Spyboot Immunisierung und MalwareBytes Anti-Malware Home 2.2.0 - Problembewältigung?

Question

Ich habe festgestellt das diese beiden Programme sich gegenseitig "ausschliessen".
Mit dem Programm MalwareBytes bekomme ich jedesmal eine Sammlung von gefundenen Hijack.Host Malware in dem Systemordner C:\windows\system32\drivers\etc\hosts.
Nachdem ich diese gefundenen "Schädlinge" gelöscht habe und wieder mit Spyboot anfange zu arbeiten wird mir beim Befehl "Immunisierung" wird eine unvollständige Liste angezeigt. Das Program Spyboot weist darauf hin, dass ich "Immunisieren" müsste,
obwohl ich vor dem Start des Programms MalwareBytes bei Spyboot-Immunisierung alle Einträge erfolgreich immunisiert habe!

Meine Frage an ALLE: Was soll ich davon halten?
- Schlussfolgerung: ?
- Was soll ich tun?

Answer 1

Es ist schon immer so, dass sich solche Programme gern gegenseitig in
die Quere kommen oder als Schädlinge identifizieren.
Lass dich nicht verrückt machen.
Schau dir die gemeldeten Sachen mal genauer an und versuche ihnen
auf den Grund zu gehen. Dann kannst du die Meldungen besser
einschätzen und ggf. ignorieren.

Ich persönlich halte von solchen "Immunisierungen" überhaupt nichts.
Der Begriff lässt vermuten, dass man damit Neuinfektionen verhindern
könne. Dem ist aber nicht so. Die Programme können den aktuellen
Zustand analysieren und manchmal auch ein paar Lücken abdichten
viel mehr ist aber nicht drin.

Gruß Flupo

Answer 2

Hallo,

die Immunisierung des Systems durch Spyboot ist eine sinnvolle Sache. Spyboot führt verschiedene Dinge aus. Zum einen wird im Standard-Webbrowser des Systems eine Blacklist integriert. Diese enthält bekannte gefährliche Internetseiten, die z. B. durch einen automatisch integrierten Linkverweis im Hintergrund geladen werden und damit das System angreifen oder beschädigen können. Im Windows System wird die genannte Hosts Datei gegen Manipulation von außen geschützt. Die Hosts Datei enthält unter anderem eine Zeile (127.0.0.1 localhost) die sicher stellt, das dein PC als Localhost immer unter 127.0.0.1 erreichbar ist.

Es gibt aber leider weit verbreitete Malware und Trojaner, die sich genau diesen Umstand zur nutze machen und die Hosts Datei entsprechend manipulieren. Der Trojaner scannt dafür die installierte Software und leitet sie dann einfach um. Wenn z. B. ein installierter Avast Virenscanner auf seine Updateseite zugreifen will, könnte man ihn einfach auf 127.0.0.1 Avast.com umleiten. Damit wäre ein Update unmöglich. Ähnlich arbeitet auch der bekannte BKA-Trojaner, der dir dann, gegen eine entsprechende Gebühr, eine Entsperrung anbietet.

Spyboot setzt hier an und nutzt die eigentliche Systemlücke zur Blockierung dieser Seiten. Hierfür werden in der Hosts Datei Seiten, die für solche Angriffe / Umleitungen bekannt sind, eingetragen. Ruft dein System jetzt über eine eingefangene Malware oder einen Trojaner eine solche Seite auf oder aktiviert ein versteckter Link auf einer Webseite die Umleitung, landest du immer bei dir selbst und nicht auf der umgeleiteten Angriffsseite.

Jetzt passiert Folgendes. Dein MalwareBytes Programm enthält ein Abbild der Hosts Datei und erkennt beim Scannen eine Änderung. Malwarebytes nimmt nun an, dass hier eine Manipulation vorliegt und stellt die Originaldatei wieder her. Damit sind alle von Spyboot eingetragenen Seiten wieder entfernt worden und das System ist ungeschützt. Spyboot meldet dir anschließend eine fehlende Immunisierung. Unter MalwareBytes > Einstellungen findest du den Punkt Mailware Ausschlüsse. Hier kannst du die Hosts Datei (C:\windows\system32\drivers\etc\hosts) eintragen, die dann beim nächsten Scan von MalwareBytes übersprungen werden sollte.

In dieser Liste lassen sich auch z. B. gefundene "False Positives" eintragen. Denn nicht jeder Fund, den Schutzprogramme anzeigen, muss zwangsläufig auch wirklich einer sein. Wenn man sich nicht sicher ist, empfiehlt sich hier immer ein Scan der gefundenen Datei über www.virustotal.com.

Gruß Micha