Emsisoft Anti-Malware 6

Ab sofort gibt es keine User-Accounts mehr für die Lizenzierung. Stattdessen wechselt Emsisoft zu einem einfachen Key-basierten System.

Neue Benutzeroberfläche

Nach 97,2 MB Download und einer unkomplizierten Multilingual-Installation können Sie im Willkommensfenster wählen, ob Sie die Software 30 Tage lang testen, den Lizenzschlüssel eingeben oder die Freeware-Version nutzen möchten.

Willkommen

Was gleich auffällt - das goldfarbige trojanische Pferd in der Oberfläche wurde entfernt. Eine neue übersichtliche Benutzeroberfläche wird angezeigt und ein Assistent gestartet, um Einstellungen einzurichten.

Der Security Wizard

Sie werden im diesem Fenster gefragt, ob Sie bei Cloud-Interaktionen mitmachen oder zusätzliche Sprachen updaten möchten. Das Cloud-Netzwerk wird für gefundene Objekte verwendet. Lassen Sie die Option aktiviert, werden die auf Ihrem Rechner gefundenen Schädlinge automatisch zum Cloud-Netzwerk gesendet, um neue Schädlingsbekämpfungen zu generieren und schnell auf alle Emsisoft Anti-Malware-Nutzer verteilen zu können. Die "zusätzlichen Sprachen" und Beta-Updates deaktiviere ich, da mir Deutsch vollkommen ausreicht und ich kein Interesse an Betas habe.

Update

Haben Sie gewählt, werden verfügbare Updates und Signaturen gesucht, heruntergeladen und installiert. Der Emsisoft Anti-Malware Sicherheits-Assistent will nun gleich den PC scannen. Mit "PC jetzt untersuchen" geht es weiter. Sie haben die Wahl zwischen "Schnelltest", "Smart Scan", "Detail Scan" oder "Eigener Scan". Die verständlichen Beschreibungen dazu stehen unter dem Scan-Modul und zusätzlich im rechten Fenster.

Scan läuft

Ausnahmen können Sie auch gleich hinzufügen unter "Ausnahmen bearbeiten" – in diesem Fall tue ich das mit den Dateien des auf dem System ebenfalls laufenden Virenscanners ESET NOD32 (egui.exe, ekrn.exe) und wähle schließend den "Detail Scan" aus.

Die Tests

Getestet werden 2 Notebooks:
PC1 - Hewlett-Packard Notebook, Intel Core i5 mit Windows 7 Professional SP1 (32-Bit), eine Festplatte, Festplattengröße 215 GB, davon belegt 159 GB

PC2 - Samsung Laptop, Intel Core Centrino Duo mit 2 Festplatten
1. Festplatte (C:) 144 GB, davon belegt 52 GB mit Windows Vista Business SP2 (32-Bit)
2. Festplatte (D:) 143 GB, davon belegt 42,7 GB mit Windows 7 Professional SP1 (32-Bit)
Gescannt wird von Windows Vista aus.

Der Scan beginnt mit PC1 und umfasst insgesamt 569.639 Objekte, eine nette Animation wird währenddessen angezeigt. Nach 19 Minuten und 47 Sekunden ist der "Detail Scan" mit dem PC1 fertig. Emsisoft ist fündig geworden: 3 Objekte mit hohem Risiko, 1 Objekt mit mittlerem Risiko und 1 Objekt mit niedrigem Risiko zeigt mir die Ergebnisliste in farblicher Unterteilung an. Rot steht für hohes Risiko, Gelb für mittleres Risiko und Grau für niedriges Risiko. Die Endungen E1 und E2 identifizieren die Scan-Engine, von der die Datei als schädlich erkannt wurde. E1 ist die hauseigene Anti-Malware-Engine und E2 ist die Ikarus Anti-Viren-Engine.

Scanergebnis von PC1

Unter VirusTotal.com informiere ich mich über die Datei EndProcess.exe, die im Verzeichnis "C:\hpin" liegt und von Emsisoft mit dem Urteil „niedriges Risiko“ bedacht wurde. Meiner bescheidenen Meinung nach sollte die Datei zu Hewlett-Packard gehören. VirusTotal stuft sie als "Goodware" ein.

