet werden. Da sie sich bereits in Quarantäne befinden und somit keinen Schaden anrichten können, belassen wir sie vorerst dort. Wir befassen uns zunächst mit der dritten Suchlauf-Option:
Der Hyper-Suchlauf (nur Premium-Version):
Hierbei handelt es sich um einen schnellen, aber auch nur oberflächlichen Suchlauf. Wenn hier Schädlinge gefunden werden, muss im Anschluss sofort der Bedrohungs-Suchlauf durchgeführt werden. Wir empfehlen, diesen Suchlauf zu meiden und eine der beiden anderen Optionen zu nutzen.
Der Hyper-Suchlauf (nur Premium-Version):
Hierbei handelt es sich um einen schnellen, aber auch nur oberflächlichen Suchlauf. Wenn hier Schädlinge gefunden werden, muss im Anschluss sofort der Bedrohungs-Suchlauf durchgeführt werden. Wir empfehlen, diesen Suchlauf zu meiden und eine der beiden anderen Optionen zu nutzen.
Wir ersparen uns an dieser Stelle das Anzeigen des Protokolls und verweisen stattdessen noch einmal darauf, dass dieser Suchlauf zu vernachlässigen ist.
Malwarebytes - Verlauf anzeigen:
Malwarebytes bietet die Möglichkeit, zu jeder Zeit den Verlauf des Programms anzusehen. Es werden täglich Protokolle von alle durchgeführten Aktionen angelegt. Hierbei unterscheiden wir zwischen einem Suchlauf-Protokoll und einem Schutz-Protokoll. Letzteres wird täglich einmal angelegt und listet sämtliche Aktivitäten des Programms auf. Alle System-Starts werden erfasst und die dazugehörigen Aktionen durchgeführt und protokolliert. Ein Suchlauf-Protokoll wird natürlich nur nach erfolgtem Suchlauf angelegt. Um die Protokolle anzusehen, klicken wir in der bekannten, schwarzen Programm-Leiste auf den Eintrag Verlauf. Im nächsten Fenster finden sich an der linken Seite zwei weitere Einträge: Quarantäne und Anwendungsprotokolle, welchen wir anklicken. Es öffnet sich eine Liste mit Einträgen nach Datum absteigend sortiert. Abhängig von der Nutzungsdauer und Intensität des Programms ist diese Liste gut gefüllt. Wir suchen uns einen Eintrag aus klicken ihn doppelt an. Sofort wird das entsprechende Dokument geöffnet und verrät uns die Aktivitäten von Malwarebytes.
Die Ansicht kommt bekannt vor? Genau, es ist natürlich dasselbe Protokoll, welches nach einem Suchlauf gezeigt wird. Wir sehen alle Aktivitäten und Bereiche, in denen Malwarebytes aktiv war. Wurden hierbei Schädlinge gefunden, sehen wir auch das
Ergebnis. Dann schließen wir das Protokoll und wechseln über den Eintrag Quarantäne in die nächste Option.
Ergebnis. Dann schließen wir das Protokoll und wechseln über den Eintrag Quarantäne in die nächste Option.
Hier sehen wir, was Malwarebytes an welchem Ort gefunden hat. Entsprechend unserer Entscheidung wählen wir eine der Optionen aus und bestätigen das durch einen Klick auf den jeweiligen Eintrag. In unserem Fall wählten wir die Option Alle löschen und sofort wurden die beiden Schädlinge aus dem System dauerhaft verbannt.
Hinweis:
Bitte verdächtige Funde erst nach einigen Tagen Benutzung des Systems entfernen. Wenn nach dem Verschieben in den Quarantäne-Bereich von Malwarebytes alle Funktionen ohne Störungen laufen könnt ihr sicher sein, dass es sich nicht um systemrelevante Dateien handelt. Erst dann sollte die verdächtige Datei entfernt werden. Auch Malwarebytes ist nicht vor Fehlalarmen gefeit !
Hinweis:
Bitte verdächtige Funde erst nach einigen Tagen Benutzung des Systems entfernen. Wenn nach dem Verschieben in den Quarantäne-Bereich von Malwarebytes alle Funktionen ohne Störungen laufen könnt ihr sicher sein, dass es sich nicht um systemrelevante Dateien handelt. Erst dann sollte die verdächtige Datei entfernt werden. Auch Malwarebytes ist nicht vor Fehlalarmen gefeit !
Malwarebytes - Troubleshooting:
Malwarebytes lässt sich nicht starten
Malware-Programmierern ist natürlich daran gelegen, dass ihre kleinen "Fieslinge" die angedachten Aufgaben auch ausführen können. Jedoch verhindern Schutzprogramme dieses Vorhaben, entlarven den Übeltäter und killen den Prozess. Das ist der Idealfall. Wer programmieren kann, bringt ein großes Know-How mit und ist möglicherweise in der Lage, Schutzprogramme zu blockieren und somit das Ausführen der Malware zu ermöglichen. Handelt es sich um so eine Schadsoftware, lässt sich auch Malwarebytes nicht starten. Jedenfalls nicht auf die bekannte Weise. Auch dafür hat Malwarebytes ein Gegenmittel im Köcher, es heißt Chameleon. Dabei handelt es sich vereinfacht ausgedrückt um einen Bootloader für das Hauptprogramm. Chameleon installiert einen eigenen Treiber, beendet alle schädlichen Prozesse, aktualisiert die Datenbank, startet das Hauptprogramm und führt einen Suchlauf durch. Dazu ist es nötig, einen Task über den Taskmanager von Windows zu starten. Den erreichen wir über einen Rechtsklick auf die Windows-Uhr rechts in der Taskleiste. Auf der Menüleiste öffnen wir Datei und klicken auf Neuen Task ausführen. Den Task müssen wir mit Administratorrechten erstellen, Durchsuchen.
Malware-Programmierern ist natürlich daran gelegen, dass ihre kleinen "Fieslinge" die angedachten Aufgaben auch ausführen können. Jedoch verhindern Schutzprogramme dieses Vorhaben, entlarven den Übeltäter und killen den Prozess. Das ist der Idealfall. Wer programmieren kann, bringt ein großes Know-How mit und ist möglicherweise in der Lage, Schutzprogramme zu blockieren und somit das Ausführen der Malware zu ermöglichen. Handelt es sich um so eine Schadsoftware, lässt sich auch Malwarebytes nicht starten. Jedenfalls nicht auf die bekannte Weise. Auch dafür hat Malwarebytes ein Gegenmittel im Köcher, es heißt Chameleon. Dabei handelt es sich vereinfacht ausgedrückt um einen Bootloader für das Hauptprogramm. Chameleon installiert einen eigenen Treiber, beendet alle schädlichen Prozesse, aktualisiert die Datenbank, startet das Hauptprogramm und führt einen Suchlauf durch. Dazu ist es nötig, einen Task über den Taskmanager von Windows zu starten. Den erreichen wir über einen Rechtsklick auf die Windows-Uhr rechts in der Taskleiste. Auf der Menüleiste öffnen wir Datei und klicken auf Neuen Task ausführen. Den Task müssen wir mit Administratorrechten erstellen, Durchsuchen.
Wenn der Installations-Pfad nicht geändert wurde, befindet sich die benötigte Datei in folgendem Ordner: C:\Program Files (x86)\Malwarebytes Anti-Malware\Chameleon\Windows. Andernfalls bitte zum geänderten Ordner navigieren. Wichtig: es muss die Option Alle Dateien (*.*) aktiviert sein. Im entsprechenden Ordner befindet sich an erster Stelle die Datei Chameleon.chm. Hierbei handelt es sich um eine kompilierte Hilfedatei mit aktivem Inhalt. Bitte diese Datei auswählen und anschließend auf Öffnen klicken. Zurück im Task erstellen Fenster erfolgt ein Klick auf OK und der Spass geht los.
Die Hilfedatei wird geöffnet und es befinden sich 13 Button darin. Zur besseren Übersichtlichkeit sind auf dem Bild nur drei Button dargestellt. Wir haben demnach 13 Versuche, um Malwarebytes zu starten. Der erste Versuch ist natürlich der erste Button. Auf unserem Testsystem führte dieser Versuch sofort zum Erfolg. Ein schwarzes Eingabefenster öffnet sich und fordert uns auf, eine beliebige Taste zu betätigen. Wir entscheiden uns instinktiv für die Enter-Taste, jede andere Taste tut es aber auch.
Schädliche Prozesse werden beendet, Malwarebytes gestartet und die Datenbank wird aktualisiert. Eine Verbindung mit dem Internet ist dazu natürlich erforderlich. Automatisch beginnt der Bedrohungs-Suchlauf. Die weitere Vorgehensweise ist identisch mit dem bereits beschriebenen Bedrohungs-Suchlauf.
