Erfahrungsbericht zum Adware-Scan mit Microsoft Security Essentials

Mit den Microsoft Security Essentials (MSE) kann man ein System auch auf Adware, d.h. potentiell unerwünschte Software, scannen und bei Funden bereinigen lassen. Ich hab's mal getestet und ein paar Erfahrungen zusammen getragen.


Anzeige

Aufhänger für den Test sind eigentlich zwei Blog-Beiträge. Vor einiger Zeit hatte ich im Artikel Adware in Windows (Defender) blockieren darauf hingewiesen, dass der Windows Defender die Möglichkeit besitzt, einen Adware-Scan durchführen zu lassen. Und es gab kürzlich den Artikel Microsoft Security Essentials: Neue Option verfügbar?, wo ich auf eine neue Option des MSE gestoßen war.

Bisher hatte ich den Adware-Scan auf meinem Produktivsystem nicht ausführen lassen, da es Berichte gab, dass MSE in diesem Mode das System stark verlangsamt. Ich habe diese Feststellung beim Vollscan ebenfalls gemacht. Da ich aber neugierig war, ob MSE für so was taugt und was er so findet, habe ich die Probe aufs Exempel gemacht.

Das Testsystem

Testbasis war ein Windows 7 SP1 64-Bit-Ultimate, welches vorher mit Trend Micro Housecall gescannt worden war. Housecall meldete keine unerwünschte Software mehr – was mich etwas verwunderte, da ich CDBurnerXP mit dem OpenCandy-Installer auf der Festplatte in einem Ordner abgelegt hatte.

Anpassung der Registrierung

Um den Scan nach potentiell unerwünschter Software (PUPs) durchzuführen, habe ich die im Artikel Adware in Windows (Defender) blockieren beschriebenen Registrierungseinträge per .reg-Datei importiert. Hier die Einträge der .reg-Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\MpEngine]
"MpEnablePus"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine]
"MpEnablePus"=dword:00000001

Ich habe beide Einträge zum Aktivieren des PUP-Scans im MSE und im Windows Defender gesetzt, da mir nicht ganz klar war, ob der MSE diese Option erkennt. Im Nachgang lässt sich feststellen, dass der Eintrag im Schlüssel Microsoft Antimalware gereicht hätte.

Zum Import der .reg-Datei habe ich den Registrierungs-Editor regedit.exe mit dem Befehl Als Administrator ausführen aufgerufen und dann über Datei/Importieren einlesen lassen. Dieser Kniff stellt sicher, dass der Registrierungs-Editor die administrativen Berechtigungen zum Schreiben in HKEY_LOCAL_MACHINE besitzt.


Anzeige

Um den PUP-Scan wieder abzuschalten, lassen sich die gleichen Anweisungen verwenden, wobei der DWORD-Wert auf 0 zu setzen ist. Der Rechner ist jeweils neu zu starten, damit die Optionen wirksam werden.

Ein erster Vollscan

Im System sind insgesamt 3 TByte an Plattenkapazität enthalten gewesen. Als erstes habe ich einen Vollscan des Systems durchführen lassen, um zu sehen, ob da noch Schadsoftware in diversen Dateien steckt. Der Vollscan mit Microsoft Security Essentials dauerte dann auch fast einen Tag.

Unter Einstellungen / Geplante Überprüfung lässt sich nicht nur der Überprüfungstyp auf Vollscan stellen. Man kann auch die CPU-Auslastung beim Scan begrenzen.

Wie erwartet war mein Windows-System sauber. Aber es wurde in einer unbenutzten Archivdatei von einer "geretteten alten Festplatte" ein Trojaner gefunden, der bisher beim Schnellscan nicht aufgefallen war. Und im Spam-Phishing-Viren-Ordner meines Mail Clients schlummerte eine Mail mit einem Trojaner, die ich irgendwann mal zur Analyse aufgehoben hatte. Ich habe diese Malware dann gleich in die Quarantäne schieben und löschen lassen – sicher ist sicher.

Dass auch gleich die von mir immer mal wieder heruntergeladenen Eicar Testdateien in Quarantäne verschoben und eliminiert wurden, hatte ich schon erwartet. Nach diesem Vollscan musste Windows erneut neu gestartet werden – die Aufforderung kam von MSE mit dem Hinweis, dass der Neustart zum Entfernen der "Bedrohungen" erforderlich sei.

Und was sagt der Adware-Scan?

Erstaunt hatte mich, dass während des Vollscans keinerlei Adware gemeldet wurde. Ich hatte ja eine präparierte Datei auf der Platte abgelegt. Erst nach dem Vollscan samt Neustart meldete sich MSE recht bald mit einem Infofenster und teilte mit, dass unerwünschte Software gefunden worden sei. Diese sei in Quarantäne und ich bräuchte nichts zu unternehmen. Ich habe dann das Fenster der Microsoft Security Essentials geöffnet und bin zur Registerkarte Verlauf gegangen. Unter der Option Alle erkannten Elemente wurden mir zwei Funde gezeigt.