Wird auf den Link "Riskware.Win32.KillApp!E1" im Anti-Malware-Fenster geklickt, öffnet sich eine Emsisoft-Info-Webseite und erklärt, was Riskware (Risiko-Programm) ist und welche Programme als Riskware klassifiziert werden - z.B. IRC-Chat-Clients, SMTP-Clients, Proxy-Server, FTP-Server, Webserver etc. Und: „Andere Tools, welche gemacht sind, um Prozesse abzuschießen, Fenster zu verstecken oder System Parameter automatisch auslesen.“

Die HP-Datei EndProcess.exe passt zu der Aussage „um Prozesse abzuschießen“, da sie zum Beenden von Prozessen dient und den Rechner im Bedarfsfall herunterfahren kann.
*False Positive*

Der Eintrag "Adware.Win32.Agent!E1" wird als Adware erkannt, obwohl ich mit 100%iger Gewissheit sagen kann, dass dies mein animierter Desktophintergrund von Hewlett-Packard ist.
*False Positive*

Die 3 Java-Einträge verschiebe ich in Quarantäne. Solche Java-Meldungen sind aufgrund immer wieder mal auftretender Sicherheitslücken heikel. Allerdings ist Version 6, deren Dateien hier bemängelt wurden, längst deinstalliert und durch Version 7 ersetzt worden.

Die zwei erstgenannten Einträge werden mit einem Rechtsklick "zu den Ausnahmen hinzugefügt". Im selben Fenster können Sie sich das Logfile anzeigen lassen unter "Bericht anzeigen".

Ausnahmen hinzufügen (PC1)

Nach 10 Stunden und bei 95% ist Emsisoft Anti-Malware mit PC2 immer noch nicht fertig. Es wurden bis dahin auf Laufwerk C: 622.964 Objekte überprüft, nun steckt der Scan bei Laufwerk D: fest. Gefunden wurden 32 Objekte.

Scanergebnis von PC2

Scanergebnis von PC2

Die ersten 3 Trace-Einträge (radmin) gehören zur Remote Control Software "Radmin" (Fernwartung) - diese wurde bewusst installiert. Der "TrojanDownloader.Win32.GhostRA(dmin)" z.B., auf den Emsisoft hier ebenso wie andere Sicherheitsprogramme anspielt, hat auch ganz andere Registry-Einträge.

*False Positive*

Der Eintrag Riskware.PSWTool.Win32.Asterisk!E2 ist ein Tool, das Passwörter, die mit Sternchen versehen sind, im Klartext anzeigen lassen kann - "X-Pass".

*False Positive*

Riskware.ProductKey!E2 ist ein Tool von Nirsoft, das Produktschlüssel von installierten Programmen anzeigt: Nirsoft ProduKey.

*False Positive*

not-a-virus:RiskTool.Win32.HideWindows!E2 und Riskware.RiskTool.Win32.HideWindows!E2 gehören zu einem Konsolenprogramm (cmdow.exe), welches von WinTotal konzipiert wurde für den WebSite-Watcher, den das Team vom Softwarearchiv verwendet: Aignes WebSite-Watcher
*False Positive*

Alle Einträge werden mit einem Rechtsklick "zu den Ausnahmen hinzugefügt".
Da der Scanner noch nicht die Festplatte D: gescannt hat und es nur die Möglichkeiten "Pause", "Fortsetzen" oder "Abbrechen" gibt, muss ich mich wohl für "Abbrechen" entscheiden, denn auch bei "Fortsetzen" regt sich nichts. Auf ein Neues, jeder hat eine 2.Chance verdient. Die Remote Control Software "Radmin" habe ich deinstalliert. Die Einträge, die per Rechtsklick zu den Ausnahmen hinzugefügt wurden, hat Anti-Malware doch angenommen, obwohl ich danach abbrechen musste.

Im Bericht, der im Verzeichnis "C:\Users\Username\Documents\Anti-MalwareReports" liegt, wird aufgelistet, welche Scan-Einstellungen genutzt wurden, die Scan-Methode, Objekte, Scan-Beginn und Scan-Ende, Datum, Dauer etc.

Nach dem ersten Scan geht es im Security Wizard mit der Schaltfläche „Weiter“ zur nächsten Kategorie "Malware vorbeugen".

