Heute möchte ich noch eine Beobachtung mitsamt einer Frage im Blog einstellen. Ist mein Eindruck richtig, dass Microsoft Security Essentials nun die Option bietet, vor der Installation von Spyware und unerwünschter Software zu warnen.
Anzeige
Die Sache ist etwas undurchsichtig, da Microsoft die Microsoft Security Essentials-Funktion in keiner Weise dokumentiert (zumindest kann man die Infos auf dieser Webseite in der Pfeife rauchen). Im Web findet man auch nur ältere Anleitungen (oder hier), die die Registerkarten von MSE dokumentieren.
Die Optionen in Microsoft Security Essentials 4.8.204.0
Microsoft ändert ja immer mal wieder die Einstelloptionen in den Microsoft Security Essentials (MSE), ohne diese wirklich zu dokumentieren. Alles ist ja "selbsterklärend" – dumm nur, wenn man detaillierte Infos sucht. Ich hatte glücklicherweise eine virtuelle Maschine mit Windows 7 und einer MSE-Installation mit der Client-Version 4.8.204.0. Gehe ich dort zur Registerkarte Einstellungen werden mir folgende Optionen aufgelistet.
Neue Option Administrator in 4.9.218.0?
Am 24.2.2016 wurde mir über Windows Update unter Windows 7 eine Aktualisierung für Microsoft Security Essentials angeboten, die einen Neustart erforderte. Bis zum Neustart war Microsoft Security Essentials abgeschaltet und die Dienste angehalten.
Anzeige
Hat mich gewundert, weshalb ich das Programm genauer angeschaut habe. Das Update installiert die Antimalware-Clientversion 4.9.218.0, wobei der angegebene KB-Artikel KB3140527 beim Aufruf als "nicht existent" ausgewiesen wird. Nach dem Update und dem Neustart ist mir aufgefallen, dass der MSE als nicht aktuell gemeldet wurde und ein Scan des Systems durchzuführen war. Standardmäßig habe ich dann die Registerkarten des MSE durchgeschaut und bin auf die nachfolgend dokumentierte Neuerung gestoßen.
Unter dem Punkt Administrator kann MSE jetzt alle Nutzer warnen, wenn Spyware oder potentiell unerwünschte Software versucht, weitere Software zu installieren oder auszuführen.
Meine Hoffnung, dass damit auch PUP wie OpenCandy-Installer erkannt würden, hat ich aber nicht erfüllt. Ich habe testweise CDBurnerXP von der Entwicklerseite heruntergeladen. Deren Installer kommt ja mit OpenCandy, was auch in den Lizenzbedingungen aufgeführt wird. Weder Trend Micro Housecall noch MSE haben aber den OpenCandy-Installer bemängelt. Irgend jemand von Euch, dem noch was zu der oben beschriebenen Option einfällt. Ich habe jetzt mal die im Artikel Adware in Windows (Defender) blockieren beschriebenen Registrierungswerte gesetzt und werde beobachten, ob und was passiert.
Ähnliche Artikel:
Adware in Windows (Defender) blockieren
Microsoft Security Essentials schlägt im Praxistest AV-Hersteller
TrendMicro HouseCall: Ad- und Malwarescan für Windows
Anzeige
Ich kenne diese Option noch, weiß nur nicht mehr wie bzw. auf welchem Rechner ich die mal zu Gesicht bekam, ist aber auf jedenfall schon etwas (viel) länger enthalten.
Markus: Danke – scheint aber wohl mit irgend einer 9er Build eingeführt worden zu sein.
Ich erinnere mich auch, dass diese Funktion vor Version 4.8.204.0 erhalten war. Diese gibt es seit Juni 2015, davor war Version 4.7.205.0.
Diese nun wieder neue Funktion hat eine andere Aufgabe. Wenn ich diese deaktiviere, also den Hacken rausnehme, so wird MSE komplett beendet, auch Firewall. Das geht dass erst wieder über Aktivierung im Wartungscenter. Bei der Funktion "Echtzeitschutz" ist das anders. Kannst ja mal ausprobieren.
Das mit CDBurnerXP und den PUP OpenCandy ist was anderes. Der kommt zumindest bei mir erst, seit dem ich die Reg-edit Einstellung für Adware-Suche geändert habe, siehe hier:
http://www.borncity.com/blog/2015/11/27/adware-in-windows-blockieren/
Habe da was auch dazu geschrieben.
Mit der neuen Version 4.9.218.0 musste ich bei eine PC diesen dann neu starten. Bei den anderen PC nicht, habe aber trotzdem dann neu gestartet. Mach gerade einen dritten PC, mal sehen was da passiert.
Ich schau gerade mal in hab das Microsoft Security Essentials nur auf dem Server laufen auf anderen PC ist der Standard gemäß deaktiviert.
Also dieser Administrator Punkt ist tatsächlich mit dem KB3140527 hinzugefügt worden einen Neustart musste ich nicht machen.
Ob sich nun Spyware oder Adware (OpenCandy) mag ich nicht zu beurteilen und werde ich jetzt auch nicht weiter testen ;)
@Lieber Herr Born,
bei der Verschlagwortung ist ein Tippfehler "Mircosot".
Ja es müsste eigentlich Microschrott lauten ;)
Mir fällt dazu nur dieser Artikel ein:
http://www.heise.de/security/meldung/Windows-mit-verstecktem-Adware-Killer-3023579.html
Windows mit verstecktem Adware-Killer
Schaut mal, ob sich dadurch folgender Wert (DWORD) in der Registry ändert:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft Antimalware\MpEngine\MpEnablePus
Hier wird das Thema auch angesprochen.
http://www.drwindows.de/content/9081-microsoft-bleibt-hart-undurchsichtige-cleaner-tools-ausgesperrt.html
Nein! Es wird dort nicht angesprochen, dass MS für den MSE ein neue Version bereitstellte, welche die sog. "Administrator-Funktion" wieder einführte.
Wie ich oben schrieb, bitte mal ausprobieren. Ich habe oben auch geschrieben dass die Windows-Firewall ausgeschaltet werden würde. Das stimmt nicht und ist falsch = Die Windows-Firewall bleibt intakt. Denn im Prinzip logisch, denn MSE hat mit Windows-Firewall so direkt nichts zu tun.
Der Autor Martin Geuß geht auf was völlig anderes ein. Bitte richtig lesen und dann auch mal im TN-Security-Center mal die Blogs lesen. Ich habe mir die beiden Beiträge direkt im Malware Protection Center von MS heute morgen angeschaut.
MS hat im November 2015 die Regedit-Schlüssel rausgerückt, mit denen man mit MSE auf Windows 7 auch PUP-Malware bekämpfen kann.
Das war wohl deshalb, weil viele anderen AV-Programme das nämlich erkennen. Malwarebytes blockiert das auch. Ich hatte in diversen Kommentaren hier in Blog von unserem lieben Herrn Born darauf hingewiesen und das Verhalten ganz genau beschrieben.
Grüße
Natürlich hab ich richtig gelesen ;)
Die Thematiken haben durchaus Berührungspunkte…
Danke & viel Grüße
@Hallo Herr Born:
Sie sagen "Ich habe jetzt mal die im Artikel Adware in Windows (Defender) blockieren beschriebenen Registrierungswerte gesetzt und werde beobachten, ob und was passiert."
Ich musste bei allen Win 7 PCs eines direkt reinschreiben. Entweder bei "Antimalware" oder bei "Defender". Weiß nicht mehr welcher. Da in Win 7 auch der Defender mit dabei ist, sollte man schon beide Schlüssel setzen.
Wenn diese dann da sind empfehle ich mal eine Vollsuche. Das was er bei mir dann gefunden hat, sind Installationsdateien mit PUP-Inhalten. Nicht die dann installierten Programme, denn diese sind ja sauber.
Grüße
Sehr geehrter Herr Born !
Ich habe heute das Windows Update KB3193414 für Microsoft
Security Essentials installiert. Ich habe jetzt die MSE Version
4.10.205.0 Ein vollständiger Suchlauf dauert jetzt statt 2 Std.
ca.3 1/2 Std. Durchsucht werden jetzt statt ca. 400000 Objekte
ca. 550000 Objekte. Vielleicht interessiert Sie Dieses.
Mit freundlichen Grüßen
Hans Thölen