Chameleon ist ein sehr probates Mittel, um schädliche Prozesse zu beenden und die Blockade unserer Schutzprogramme aufzuheben. Der Suchlauf kann starten und entdeckte Malware in Quarantäne verbannt werden.
Die Suche nach Rootkits wird mit einer Fehlermeldung abgebrochen
In den Einstellungen haben wir die Suche nach Rootkits aktiviert. Während eines Suchlaufs bricht Malwarebytes den Vorgang mit einer Fehlermeldung ab. Das kann folgende Gründe haben:
Dieser Fehler tritt auf, wenn Malwarebytes Anti-Rootkit (MBAR) auf ein Volumen mit dem Direct Disk Access (DDA)-Treiber zugreift. Drittanbieter-Software (Antivirus, HIPS, Firewall zum Beispiel) verhindert diesen Zugriff.Die Suche nach Rootkits wird mit einer Fehlermeldung abgebrochen
In den Einstellungen haben wir die Suche nach Rootkits aktiviert. Während eines Suchlaufs bricht Malwarebytes den Vorgang mit einer Fehlermeldung ab. Das kann folgende Gründe haben:
Problembehandlung: Deaktivieren der Sicherheits-Software im normalen Modus oder den Suchlauf im abgesicherten Modus ausführen.
Festplatten-Verschlüsselungs-Software wie BitLocker, WinMagic oder andere verhindern den Zugriff
Problembehandlung: Sicherstellen, dass keine andere Verschlüsselungssoftware als TrueCrypt verwendet wird. MBAR bietet eingeschränkte Unterstützung für verschlüsselte TrueCrypt-Volumes.
Festplattenprobleme
Problembehandlung: Die Festplatte(n) mit geeigneten Tools überprüfen und Fehler wenn möglich reparieren lassen.
Malwarebytes startet mit Windows automatisch
Problembehandlung (nur Premium-Version): Es handelt sich hier zwar nicht generell um ein Problem, jedoch kann es zu Unverträglichkeiten mit unserem Antivirenprogramm kommen, wenn Malwarebytes ständig parallel im Hintergrund mitläuft. Deshalb empfehlen wir, in Malwarebytes den automatischen Start mit dem Betriebssystem zu deaktivieren.
Die Dienste MBAMScheduler und MBAMService starten automatisch
Problembehandlung: Für MBAMService reicht auch die manuelle Einstellung für den Betrieb, das hat keine weiteren Auswirkungen. Der Dienst MBAMScheduler muß nur dann auf Automatisch stehen, wenn Malwarebytes ständig im Hintergrund läuft und der Suchlauf terminiert gestartet wird. Ist das nicht der Fall, sollte der Dienst ebenfalls auf Manuell eingestellt sein. Zum Ändern der Einstellungen bitte in den Diensten MBAMService und MBAMScheduler zunächst beenden, dann den Starttyp auf Manuell ändern. Wenn MBAM ausgeführt wird, werden die Dienste wieder auf Automatisch gesetzt und gestartet. Wird MBAM beendet, werden auch die Dienste beendet. Die Einstellung Automatisch bleibt dann zwar erhalten, jedoch werden die Dienste nicht mit dem Windows-Start ausgeführt.(Vielen Dank an Tiziana für die Hinweise auf die Dienste)
Malwarebytes - Die Deinstallation:
Wenn das Tool deinstalliert werden muss so reicht es aus, die Deinstallationsroutine von Windows dafür zu nutzen. Es wird zwar auf der Homepage das Malwarebytes Clean Uninstall Tool empfohlen, das sollte jedoch nur bei Problemen bei der Deinstallation eingesetzt werden. Weitere Vorkehrungen bei der Deinstallation müssen nicht getroffen werden.
Fazit und Praxiserfahrungen:
Eines nehmen wir gleich vorweg: Malwarebytes ist kein Standalone Virenschutz und ersetzt diesen hoffentlich vorhandenen auch nicht. Das Tool ist jedoch eine sinnvolle Ergänzung zu unserem wirkungsvollen Schutzprogramm. Der Hersteller weiß dies natürlich und betont das ganz explizit. Wer die kostenfreie Version einsetzt muss wissen, dass der Echtzeitschutz und Webseitenschutz dann deaktiviert ist. Auch die Aktualisierung der Virensignaturen muss manuell erfolgen. Diese Version eignet sich lediglich für die Suche und Verbannung von entdeckter Malware. Die Vollversion für 3 PC kostet derzeit als Download 22,95 € und ist ein Jahr gültig. Damit wäre die volle Leistungsfähigkeit gewährleistet und auch die Virensignaturen werden automatisch nach dem Start des Computers aktualisiert.
Nach der Installation, den erfolgten Einstellungen und der Aktualisierung kann der erste Bedrohungssuchlauf starten Wie bereits beschrieben, gibt es noch zwei weitere Optionen: der Benutzerdefinierte Suchlauf und der Hyper Suchlauf. Letzt genannter ist nicht zu empfehlen, da er nur die wichtigsten Bereiche durchsucht und dadurch versteckte Malware nicht entdeckt. Der Bedrohungssuchlauf findet aktive Bedrohungen und der Benutzerdefinierte Suchlauf darüber hinaus auch Malware, die keine Bedrohung darstellt aber trotzdem unerwünscht ist. Auch durch unsere Schutzprogramme bereits in Quarantäne verschobene Malware wird von diesem Suchlauf entdeckt und kann entfernt werden. Ferner werden von dem Tool potenziell unerwünschte Programme (PuP) sowie potenziell unerwünschte Modifizierungen (PuM) aufgedeckt und angezeigt. Sollte der Start des Tools blockiert werden, so lässt sich diese Blockade mittels des Hilfsprogramms Chameleon aufheben und der Suchlauf wird gestartet.
Zwei Scan-Optionen bietet Malwarebytes, den On-Access Scanner (Echtzeitscanner, real-time protection, background guard, läuft automatisch im Hintergrund) und den On-Demand Scanner (muss vom Benutzer gestartet werden). Wenn Malwarebytes automatisch gestartet wurde, läuft der On-Access Scanner als Dienst ständig mit und überwacht somit alle Datei-Aktivitäten, den Arbeitsspeicher, Programm-Starts und den Internet-Verkehr. Das geschieht über zusätzliche Filtertreiber des Programms, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Wie bereits beschrieben, kann es hier zu "Kabbeleien" mit unserem Schutzprogramm kommen, darum sollte dies möglichst vermiden werden ! Der On-Demand Scanner muss vom Anwender entweder manuell oder über eine zeitliche Voreinstellung gestartet werden. Das entlastet zum Einen das System und verhindert zum Anderen die erwähnten eventuellen Probleme.
Die Performance des Tools stellt sicherlich ein Highlight dar. Natürlich lassen sich hierbei keine Aussagen in Minuten und Sekunden treffen. Schließlich ist die Dauer eines Suchlaufs von vielen Faktoren abhängig. Dazu zählt die Datenmenge ebenso wie die verbaute Hardware. Wer aber den Vergleich mit seinem Schutzprogramm anstellt wird feststellen, dass der Suchlauf mit Malwarebytes wesentlich zügiger durchläuft. Das liegt an der Prämisse, dass Malwarebytes nach klar spezifizierten Bedrohungen sucht und nicht nach anderen Schädlingen. Dazu wäre dann im zweiten Step ein benutzerdefinierter Suchlauf nötig, was deutlich mehr Zeit kostet.
Malwarebytes ist zu den meisten Schutzprogrammen zum Einholen einer "zweiten Meinung" kompatibel und im Grunde ein "must have" . Bis dato ist uns keine Inkompatibilität bekannt und wir können das Tool als zusätzliche Schutzmaßnahme empfehlen. Eine Garantie für das reibungslose Funktionieren können und werden wir jedoch nicht geben. Malware-Programmierer werden immer dreister und die Anforderungen an die Anwender und deren Schutzprogramme steigen dadurch. Einen hundertprozentigen Schutz im Netz und vor Malware gibt es nicht, aber mit einem gesunden Maß Vorsicht und den richtigen Schutzmechanismen können wir die Risiken des Internets auf ein Mindestmaß reduzieren. Wer potenziell unsichere Webseiten meidet und keine fragwürdigen Programme aus unbekannten Quellen bezieht sowie Mails unbekannter Absender öffnet, hat einen großen Beitrag für die Sicherheit geleistet. Sollte sich dennoch etwas "eingeschlichen" haben, ist die Chance der Entdeckung durch einen guten Virenscanner in Kombination mit Malwarebytes groß, diesen Eindringling wieder zu entfernen. Nicht vergessen wollen wir unsere Empfehlung, von einem sauberen und frisch installierten System ein Image an einem sicheren Ort abzulegen. Damit seid Ihr auf der sicheren Seite und könnt das System in kurzer Zeit wieder verfügbar machen.