Hier werden die Einstellungen der 3 Echtzeit-Wächter (Dateiwächter, Verhaltensanalyse und Surf-Schutz) angezeigt. Unter "Anwendungsregeln editieren" bei der Verhaltensanalyse findet sich die Virenscanner-Software wieder, der in der Ausnahmeliste vor dem Start des Detail-Scans hinzugefügt wurde. Hier können weitere Regeln hinzugefügt, bearbeitet oder gelöscht werden. In den "Einstellungen" von "Neue Updates automatisch herunterladen und installieren" können Sie bestimmen, wann nach Updates gesucht werden soll. Auch geplante Scans können Sie in den "Einstellungen" bearbeiten.

Waechter Einstellungen

Ich belasse es zunächst bei den Voreinstellungen und klicke auf "Weiter". Der Security Wizard ist nun abgeschlossen und kann über "Assistenten beenden" verlassen werden.

Der Testvirus

Bevor es zu den weiteren Einstellungen geht, siegt die Neugier: Lässt sich Emsisoft von einem einfachen Eicar-Testvirus austricksen? Und siehe da - der Testvirus mit der Endung "com" wurde schon beim Downloaden geblockt. Mit der Endung "zip" aber wurde er erst beim Entpacken auf der Festplatte blockiert. Ein vorheriges manuelles Scannen der Zip-Datei zeigte sogar noch, dass keine suspekten Objekte gefunden wurden.

Testvirus

Die Einstellungen

Nach dem Beenden des Sicherheits-Assistenten öffnet sich die Benutzeroberfläche mit einer kleinen Menü-Schaltfläche am Rand, die die Einträge Sicherheitsstatus, "PC Scannen", Quarantäne, Protokoll, Wächter und Einstellungen beherbergt. Unter "PC Scannen" können Sie einstellen, welche Aktion beim Scan-Ende durchgeführt werden soll.

Menü Scan

Sie können zwischen "Nur Bericht anzeigen", "gefundene Objekte in Quarantäne" oder "PC herunterfahren" wählen. Im Menüpunkt Quarantäne können die Objekte zur Analyse eingesendet, wiederhergestellt, neu gescannt oder endgültig gelöscht werden. Die Quarantäne-Liste kann abgespeichert werden. Unter Menüpunkt Protokoll können Sie die Reporte des Wächters, der Quarantäne und der Updates nachsehen, löschen oder einzelne bzw. alle Einträge aus den jeweiligen Listen entfernen.Im Menüpunkt Wächter können Sie unter der Registerkarte "Anwendungsregeln" weitere Ausnahmen hinzufügen, bearbeiten oder löschen. Unter der Registerkarte "Wächter" (in der Demo "Verhaltensanalyse") sehen Sie, vor was Emsisoft Anti-Malware Sie schützt. Neu hinzugekommen in der Version 6.0 ist "Änderungen an den System-Sicherheitsrichtlinien".

Wächter

Unter der Registerkarte "Alarme" können Sie die Empfindlichkeit in Prozent einstellen und damit beeinflussen, wann eine Meldung erscheinen soll, wenn Objekte gefunden werden. Zur Auswahl haben Sie "Intelligente Alarm-Reduktion" oder "Community basierte Alarm-Reduktion".

Intelligente Alarm-Reduktion: Anti-Malware versucht anhand einer technischen Analyse der Programmdatei eines gemeldeten Programmes zu erkennen, ob es sich um ein gutartiges Programm handelt. Ist die intelligente Alarm-Reduktion nicht aktiviert, werden beim Start von Programmen wie Internet Explorer oder Firefox Warnmeldungen ausgegeben. Mit aktivierter intelligenter Alarm-Reduktion erkennt Emsisoft Anti-Malware, dass es sich um legitime Programme handelt und gibt keine Warnmeldung aus.

Community basierte Alarm-Reduktion: Über eine Online-Abfrage beim Anti-Malware Cloud-Network werden die Entscheidungen aller Emsisoft Anti-Malware-Benutzer zum gemeldeten Programm abgefragt und farbig in einer Grafik angezeigt. Anti-Malware zeigt daraufhin eine Empfehlung an, wie mit dem Programm weiter verfahren werden sollte.

