Nachtrag zum Malwarebytes-Problem vom 27.1.2018

Am letzten Wochenende hat Malwarebytes ja ein Software-Update freigegeben, welches massive Probleme bei MBAM 3 verursachte. Noch ein kleiner Rückblick – was hinter den Kulissen passiert ist.

Am späteren Samstag machte mich Blog-Leser Detlef K. auf ein Problem in Malwarebytes 3 (MBAM) aufmerksam. Das Produkt belegte plötzlich fast den gesamten Speicher des Windows-Systems, so dass einige Nutzer mit Abstürzen und Datenverlust zu kämpfen hatten. Einige Details sind im Blog-Beitrag Malwarebytes Anti Malware 3 (MBAM) hat Memory Leak zu finden. Dort fand sich auch ein Workaround, um die Maschine wieder benutzen zu können. Malwarebytes veröffentlichte nach wenigen Stunden Updates, die das Problem behoben.

In Foren sowie in den Kommentaren zu obigem Blog-Beitrag wurde gemutmaßt, dass Malwarebytes ein ‘schlechtes’ Update mit einem Fehler rausgehauen habe. Da sei eine Datei kaputt gewesen oder so.

Das andere Problem mit MBAM 3

Bei Facebook hat mich Nico M. Marcuz auf ein Dokument von Malwarebytes aufmerksam gemacht. Er schrieb:

MB hat i.M. ein ganz anderes Problem. Hat mir gestern echt den Samstag versaut…

Nico hat mir den Link zum Entschuldigungsschreiben von Malwarebytes gepostet. Und dort findet man einen Hinweis auf die Analyse des Vorfalls. Hintergrund für das Update zum Samstag war der Umstand, dass Malwarebytes (zum Wochenende) eine neue Funktion ‘Webprotection’ in MBAM 3 eingeführt hat. 

On the morning of Saturday, January 27th, 2018 protection update v1.0.3798 was released for all versions of Malwarebytes for Windows.

Die Analyse des Vorfalls hat ergeben, dass in der Web Filtering Block List des Updates ein syntaktischer Fehler in der Erkennung von Webseiten enthalten war. Das der RAM voll lief, war nur ein Kollateralschaden. Der angesprochene Fehler führte gleichzeitig dazu, dass das Web Filtering System eine große Anzahl von IPs blockierte. Mit anderen Worten: Die Leute konnten, sofern noch genügend RAM frei war, auch nicht mehr auf zahlreiche Webseiten zugreifen. Sozusagen ein ganz effizienter Schutz durch MBAM 3.

Ich habe mal spaßeshalber eine Websuche angeworfen. Das ungewollte Blocken von IP-Adresse bzw. Webseiten scheint in MBAM wohl Programm zu sein. Alle paar Wochen finden sich Foreneinträge mit solchen Ereignissen und kurz danach der Hinweis ‘solved’.

Was war betroffen und was nicht?

Die Entwickler geben an, dass sich der Fehler auf Kunden ausgewirkt haben könnte, die eines der folgenden Produkte (beliebige Version) verwenden:

  • Malwarebytes for Windows Premium
  • Malwarebytes for Windows Premium Trial
  • Malwarebytes Endpoint Security (MBES)
  • Malwarebytes Endpoint Protection (Cloud Console)

Die folgenden Produkte von Malwarebytes waren von diesem Update und dessen Folgen dagegen nicht betroffen:

  • Malwarebytes for Windows in Free Mode
  • Malwarebytes for Mac
  • Malwarebytes for Android
  • ADWCleaner
  • Malwarebytes Incident Response Standalone (MBBR)
  • Malwarebytes Incident Response (Cloud Console) für Windows/Mac

Malwarebytes verspricht, dass die noch andauernde Analyse zur Identifizierung und Implementierung von Änderungen am Freigabeprozess führen werde, so dass so etwas künftig ausgeschlossen wird. Klingt schon mal gut.

Frage: Hat jemand der Betroffenen bemerkt, dass neben RAM-Problem auch IP-Adressen geblockt wurden? Und eine Anschlussfrage: Sind IP-Blockaden schon früher als Problem aufgefallen?

Ähnliche Artikel:
Malwarebytes Anti Malware 3 (MBAM) hat Memory Leak
Malwarebytes: Aus für Junkware Removal Tool (JRT)
Malwarebytes Realtime-Protection hat ein Problem
Windows 10 Creators Update: Probleme mit Malwarebytes
Malwarebytes 3.0 angekündigt
Malwarebytes übernimmt AdwCleaner

Dieser Beitrag wurde unter Virenschutz abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Nachtrag zum Malwarebytes-Problem vom 27.1.2018

  1. Karl (al Qamar) sagt:

    Hallo Günter,
    die Web Protection ist keine neue Funktion in MBAM 3.x. Es werden schon seit jeher in diesen Versionen der Premium Variante schädliche Webseiten oder IPs blockiert. Sehr nützlich bei Besuch nicht so offizieller Seiten oder schädlicher Werbung.

    Aber auch bei p2p Vorgängen, wie z. B. Bei wargaming.net (World of…) Spiele Downloads oder Updates wird die Kommunikation mit dubiosen IPs / Clients verhindert.

    Aus meiner Sicht war das Problem also wie eingangs geschildert einfach nur ein defektes Engineupdate. Das kann schon mal vorkommen. War auch schon mal der Fall. Sorgte für ewige Ladezeiten bei Spielen z. B. Civ 5. Die schnelle Lösung der Probleme spricht für den Support. Da braucht man bei Microsoft Wochen für.

  2. Latias Lati sagt:

    Neu ist Webprotect echt nicht.
    Aber das erklärt warum es sich (bei mir) selbstständig abgeschaltet hat.

  3. Dekre sagt:

    Auch mein Nachtrag –
    Mit Web-Protection (Webschutz) gibt es immer wieder Probleme, weil eben er sich nicht immer einschaltet. So auch bei Exploit-Schutz. Ich habe am Sonnabend auch festgestellt, dass Web-Protection da Probleme macht. Doch das Problem muss auch tiefer gelegen haben. Bisher hat immer das normale Beenden des Programmes das Problem lösen können. Denn man hat es dann später, ca 20 Minuten, neu gestartet. Dann war das weg.

    Am Sonnabend war bei meinem Gerät jedoch jegliche Programmbeendigung nicht möglich, auch nicht über Dienste (dort sogar mit Fehlermeldung). Es startete immer wieder selbst. Auch ein Beenden über den Taskmanager führe zwar zum Beenden, doch es startete wieder neu. Das ist unnormal. Deshalb ging es nur über „Trick“. Das kurzzeitige Update von Malwarebytes brachte zwar Hilfe beim RAM-Verbrauch. Das eigentiche Problem mit dem Abschalten etc blieb. Es wurde dann erst richtig in den weiteren anschließenden Updates beseitigt.

  4. Karl (al Qamar) sagt:

    Hi Dekre, die Web Protection wurde mit einem neuen Engineupdate vorübergehend deaktiviert. Siehe offizielle MBAM Stellungnahme.
    Daher ist das zwischenzeitliche Verhalten gewollt gewesen. Es gab auch in der Vergangenheit schon mal solche Abschaltung. Da dachte ich an lokale Probleme nicht, das sie es über Engineupdates steuern können.

  5. nook sagt:

    Ich nutze MBAM Home Premium 2.2.1.1043 ausschließlich mit manuellen Signaturupdates, die gibt es nur 1x wöchentlich.

    Derzeit liegt noch 2018-01-25 auf -> downloads.malwarebytes.org/file/mbam_rules

    Keinerlei Probleme damit, Schutz vor bösartigen Websites ist aktiviert.

  6. Olaf Nagel sagt:

    Leider funktioniert bei mir der Echtzeitschutz nicht mehr. Jeder Versuch es einzuschalten scheitert. Ich bin sehr ratlos (Premium) Der Account ist aktive.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert