Seit kurzem können die Microsoft Virenscanner auch sogenannte “potentially unwanted applications” (PUA), also “potenziell unerwünschte Anwendungen” erkennen und beseitigen diese. Dazu gehört typischerweise Adware wie “OpenCandy”, die sich bei der Installation von Software mehr oder weniger dreist auf den PC schleicht.
Folgende Produkte bekommen die zusätzliche Funktionalität:
– Windows Defender in Windows 8, 8.1 und 10
– Microsoft Security Essentials
– System Center Endpoint Protection und Forefront Endpoint Protection
Die Funktion muss allerdings zur Zeit noch manuell über einen Registry-Eintrag freigeschaltet werden. An sich richtet sie sich nur an Enterprise-Nutzer und wird offiziell auch nur für die Nutzer von SCEP und FEP verkündet. Allerdings basieren alle oben genannten Produkte eh auf ein und dem selben Programm. Damit lässt sich die Funktion auch überall aktivieren und nutzen.
[Update] In Windows 10 lässt sich die Funktion per Powershell konfigurieren. In einer Powershell mit Adminrechten kann mit folgendem Befehl die Funktion aktiviert werden:
Set-MpPreference -PUAProtection 1
Genauso kann sie mit einer 0 statt der 1 wieder deaktiviert werden. [/Update]
Einfachster Weg, die Funktion zu aktivieren ist der, die folgenden Zeilen als adware.reg zu speichern, dann einen Doppelklick darauf auszuführen und schon werden sie importiert.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine]
„MpEnablePus“=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\MpEngine]
„MpEnablePus“=dword:00000001
Die PUA Erkennung wird dann entweder nach dem nächsten Neustart oder dem nächsten Signatur-Update aktiv.
Eine Einschränkung gibt es allerdings: Bereits installierte und aktive Adware wird nicht erkannt, sondern es findet ausschließlich eine Erkennung im Download Ordner und in den Temp Ordnern statt. Außerdem werden Browserdownloads auf PUAs gescannt. Die Funktion ist also als reiner Schutz vor zukünftigen, verseuchten Downloads gedacht und nicht zum Bereinigen.
Die meiste Adware lässt sich allerdings – wie sonstige Programme auch – über die Systemsteuerung deinstallieren. Im Ernstfall können Tools wie der Adwcleaner helfen, Reste zu entfernen.
Die in diesem Artikel erwähnte Adware “CHIP-Installer” wird übrigens problemlos erkannt und der Download entfernt.
@ Hallo Ingo,
ich habe auch das bei Windows / mit diesem Beispiel von heise.de getestet. Was auch anschlägt ist die INstallationsdatei von CDBurnerXP, egal ob vom Hersteller oder von heise.de (Heise schreibt ja auch werbefinaziert).
Ich habe aber mal aus Spass an der Freude wegen meinen Tests dann von botfrei.de den EU-Cleaner von Avira komplett durchlaufen lassen (auf 2 PCs). Ergebnis Es wurden dann einmal 1 bzw. einmal 5 PUPs gefunden. Das ganze trotz vollständiger Löscung im MSE. Danach hat dann MSE die vom EU-Cleaner entdecken und in QUarantäne verschobene Elemente wieder und erneut herausgefiltert.
Ist schon alles interessant.
Grüße
Ich schrieb es ja „Eine Einschränkung gibt es allerdings: Bereits installierte und aktive Adware wird nicht erkannt, sondern es findet ausschließlich eine Erkennung im Download Ordner und in den Temp Ordnern statt.“
Wenn du also schon was an Adware installiert hast oder an anderen Stellen liegen hast, wird das auf diesem Wege von der Microsoft Software nicht gefunden.
CDBurnerXP ist hier heute auch aufgefallen, aber das portable Archiv lässt sich herunterladen und wird nicht entfernt.
Danke, meinerseits war es nur eine Ergänzung. Lässt man MSE auf dem ganzen System suchen, so findet er auch dortige Installationsdateien, die woanders abgelegt (gespeichert vom Benutzer) wurden. Auf alle Fälle ist nun die von MS endlich herausgerückte regedit-Einstellung eine interessante Bereicherung. Ich habe mich schon immer gefragt, warum der MSE keine PuPs findet, wird doch der Dienst „Antimalware Service“ geladen.
unter https://cdburnerxp.se/en/download gibts einen kleinen Text mit „More download options“, und da in der sich öffnenden Tabelle gibt es eine Zeile „Default installer (Without installCore)“ Das ist die Installationsdatei ohne PUP.
Pingback: Adware Erkennung in Microsofts Virenscannern aktivieren | Ingos Blog | Michael-Floessel.de – Blog
Auf dem Laptop meiner Tochter ist das schon viel beschriebene reimage programm, was angeblich alles reparieren kann aber auch alles zerstört ungewollt installiert worden. Hatte versucht Adwcleaner herunterzuladen um reimage zu deinstallieren. Sobald ich es herunterladen will taucht ein Block von reimage mit einer Frau auf und blockuert mich. Über systemsteuerung – deinstallieren funktioniert es auch nicht. wer weiß eine weg wie ich reimage austricksen kann?. Mfg volker demuth
Die Kommentare hier im Blog sind an sich nicht für Supportanfragen gedacht, sondern für Anmerkungen zu den jeweiligen Artikeln. Wenn du Probleme mit Malware hast, wende dich z.B. ans Trojaner Board http://www.trojaner-board.de/ oder installiere das Windows frisch.
Hallo Ingo,
weißt du, ob der Tipp bei aktuellen Windows-Versionen noch relevant ist?
Deskmodder^1 schreibt dazu:
> Mit der Windows 10 1607 und Windows 10 1703 ist dieser Eingriff nicht mehr notwendig. Der Windows Defender besitzt ein vollwertigen Schutz gegen Viren und Malware.
Ich selbst habe Version 1709 (Fall Creators Update) und habe den besagten Registry-Eintrag _nicht_ gefunden. Kann natürlich auch bedeuten, dass der Eintrag nicht mehr gebraucht wird, weil der Malware-Schutz immer aktiv ist im Windows Defender. Sieht man das eigentlich irgendwo im Interface des Security Centers? Ist das einfach der “Echtzeitschutz” unter Windows Defender Security Center -> Viren- & Bedrohungsschutz -> Einstellungen für Viren- und Bedrohungsschutz? ^2
PS: ursprünglich bin ich über die Windows-Community^3 aufmerksam geworden. “Der Thread ist [jedoch] für zukünftige Antworten gesperrt”
^1: https://www.deskmodder.de/blog/2015/11/26/windows-defender-auch-mit-malware-schutz/
^2: Bild: https://heise.cloudimg.io/width/1920/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/71/2/3/4/0/9/1/4/defend3.1_2-f728f59b4641c993.jpg
^3: https://answers.microsoft.com/de-de/protect/forum/protect_defender-protect_updating-windows_10/windows-10-pro-defender-auch-mit-malware-schutz/a1ddb4b3-eafc-4d95-81d4-830b921bf57d
Normalerweise würde ich solche Aussagen bei den Deskmodder Kollegen einfach mal glauben.
Ich hab grad probiert, es mal nachzuvollziehen, allerdings wird leider die bekannte Adware „CHIP Installer“ generell von Microsoft nicht mehr als Adware erkannt und weder mit noch ohne Registry-Eintrag als böse eingestuft.
Und auch die gerne von mir in den Tests benutzte Freemake Software scheint mittlerweile von den meisten Virenscannern nicht mehr als böse eingestuft zu werden. Ich kann es also schlichtweg nicht testen, ob es noch einen Unterschied mit oder ohne Parameter gibt.