Der Paranoid-Modus meldet zusätzliche Programmstarts und Anwendungen mit "verdächtigem" bzw. Malware-ähnlichem Verhalten, die aber nicht unbedingt gefährlich sein müssen. Diese Option ist standardmäßig deaktiviert, da sie viele Fehlalarme produziert.

Alarme

Die Registerkarte "Dateiwächter" ist für das Scannen der Dateien zuständig, z.B. während die Datei gestartet, verändert oder erstellt wird, beim Herunterladen aus dem Internet oder beim Lesen der Datei.

Die Registerkarte "Surf Schutz" ist eine zusätzliche Sicherheitsschicht, die Sie beim Surfen vor suspekten Webseiten warnt. Es können Optionen zur Hostüberwachung individuell unter Auswahl von "Nicht blockieren", "Alarmieren", "Blockieren mit Info" und "Unsichtbar blockieren" eingestellt werden.

Surfschutz

Unter der Registerkarte "Host Regeln" können Sie suspekte Webseiten wie Phishing- oder Exploiting-Seiten hinzufügen, um sie zu blockieren, oder vertrauenswürdige Webseiten, die nicht geblockt werden sollen. Die bereits eingebaute Liste sollte aktiviert werden. Die Regeln lassen sich bearbeiten, hinzufügen oder löschen.

Hostregeln

Im Menüpunkt Einstellungen unter der Registerkarte "Allgemein" findet sich der Captcha-Schutz. Die aktivierte Option sorgt dafür, dass der Wächter nicht unberechtigt von anderen Programmen oder über den Taskmanager beendet werden kann. Wird der Wächter beendet, muss der Captcha-Code eingegeben werden. Welche Sicherheit dieses Zusatzfeature tatsächlich bringt ist allerdings fraglich angesichts von Meldungen, wie häufig Captcha-Codes geknackt werden – siehe eine der jüngsten Heise-News.

Die Option "Selbstschutz aktivieren" bietet Schutz vor Malware, die versucht Emsisoft Anti-Malware unbemerkt zu beenden oder zu deaktivieren – sie sollte zwingend genutzt werden.

Unter der Registerkarte "Popups" können Sie wählen, ob Sie die aktuellen News von Emsisoft lesen möchten, während Updates heruntergeladen werden, ob Sie die Popup-Meldungen von Updates erhalten möchten, die im Systemtray auftauchen, und wie lange in Sekunden sie sichtbar sein sollen. Wird das System neu gestartet, gibt es einen kleinen Hinweis, wenn neue Signaturen heruntergeladen wurden, wie es bei anderen Viren- oder Spyware-Scannern üblich ist. Dieser kann nicht ausgeblendet werden.

Autoupdates im Systemtray

Unter der Registerkarte "Berechtigung" können Sie als Administrator bei der Existenz mehrerer Windows-Benutzerkonten einzelnen Benutzern untersagen, die Konfiguration von Emsisoft Anti-Malware zu verändern. Die Standardeinstellungen erlauben es jedem Benutzer, alle Funktionen uneingeschränkt zu nutzen.

Berechtigungen

HiJackFree

Über das Kontextmenü des Wächterschild-Symbols in der Systray-Leiste kommt man zum Tool HiJackFree. Das Tool ist in englischer Sprache und kann auch kostenlos von Privatanwendern heruntergeladen und genutzt werden. Das goldfarbige trojanische Pferd ist in dieser Oberfläche wieder vorhanden. Das Tool listet insbesondere aktive Prozesse, Ports, Autostart-Einträge und Dienste auf.

HiJackFree

Unter "Processes" werden die Einträge farblich gekennzeichnet. Grüne Einträge sind gutartige Prozesse. Gelbe Einträge können gut- oder bösartige Einträge sein, meistens sind es Programme, die Emsisoft HiJackFree noch nicht kennt. Rote Einträge könnten bösartig sein und weiße Einträge sind Prozesse, zu denen keine Online-Informationen gefunden wurden. Eine Online-Auswertung können Sie über das Symbol oben rechts "Online Analysis" ausführen und in der Liste suchen oder Filter setzen. Durch das Anklicken des Prozesses in der Liste können Sie im unteren Fenster mehr Informationen erhalten oder Sie klicken zusätzlich auf "View file properties", um die Dateieigenschaften aufzurufen. Sie können den markierten Eintrag oder die Datei löschen oder den Prozess killen, dazu sollten Sie aber unbedingt "Save backup" aktivieren.

Kill Process

Auch die Priorität kann man den Prozessen zuweisen. Sie sollten bei diesem Tool allerdings mit Bedacht vorgehen. Nur wenn Sie sich ganz sicher sind, dass der Prozess, das Port-Programm, der Autostart-Eintrag oder der Dienst zum Schädling gehört, sollten Sie agieren.

Unter Sonstiges (Others) werden Einträge von Internet Explorer Add-ons, IE-Toolbars, Shell Extensions (IE Kontextmenü-Einträge), Shell Hooks, BHOs (Browser Helper Objects) und ActiveX (Beispiel Flash-Player) aufgelistet. In einem weiteren Unterordner werden Einträge von LSP (Layered Service Providers) angezeigt. LSPs sind auf der WinSock-Ebene Voraussetzungen dafür, dass Windows eine Verbindung zum Internet aufbaut. Durch die ein- und ausgehenden Datenströme kann auch "schadhafter Code" eingeschleust werden. Der Unterordner Hosts listet die Einträge der HOSTS-Datei auf, die im Verzeichnis %Systemroot%system32driversetc liegt. Diese Datei dient der festen Zuordnung von Hostnamen mit IP-Adressen. Der letzte Unterordner ActiveX listet alle systemweit registrierten ActiveX-DLLs auf, zum Beispiel ActiveX-Steuerelemente von Microsoft Office Excel. Nicht mehr aktive werden rot dargestellt. Nicht aktiv bedeutet, dass in der Registry Informationen zu einem Modul vorhanden sind, für das keine DLL-Datei mehr existiert. Solche Einträge können in der Regel problemlos gelöscht werden über das Kontextmenü "Uninstall ActiveX".

HiJackFree Others – ActiveX-Steuerelemente

Fazit

Wer Emsisoft Anti-Malware noch nicht kennt, wird überrascht sein von der Schnelligkeit der Scans und von der übersichtlichen Benutzeroberfläche. Für jede Einstellung wird eine Erklärung mitgeliefert. Alle Vorkommnisse werden protokolliert und entsprechende Dateien können ebenso wie die Einstellungen exportiert und wieder importiert werden. Im Gegensatz zu anderer Schutz-Software wurde Emsisoft Anti-Malware so konzipiert, dass es problemlos parallel mit anderen Antiviren-Programmen und Firewalls arbeiten kann. Die Funde beim Sicherheits-Assistenten am Anfang sollten Sie nicht beunruhigen. Riskware, auch "unerwünschte Software" genannt, wird beim Einrichten mit gescannt. Falsch in die Quarantäne abgelegte Einträge können wieder zurückkopiert werden. In den Einstellungen können Sie später auch Riskware deaktivieren. Trotzdem muss die ersten Tage noch mit den Einstellungen experimentiert werden, bis man seinen Wächter so hat, wie man ihn will. Beim Testvirus dachte ich, der Wächter blockiert gleich die Webseite, wie es bei anderen Virenscannern der Fall ist. Der Wächter hat die (Test)Viren auf der Webseite allerdings nicht erkannt, erst als ich einen Virus anklickte, wurde der Download verhindert. Schwächen zeigte er im Umgang mit der gepackten Virendatei, die erst beim Entpacken beziehungsweise gar nicht beim manuellen Scan moniert wurde.

Alles in allem ist Emsisoft Anti-Malware 6 ein guter Scanner, der teilweise aber zu sensibel eingestellt ist, was zu Fehlermeldungen führt.

Die Demo lässt sich 30 Tage ohne Einschränkung nutzen und kann anschließend mit einem Lizenzschlüssel freigeschaltet werden. Ansonsten verwandelt sie sich nach dem Testzeitraum in einen Gratis-Scanner, mit dem jederzeit der PC gescannt und bereinigt werden kann, bei dem aber die Echtzeit-Schutz-Funktionen fehlen.