Der Eintrag PUA:Win32/Somoto ist hier beschrieben und die Adware steckte in MyPhoneExplorer_Setup_v1.8.6.exe. Das Teil habe ich schon länger nicht mehr genutzt, die Datei dümpelte aber noch auf der Festplatte. Der Eintrag PUA:Win32/CandyOpen ist hier beschrieben und die Adware steckte in CDBurnerXP. Diese Datei hatte ich ja zum Test auf die Platte gespeichert.

Mein Fazit: Die PUP-Scan-Funktion funktioniert nicht nur in Microsoft Security Essentials, sondern die Scan-Funktion scheint auch ganz brauchbar zu sein. Voraussetzung: Man setzt den betreffenden Registrierungseintrag und führt dann einen Vollscan aus.

Ähnliche Artikel:
Adware in Windows (Defender) blockieren
Microsoft Security Essentials: Neue Option verfügbar?
TrendMicro HouseCall: Ad- und Malwarescan für Windows


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Erfahrungsbericht zum Adware-Scan mit Microsoft Security Essentials

  1. Charles sagt:

    Hallo Günter
    Könntest du diesen Test auch mal auf einem Windows 10 System ausführen?
    Wäre auch mal interessant. ich hab MPEnablePus aktiviert.Eine verlangsamung habe ich nicht registriert.
    Charles

  2. Pingback: Anonymous

  3. Nobody sagt:

    Zitat: "Mein Fazit: Die PUP-Scan-Funktion funktioniert nicht nur in Microsoft Security Essentials, wenn man den betreffenden Registrierungseintrag setzt und dann einen Vollscan ausführt."
    Irgend etwas stimmt an dem Satz nicht, oder?

    • Charles sagt:

      Aber so war der Satz auch nicht geschrieben. du hast ausgelassen,……sondern die Scan- Funktion scheint auch ganz brauchbar zu sein. So macht es Sinn oder?
      Sie funktioniert nicht nur,- sie ist sogar auch brauchbar !
      Wei "funktioniert"heisst nicht unbedingt auch "brauchbar"

  4. Pingback: Neuigkeit: Microsooft Defender mit neuen Funktionen

  5. Patrick sagt:

    Hallo Günter,
    vielen Dank für den Bericht. Ich hätte da noch zwei Fragen zu:
    – Ganz am Anfang erwähnst du, dass der Scanner das System stark auslasten soll. Konntest du das bestätigen?
    – Schützt der Scanner nur beim Vollscan oder auch wenn du z.B. CDBurnerXP neu herunterlädst?

    Gruß
    Patrick

    • Dekre sagt:

      Ich darf hier anmerken, dass MSE eines jener AV-Programm ist, welches sehr Ressourcen schonend ist.
      Das was MSE mit aktivierten Adware/PUP-Finder über Regedit-Einstellung sucht und findet hatte ich exemplarisch für CDBurnerXP beschrieben und nachgestellt mit diversen Programmen:
      http://www.borncity.com/blog/2016/02/13/crypto-trojaner-die-erste-win-trojan-ramnit/
      Dort mein Kommentar vom 14.02.2016, 17:59 Uhr.
      Grüße

      • Patrick sagt:

        Also das klingt nicht schlecht, ich glaube ich werde meinen aktuellen (kostenlosen) Virenscanner mal deinstallieren und die MSE austesten. Vielen Dank.

        • Dekre sagt:

          Ich weiß nicht welchen anderen kostenlosen AV-Scanner Du gegenwärtig benutzt.

          MSE ist sehr gut und das genau so wie die andere AV-Software und dort noch besser, denn es behindert nicht. Ich empfehle Dir aber trotzdem dringend auch und zusätzlich Malwarebytes in der Kaufversion:
          # Malwarebytes Anti-Malware (Premium = Kauf)
          # Malwarebytes Anti-Exploit (Premium = Kauf)
          Das aus persönlicher Erfahrung. Die Programm von Malwarebytes laufen neben (!!) den AV-Programm und behindern ebenfalls nicht.

    • Zur Systemauslastung durch MSE: Das war beim ersten Vollscan schon recht hoch – aber man kann die CPU-Belastung mit einem Maximalwert einstellen. Jetzt macht sich der MSE kaum mehr bemerkbar. Nur nach dem Systemstart, d.h. direkt nach der Benutzeranmeldung, wenn nichts gemacht wird, rattert die Festplatte und MSE prüft.