Nach der Installation, den erfolgten Einstellungen und der Aktualisierung kann der erste Bedrohungssuchlauf starten Wie bereits beschrieben, gibt es noch zwei weitere Optionen: der Benutzerdefinierte Suchlauf und der Hyper Suchlauf. Letzt genannter ist nicht zu empfehlen, da er nur die wichtigsten Bereiche durchsucht und dadurch versteckte Malware nicht entdeckt. Der Bedrohungssuchlauf findet aktive Bedrohungen und der Benutzerdefinierte Suchlauf darüber hinaus auch Malware, die keine Bedrohung darstellt aber trotzdem unerwünscht ist. Auch durch unsere Schutzprogramme bereits in Quarantäne verschobene Malware wird von diesem Suchlauf entdeckt und kann entfernt werden. Ferner werden von dem Tool potenziell unerwünschte Programme (PuP) sowie potenziell unerwünschte Modifizierungen (PuM) aufgedeckt und angezeigt. Sollte der Start des Tools blockiert werden, so lässt sich diese Blockade mittels des Hilfsprogramms Chameleon aufheben und der Suchlauf wird gestartet.
Zwei Scan-Optionen bietet Malwarebytes, den On-Access Scanner (Echtzeitscanner, real-time protection, background guard, läuft automatisch im Hintergrund) und den On-Demand Scanner (muss vom Benutzer gestartet werden). Wenn Malwarebytes automatisch gestartet wurde, läuft der On-Access Scanner als Dienst ständig mit und überwacht somit alle Datei-Aktivitäten, den Arbeitsspeicher, Programm-Starts und den Internet-Verkehr. Das geschieht über zusätzliche Filtertreiber des Programms, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Wie bereits beschrieben, kann es hier zu "Kabbeleien" mit unserem Schutzprogramm kommen, darum sollte dies möglichst vermiden werden ! Der On-Demand Scanner muss vom Anwender entweder manuell oder über eine zeitliche Voreinstellung gestartet werden. Das entlastet zum Einen das System und verhindert zum Anderen die erwähnten eventuellen Probleme.
Die Performance des Tools stellt sicherlich ein Highlight dar. Natürlich lassen sich hierbei keine Aussagen in Minuten und Sekunden treffen. Schließlich ist die Dauer eines Suchlaufs von vielen Faktoren abhängig. Dazu zählt die Datenmenge ebenso wie die verbaute Hardware. Wer aber den Vergleich mit seinem Schutzprogramm anstellt wird feststellen, dass der Suchlauf mit Malwarebytes wesentlich zügiger durchläuft. Das liegt an der Prämisse, dass Malwarebytes nach klar spezifizierten Bedrohungen sucht und nicht nach anderen Schädlingen. Dazu wäre dann im zweiten Step ein benutzerdefinierter Suchlauf nötig, was deutlich mehr Zeit kostet.
Malwarebytes ist zu den meisten Schutzprogrammen zum Einholen einer "zweiten Meinung" kompatibel und im Grunde ein "must have" . Bis dato ist uns keine Inkompatibilität bekannt und wir können das Tool als zusätzliche Schutzmaßnahme empfehlen. Eine Garantie für das reibungslose Funktionieren können und werden wir jedoch nicht geben. Malware-Programmierer werden immer dreister und die Anforderungen an die Anwender und deren Schutzprogramme steigen dadurch. Einen hundertprozentigen Schutz im Netz und vor Malware gibt es nicht, aber mit einem gesunden Maß Vorsicht und den richtigen Schutzmechanismen können wir die Risiken des Internets auf ein Mindestmaß reduzieren. Wer potenziell unsichere Webseiten meidet und keine fragwürdigen Programme aus unbekannten Quellen bezieht sowie Mails unbekannter Absender öffnet, hat einen großen Beitrag für die Sicherheit geleistet. Sollte sich dennoch etwas "eingeschlichen" haben, ist die Chance der Entdeckung durch einen guten Virenscanner in Kombination mit Malwarebytes groß, diesen Eindringling wieder zu entfernen. Nicht vergessen wollen wir unsere Empfehlung, von einem sauberen und frisch installierten System ein Image an einem sicheren Ort abzulegen. Damit seid Ihr auf der sicheren Seite und könnt das System in kurzer Zeit wieder verfügbar machen.
Wir wünschen viel Spaß bei der Malware-Jagd und Entfernung mit Malwarebytes.
- Update 16.07.2015: weiterführende Links ergänzt
weiterführende Links: