Vanaf nu zijn er geen gebruikersaccounts meer voor licenties. In plaats daarvan gaat Emsisoft over op een eenvoudig op sleutels gebaseerd systeem.

Nieuwe gebruikersinterface

Na een download van 97,2 MB en een ongecompliceerde meertalige installatie kunt u in het welkomstvenster kiezen of u de software 30 dagen wilt testen, de licentiesleutel wilt invoeren of de freeware-versie wilt gebruiken.

Wat meteen opvalt – het goudkleurige Trojaanse paard in de interface is verwijderd. Een nieuwe duidelijke gebruikersinterface wordt weergegeven en er wordt een wizard gestart om de instellingen in te stellen.

De beveiligingswizard

In dit venster wordt u gevraagd of u wilt deelnemen aan cloudinteracties of extra talen wilt bijwerken. Het cloudnetwerk wordt gebruikt voor gevonden objecten. Als u deze optie ingeschakeld laat, zal de gevonden malware op uw computer automatisch naar het cloud netwerk worden gestuurd om nieuwe malware te genereren en snel te verspreiden onder alle Emsisoft Anti-Malware gebruikers. Ik deactiveer de “extra talen” en beta updates, omdat Duits voor mij perfect volstaat en ik geen interesse heb in beta’s.

Zodra je hebt geselecteerd, worden beschikbare updates en handtekeningen gezocht, gedownload en geïnstalleerd. De Emsisoft Anti-Malware Security Assistant wil nu meteen de pc scannen. Ga verder met ‘PC nu scannen’. U kunt kiezen uit ‘Quick Scan’, ‘Smart Scan’, ‘Detail Scan’ of ‘Own Scan’. De begrijpelijke beschrijvingen staan onder de scanmodule en ook in het venster rechts.

U kunt ook meteen uitzonderingen toevoegen onder “Uitzonderingen bewerken” – in dit geval doe ik dat met de bestanden van de virusscanner ESET NOD32 (egui.exe, ekrn.exe) die ook op het systeem draaien en selecteer tot slot de “Detail Scan”.

De tests

Er worden 2 notebooks getest:
PC1 – Hewlett-Packard notebook, Intel Core i5 met Windows 7 Professional SP1 (32-bit), één harde schijf, grootte harde schijf 215 GB, waarvan 159 GB wordt gebruikt.

PC2 – Samsung laptop, Intel Core Centrino Duo met 2 harde schijven
1e harde schijf (C:) 144 GB, waarvan 52 GB bezet met Windows Vista Business SP2 (32-bit)
2e harde schijf (D:) 143 GB, waarvan 42,7 GB bezet door Windows 7 Professional SP1 (32-bit).
Gescand van Windows Vista.

De scan begint met PC1 en omvat in totaal 569.639 objecten, een mooie animatie wordt getoond tijdens de scan. Na 19 minuten en 47 seconden is de “Detail Scan” met PC1 klaar. Emsisoft heeft 3 objecten gevonden met hoog risico, 1 object met gemiddeld risico en 1 object met laag risico, de resultatenlijst toont mij in verschillende kleuren. Rood staat voor hoog risico, geel voor gemiddeld risico en grijs voor laag risico. De tekens E1 en E2 geven aan welke scan-engine het bestand als schadelijk heeft gedetecteerd. E1 is de eigen anti-malware engine en E2 is de Ikarus anti-virus engine.

Op VirusTotal.com ontdek ik het bestand EndProcess.exe, dat zich in de directory “C:\hp in” bevindt en door Emsisoft een “laag risico” beoordeling heeft gekregen. Naar mijn bescheiden mening zou het bestand moeten toebehoren aan Hewlett-Packard. VirusTotal classificeert het als “goodware”.

Als je op de link “Riskware.Win32.KillApp!E1” klikt in het anti-malware venster, opent een Emsisoft info webpagina die uitlegt wat riskware (risicoprogramma) is en welke programma’s als riskware zijn geclassificeerd – b.v. IRC chat clients, SMTP clients, proxy servers, FTP servers, web servers enz. En: “Andere tools die gemaakt zijn om processen neer te schieten, vensters te verbergen of automatisch systeemparameters te lezen.”

Het HP-bestand EndProcess.exe past in de verklaring “om processen te doden”, aangezien het wordt gebruikt om processen te doden en de computer zo nodig kan afsluiten.
*False Positive

De vermelding “Adware.Win32.Agent!E1” wordt gedetecteerd als adware, hoewel ik met 100% zekerheid kan zeggen dat dit mijn geanimeerde bureaubladachtergrond van Hewlett-Packard is.
*False Positive*

Ik verplaats de 3 Java vermeldingen naar quarantaine. Zulke Java meldingen zijn lastig vanwege beveiligingslekken die van tijd tot tijd opduiken. Maar versie 6, waarvan de bestanden hier werden bekritiseerd, is allang verwijderd en vervangen door versie 7.

De twee eerstgenoemde vermeldingen worden met een rechtsklik “toegevoegd aan de uitzonderingen”. In hetzelfde venster kunt u het logbestand weergeven onder “Rapport weergeven”.

Na 10 uur en op 95% is Emsisoft Anti-Malware nog steeds niet klaar met PC2. Tot dan toe werden 622.964 objecten gescand op schijf C:, nu blijft de scan steken op schijf D:. 32 objecten werden gevonden.

De eerste 3 trace entries (radmin) behoren tot de remote control software “Radmin” (onderhoud op afstand) – deze werd bewust geïnstalleerd. De “TrojanDownloader.Win32.GhostRA(dmin)” bijvoorbeeld, waar Emsisoft hier evenals andere beveiligingsprogramma’s op wijst, heeft ook geheel andere registervermeldingen.

*False Positive

De entry Riskware.PSWTool.Win32.Asterisk!E2 is een tool die wachtwoorden met sterretjes in platte tekst kan weergeven – “X-Pass”.

*False Positive

Riskware.ProductKey!E2 is een hulpmiddel van Nirsoft dat productsleutels van geïnstalleerde programma’s weergeeft: Nirsoft ProduKey.

*False Positive*

not-a-virus:RiskTool.Win32.HideWindows!E2 en Riskware.RiskTool.Win32.HideWindows!E2 behoren tot een consoleprogramma (cmdow.exe) ontworpen door WinTotal voor de WebSite-Watcher gebruikt door het Software Archive team: Aigne’s WebSite-Watcher
*False Positive

Alle vermeldingen worden “toegevoegd aan uitzonderingen” met een rechtsklik.
Aangezien de scanner de harde schijf D: nog niet heeft gescand en er alleen de opties “Pauze”, “Doorgaan” of “Annuleren” zijn, denk ik dat ik voor “Annuleren” moet kiezen, want zelfs met “Doorgaan” komt er niets in beweging. Laten we opnieuw beginnen, iedereen verdient een tweede kans. Ik heb de afstandsbediening software “Radmin” verwijderd. De vermeldingen die via rechtsklik werden toegevoegd aan de uitzonderingen werden door Anti-Malware geaccepteerd, hoewel ik achteraf moest annuleren.

Het rapport in de map “C:\Usersername\Documents\Anti-MalwareReports” laat zien welke scaninstellingen zijn gebruikt, de scanmethode, objecten, begin en einde van de scan, datum, duur, enz.

Na de eerste scan gaat de Beveiligingswizard met de knop “Volgende” naar de volgende categorie “Malware voorkomen”.

Hier worden de instellingen van de 3 realtime bewakers (bestandsbewaking, gedragsanalyse en surfbeveiliging) weergegeven. Onder “Toepassingsregels bewerken” in de gedragsanalyse vindt u de virusscannersoftware die aan de uitzonderingenlijst werd toegevoegd voordat de gedetailleerde scan werd gestart. Verdere regels kunnen hier worden toegevoegd, bewerkt of verwijderd. In de “Instellingen” van “Automatisch nieuwe updates downloaden en installeren” kunt u bepalen wanneer op updates moet worden gecontroleerd. U kunt ook geplande scans bewerken in de “Instellingen”.

Ik laat het voorlopig bij de standaardinstellingen en klik op “Volgende”. De Wizard Beveiliging is nu voltooid en kan worden afgesloten door op “Wizard afsluiten” te klikken.

Het testvirus

Voordat we naar de andere instellingen gaan, wint de nieuwsgierigheid het: kan Emsisoft worden misleid door een eenvoudig Eicar-testvirus? En zie – het testvirus met de extensie “com” was al geblokkeerd toen het werd gedownload. Met de extensie “zip” werd het echter pas geblokkeerd toen het werd uitgepakt op de harde schijf. Uit een eerdere handmatige scan van het zip-bestand bleek zelfs dat er geen verdachte objecten werden gevonden.

De instellingen

Na het sluiten van de Security Wizard opent de gebruikersinterface met een kleine menuknop in de marge die de items Security Status, “PC Scan”, Quarantaine, Log, Guard en Settings bevat. Onder “PC Scan” kunt u instellen welke actie moet worden uitgevoerd aan het einde van de scan.

U kunt kiezen tussen “Alleen rapport weergeven”, “Gevonden items in quarantaine plaatsen” of “PC afsluiten”. In het menu Quarantaine kunnen de objecten worden verzonden voor analyse, hersteld, opnieuw gescand of uiteindelijk verwijderd. De quarantainelijst kan worden opgeslagen. Onder het menu-item Log kunt u de rapporten van de bewaking, quarantaine en updates controleren, wissen of afzonderlijke of alle items uit de respectievelijke lijsten verwijderen.In het menu-item Bewaking kunt u onder het tabblad “Toepassingsregels” verdere uitzonderingen toevoegen, bewerken of wissen. Onder het tabblad “Guard” (in de demo “Behavioural Analysis”) kunt u zien waartegen Emsisoft Anti-Malware u beschermt. Een nieuwe toevoeging in versie 6.0 is “Wijzigingen in het systeembeveiligingsbeleid”.

Onder het tabblad “Alarmen” kunt u de gevoeligheid in procenten instellen en zo beïnvloeden wanneer er een bericht moet verschijnen als er objecten worden gevonden. U kunt kiezen tussen “Intelligente alarmreductie” of “Gemeenschappelijke alarmreductie”.

Intelligente alarmreductie: Anti-Malware probeert op basis van een technische analyse van het programmabestand te herkennen of een gemeld programma goedaardig is. Als de intelligente alarmreductie niet is geactiveerd, worden er waarschuwingen gegeven wanneer programma’s zoals Internet Explorer of Firefox worden gestart. Als intelligente waarschuwingsreductie is geactiveerd, herkent Emsisoft Anti-Malware dat dit legitieme programma’s zijn en geeft het geen waarschuwing.

Community-based alert reduction: Via een online query naar het Anti-Malware Cloud-Network worden de beslissingen van alle Emsisoft Anti-Malware gebruikers over het gemelde programma opgevraagd en in kleur in een grafiek weergegeven. Anti-Malware geeft dan een aanbeveling over hoe verder te gaan met het programma.

De paranoïde modus meldt extra programmastarts en toepassingen met “verdacht” of malware-achtig gedrag, maar die niet noodzakelijk gevaarlijk zijn. Deze optie is standaard uitgeschakeld omdat ze veel valse alarmen veroorzaakt.

Het tabblad File Guard is verantwoordelijk voor het scannen van de bestanden, bijv. terwijl het bestand wordt gestart, gewijzigd of aangemaakt, bij het downloaden van internet of bij het lezen van het bestand.

Het tabblad “Surfbeveiliging” is een extra beveiligingslaag die u tijdens het surfen waarschuwt voor verdachte websites. Opties voor hostbewaking kunnen afzonderlijk worden ingesteld door te kiezen voor “Niet blokkeren”, “Waarschuwen”, “Blokkeren met info” en “Onzichtbaar blokkeren”.

Onder het tabblad “Hostregels” kunt u verdachte websites zoals phishing- of exploitatiesites toevoegen om te blokkeren, of vertrouwde websites die niet geblokkeerd moeten worden. De reeds ingebouwde lijst moet worden geactiveerd. De regels kunnen worden bewerkt, toegevoegd of verwijderd.

In het menu-item Instellingen onder het tabblad “Algemeen” vindt u de Captcha-beveiliging. De geactiveerde optie zorgt ervoor dat de bewaking niet zonder toestemming door andere programma’s of via het taakbeheer kan worden beëindigd. Als de bewaker wordt beëindigd, moet de captcha-code worden ingevoerd. Welke veiligheid deze extra functie daadwerkelijk biedt, is echter twijfelachtig, gezien de berichten over hoe vaak captcha-codes worden gekraakt – zie een van de laatste Heise nieuwsberichten.

De optie “Activeer zelfbescherming” biedt bescherming tegen malware die probeert Emsisoft Anti-Malware ongemerkt te beëindigen of te deactiveren – deze moet absoluut gebruikt worden.

Onder het tabblad “Popups” kunt u kiezen of u het laatste nieuws van Emsisoft wilt lezen terwijl updates worden gedownload, of u de popup-berichten van updates wilt ontvangen die in het systeemvak verschijnen, en hoe lang in seconden ze zichtbaar moeten zijn. Wanneer het systeem opnieuw wordt opgestart, verschijnt er een kleine melding wanneer nieuwe handtekeningen zijn gedownload, zoals gebruikelijk is bij andere virus- of spywarescanners. Dit kan niet worden verborgen.

Onder het tabblad “Toestemming” kunt u als beheerder individuele gebruikers verbieden de configuratie van Emsisoft Anti-Malware te wijzigen als er meerdere Windows gebruikersaccounts bestaan. Met de standaardinstellingen kan elke gebruiker alle functies onbeperkt gebruiken.

HiJackFree

De HiJackFree-tool is toegankelijk via het contextmenu van het schildpictogram in de systraybalk. De tool is in het Engels en kan ook door particuliere gebruikers gratis worden gedownload en gebruikt. Het goudkleurige Trojaanse paard is weer aanwezig in deze interface. De tool geeft een lijst van actieve processen, poorten, autostart-items en diensten in het bijzonder.

Onder “Processen” zijn de vermeldingen voorzien van een kleurcode. Groene vermeldingen zijn goedaardige processen. Gele items kunnen goedaardig of kwaadaardig zijn, meestal zijn het programma’s die Emsisoft HiJackFree nog niet kent. Rode vermeldingen kunnen kwaadaardig zijn en witte vermeldingen zijn processen waarvoor geen online informatie is gevonden. U kunt een online analyse uitvoeren door te klikken op het “Online Analyse” icoon in de rechterbovenhoek en in de lijst te zoeken of filters in te stellen. Door op het proces in de lijst te klikken, kunt u meer informatie krijgen in het onderste venster of u kunt ook klikken op “Bestandseigenschappen weergeven” om de bestandseigenschappen op te roepen. U kunt het gemarkeerde item of bestand verwijderen of het proces doden, maar u moet altijd “Reservekopie opslaan” activeren.

U kunt ook prioriteit toekennen aan de processen. U moet echter voorzichtig te werk gaan bij het gebruik van dit hulpmiddel. Alleen als u absoluut zeker weet dat het proces, het poortprogramma, de autostartvermelding of de service tot de malware behoort, moet u handelen.

Vermeldingen van Internet Explorer Add-ons, IE Toolbars, Shell Extensions (IE context menu entries), Shell Hooks, BHOs (Browser Helper Objects) en ActiveX (bijvoorbeeld Flash Player) zijn vermeld onder Others. Vermeldingen van LSP (Layered Service Providers) staan in een andere submap. LSP’s zijn voorwaarden op WinSock-niveau voor Windows om een verbinding met het Internet tot stand te brengen. De inkomende en uitgaande datastromen kunnen ook worden gebruikt om “kwaadaardige code” binnen te smokkelen. In de submap Hosts staan de entries van het bestand HOSTS in de map %Systemroot%system32driversetc. Dit bestand wordt gebruikt voor de vaste toewijzing van hostnamen aan IP-adressen. De laatste submap ActiveX bevat alle ActiveX DLL’s die in het hele systeem zijn geregistreerd, bijvoorbeeld ActiveX-besturingselementen van Microsoft Office Excel. Die welke niet meer actief zijn worden in rood weergegeven. Niet actief betekent dat er in het register informatie staat over een module waarvoor geen DLL-bestand meer bestaat. Dergelijke vermeldingen kunnen meestal zonder problemen worden verwijderd via het contextmenu “ActiveX verwijderen”.

Conclusie

Als u Emsisoft Anti-Malware nog niet kent, zult u verrast zijn door de snelheid van de scans en de duidelijke gebruikersinterface. Voor elke instelling wordt een uitleg gegeven. Alle incidenten worden gelogd en bijbehorende bestanden kunnen net als de instellingen geëxporteerd en opnieuw geïmporteerd worden. In tegenstelling tot andere beschermingssoftware is Emsisoft Anti-Malware zo ontworpen dat het zonder problemen naast andere antivirusprogramma’s en firewalls kan werken. De bevindingen in de beveiligingswizard aan het begin zouden u geen zorgen moeten baren. Riskware, ook wel “ongewenste software” genoemd, wordt gescand tijdens het installatieproces. Onjuist in quarantaine geplaatste items kunnen worden teruggekopieerd. U kunt Riskware ook later uitschakelen in de instellingen. Toch moet je de eerste paar dagen met de instellingen experimenteren tot je de bewaking hebt zoals je wilt. Met het testvirus dacht ik dat de bewaker de website meteen zou blokkeren, zoals bij andere virusscanners het geval is. De bewaker herkende de (test)virussen op de website echter niet; pas toen ik op een virus klikte, werd het downloaden verhinderd. Het toonde zwakheden in de omgang met het ingepakte virusbestand, dat pas tijdens het uitpakken of helemaal niet tijdens de handmatige scan werd gedetecteerd.

Al met al is Emsisoft Anti-Malware 6 een goede scanner, maar hij is soms te gevoelig ingesteld, wat leidt tot foutmeldingen.

De demo kan 30 dagen onbeperkt gebruikt worden en daarna met een licentiesleutel ontgrendeld worden. Anders verandert het na de testperiode in een gratis scanner waarmee de pc op elk moment kan worden gescand en schoongemaakt, maar die de real-time beschermingsfuncties mist.