      Ich habe CDBurnerXP nochmals von der Entwicklerseite heruntergeladen. Der MSE meckert nicht und beschwert sich auch nicht, wenn man die .exe-Datei mit dem Installer per Kontextmenü scannen lässt. Sobald man aber versucht, CDBurnerXP zu installieren, schlägt der MSE an und eliminiert die OpenCandy-Komponente im TMP-Verzeichnis.

      • Dekre sagt:

        Lieber Herr Born,
        ich nutze ja nun MSE seit März/April 2015 weil ich nicht mehr Norton haben wollte bzw. diese zu doof waren. Und es war von mir eine sehr gute und weise Entscheidung.
        MSE scannt bei Vollscan alles und da ist nicht die potentielle Festplattenkapazität entscheidend, sondern das was auf den Festplatten drauf ist. Bei großen pdf-Dateien braucht es schon mal länger. Auch bei anderen Dateien. Dieses kennt man aber schon. Bei großen exe-Dateien braucht es auch länger, etc. Ich habe hier 2,5 Tb auf drei physischen Festplatten. Jetzt brauche ich schon auch 8 Stunden, vorher nur 5 Stunden bei Vollscan.
        Ich habe die Erfahrungen gemacht, dass diese Zeit für einen Vollscan man auch braucht, wenn man andere AV-Programme bittet komplett zu suchen.
        MSE ist dennoch sehr ressourcenarm. Die Einstellung mit CPU-Verbrauch habe ich mal auf 80% gesetzt, weil es auch das kann. Ich kann mit diesen Einstellungen wenig anfangen, denn ich kann den Verbrauch bei bspw. 20%-Einstellung nicht feststellen was der Unterschied ist. Zumal man bei einem PC (kein Notebook – hier ist ein anderes Problem bei mir bei Vollsuche) das nichts ausmacht.
        Man kann diesen Verbrauch mit dem Ressourcenmonitor mal überprüfen. Es ist dort diese CPU-Einststellung bedeutungslos bei Wechsel. Es dauert auch weder länger noch ist er schneller fertig.

        • Dekre sagt:

          Ich will hier einen Hinweis bezüglich der Einstellung CPU-Auslastung geben. Bei normalen PCs ist diese Einstellung wohl nicht so wichtig. Im Forum Windows Community findet sich da auch nichts richtiges und so ist mal wieder Selbsttest angesagt. Bei einem Notebook (hier HP 8560W) ist die Einstellung wohl wichtig.
          Bei einem Vollscan und Einstellung 80% (man kann auch 100%) eintragen, passiert komischerweise folgendes: Ist das Notebook am Stromnetz angeschlossen steigt die CPU-Temperatur extrem an auf über 80 Grad Celsius. Trennt man dann es vom Stromnetz so sinkt die CPU-Temperatur auf normale 60 -65 Grad Celsius. Schließt man das dann wieder an, so steigt es schlagartig wieder. Ergo – das Aufladen des Akkus bzw. der Netzanschluss braucht einmal wohl CPU-Leistung was zum Ansteigen der Temperatur auf exorbitante Werte >80 Grad.
          Bei Änderung in den Einstellungen von MSE für die CPU-Auslastung auf 20% ist die Temperatur wieder normal und steigt auch nicht bei Netzstrom.

          Das ist schon interessant, dass Netzstrom bei Notebooks die CPU-Last beeinflusst.

          FRAGE: Hat Jemand noch solche Probleme festgestellt (also Netzstrom und CPU-Last; hier für MSE exemplarisch)?

  6. dietlmann sagt:

    Hallo zusammen,
    also ich bin, nachdem ich auf diversen Seiten von der Möglichkeit der PUP-Erkennung über den Registry-Eintrag gelesen hatte, ebenfalls auf die Idee gekommen das ganze mal zu testen. Testsystem war ein Windows 10 Pro 64-Bit. Interessiert hat mich der Echtzeitschutz des Defenders. Nachdem ich nur den einen Defender-Eintrag in der Registry gesetzt und neu gestartet hatte, hab ich dann auf diversen Seiten versucht, alles mögliche an PUP-verseuchten Installern runter zu laden. Jeder Aufforderung das System zu optimieren, Treiber zu aktualisieren etc. bin ich nachgekommen. Hab also alles dafür getan das System zu ruinieren. Der Defender hat's zwar manchmal nur verzögert gemeldet, aber er hat alle Downloads zuverlässig einkassiert. Kein einziger dieser Installer landete im Downloadordner. Performance-Einbußen hab ich während des Surfens nicht gespürt. Ich bin geneigt zukünftig auf Windows 10-Systemen dem Defender wieder eine Chance zu geben.

Schreibe einen Kommentar zu dietlmann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.