17 Softwarepakete im Reparaturleistungs-Test nach Malware-Attacken
Können Antiviren-Software-Pakete oder Rettungs- bzw. Reinigungs-Tools ein Windows-System nach einem Schädlingsbefall vollständig reinigen und reparieren? Diese Frage haben die Laborexperten von AV-TEST in einem sehr umfangreichen, 10-monatigen Dauertest geklärt. Das Ergebnis: Es funktioniert!
Es ist der Gau, den schon viele Anwender erlebt haben: Schadsoftware überwindet die Sicherheitshürden ihres Systems und nistet sich dort ein. Ist es nach einer solchen Attacke überhaupt möglich, das Windows-System wieder in den alten Zustand zu versetzen? Mit Hilfe von Antiviren-Software oder Reinigungs-Tools soll das funktionieren. Aber wie gut erledigen die Helfer ihren Job?
Diese Frage hat das Labor von AV-TEST in einem großen Test geklärt. Darin mussten 10 Antiviren-Lösungen und 7 spezielle Reinigungs-Tools verseuchte Systeme nicht nur reinigen, sondern auch wieder komplett reparieren.
Im Test wurden folgende Schutz-Pakete geprüft:
- 3 populäre kostenlose Lösungen: Avast! Free Antivirus 9.0, AVG AntiVirus Free 2014, Avira Free Antivirus
- die von vielen IT-Magazinen empfohlene Lösung Malwarebytes Anti-Malware Free
- die unter Windows vorhandenen Microsoft Security Essentials
- fünf weitere bekannte Kauflösungen von Bitdefender, ESET, F-Secure, Kaspersky und Norton.
Zusätzlich wurden folgende Reinigungs- und Rettungstools getestet:
- die von der Initiative „Botfrei.de" empfohlenen Tools Avira Cleaner und Hitman Pro
- Disinfect2013 aus dem IT-Fachverlag Heise
- die vier bekannten freien Tools F-Secure Removal Tool, Kaspersky Removal Tool, Panda Cloud Cleaner und Norton Power Eraser.
Test der Antiviren-Software
Bei den Antivirus-Lösungen wurde der Test in zwei typische Infektionsszenarien gegliedert.
1. Auf einem bereits mit Malware verseuchten System wurde die Schutz-Software installiert und die folgende Erkennung, die Reinigung, sowie die Reparatur der Schäden protokolliert.
2. Die Schutz-Pakete wurden kurz deaktiviert, die Malware eingespielt und dann der Schutz wieder aktiviert. Auch hier wurden dann wieder die Erkennung, die Reinigung sowie die Reparatur protokolliert.
Diese Zweiteilung sollte simulieren, was passiert, wenn ein Anwender die Software nachträglich installiert, bzw. wenn ein installiertes Schutzpaket einen Schädling erst nach einer gewissen Zeit erkennt und dann den Schaden ausbügeln will. In jedem Schritt mussten die Systemwächter 30 Malware-Samples abarbeiten.
Test der Rettungs- und Reinigungs-Tools
Die Rettungstools werden in der Regel nur nach erfolgtem Schädlingsbefall zur Hilfe genommen. Genau das wurde auch im Test geprüft. Jedes der 7 Tools musste 55 eingedrungene Malware-Samples und deren Schäden beseitigen.
Auch diesen Tools waren die Angreifer bereits bekannt, denn schließlich sollte die Leistung der Reparatur und nicht die Erkennung geprüft werden.
Die Testplattform und Umgebung
Der vorliegende Dauertest fand – wie auch alle anderen Tests bei AV-TEST – ausschließlich auf echter Hardware statt, dieses Mal allerdings unter Windows 7. Der Grund: einige Malware-Samples erkennen, ob sie sich in einer virtuellen Umgebung befinden. In diesem Fall würden sich die Schädlinge eventuell nicht voll entfalten. Unter einer echten Hardware ist das Szenario so realistisch wie im Alltag des Nutzers.
Der Labor-Test war besonders aufwendig, da jede Plattform einzeln mit einem Malware-Sample verseucht werden musste. Danach wurden die Schutzpakete installiert oder reaktiviert bzw. die Reinigungs-Tools ausgeführt. Abschließend musste immer das gereinigte System mit dem originalen System verglichen werden. Bei insgesamt 60 bzw. 55 Malware-Samples und den 10 Security-Paketen plus 7 Tools machte das 985 einzelne Tests über einen Zeitraum von 10 Monaten.
Die Auswertung
Bei beiden Testgruppen, den Schutzpaketen und den Rettungs-Tools, wurden die einzelnen Testwerte nach folgendem absteigenden Risiko-Schema in die Tabelle eingetragen:
1. Schädling nicht erkannt
2. Aktive Schädlingskomponente nicht entfernt
3. Nur ungefährliche Dateireste hinterlassen
4. Komplette Entfernung, sauberes System.
Ergebnis 1: Schädling nicht erkannt
An dieser Stelle sollten alle Testkandidaten eigentlich eine 0 aufweisen, denn vor dem Test jedes Malware-Samples wurde sichergestellt, dass es der Lösung bekannt ist.
Bei den Schutzpaketen wurde von den Microsoft Security Essentials und Avira Free Antivirus bekannte Schadsoftware nicht als solche erkannt. Das darf eigentlich nicht passieren.
Die sieben Reinigungs-Tools leisteten sich bei der grundsätzlichen Erkennung keinen Fehler.
Ergebnis 2: Aktive Schädlings-Komponenten nicht entfernt
In diesem Fall wurde der Schädling zwar erkannt, einige Dateien entfernt, aber der Kern der Malware nicht unschädlich gemacht. Das System bleibt somit infiziert.
Unter den 10 Security-Paketen hatten die kostenlosen Lösungen von Avira, Avast und AVG sowie Microsofts Security Essentials einige Probleme. Sie ließen zwischen 1 und 7 Mal aktive Komponenten im System zurück. Die weiteren Kaufprodukte und das kostenlose Malwarebytes Anti-Malware Free reinigten hier fehlerfrei.
Von den 7 Reinigungs-Tools scheiterten auch mehr als die Hälfte der Teilnehmer an dieser wichtigen Aufgabe: Hitman Pro, Panda Cloud Cleaner, Avira Cleaner und das F-Secure Removal Tool konnten 1 bis 11 aktive Komponenten nicht entfernen.
Nur das Kaspersky Removal Tool, der Norton Power Eraser und Disinfect2013 von Heise arbeiteten an dieser Stelle zuverlässig.
Ergebnis 3: ungefährliche Dateireste hinterlassen
Dieser Abschnitt dokumentierte die ungefährlichen Hinterlassenschaften nach der Reinigung einer Schädlings-Attacke. Dabei handelt es sich meistens um weitere wirkungslose Dateien oder verwaiste Einträge in der Windows-Registry.
Die Schutz-Pakete von Bitdefender, F-Secure, Kaspersky, Norton und ESET hinterließen lediglich zwischen 1 und 9 Mal kleine Dateireste und unwichtige Einträge in der Registry. Sie liegen damit in der Qualität nur knapp hinter dem makellosen Malwarebytes Anti-Malware Free.
Bei den Reinigungs-Tools vergaß das Kaspersky Removal Tool nur ein einziges Mal, eine ungefährliche Datei zu entfernen. Alle anderen Aufgaben erledigte es mit Bravour.
Norton Power Eraser verpasste 11 Mal das perfekte Aufräumen, Disinfect2013 von Heise sogar 48 Mal. Aber immerhin blieb hier nur digitaler Schrott ohne gefährliche Anteile zurück.
Ergebnis 4: Komplette Entfernung, sauberes System
Von den Schutzpaketen übergab nur die Lösung Malwarebytes Anti-Malware Free nach allen 60 Tests das System komplett gereinigt und repariert.
Das Paket von Bitdefender schaffte das 59 Mal, F-Secure und Kaspersky 56 Mal. Die Sicherheitspakete übersah lediglich ungefährliche Registry-Einträge. Ansonsten zeigten auch sie eine fast einwandfreie Leistung.
Bei den Reinigungs-Tools konnte keines der Tools alle 55 verseuchten Testsysteme komplett gereinigt übergeben. Nur das Kaspersky Removal Tool zeigte eine Top-Leistung. Es verpasste mit nur einer übersehenen, aber ungefährlichen Restdatei die fehlerfreie Systemübergabe.
Fazit: Es gibt die Software für danach
Das Ergebnis des Tests wiederlegt die oft in Foren aufgestellte Behauptung, dass man ein einmal mit Malware verseuchtes Windows-System nur noch löschen könne.
Bei den Security-Suiten zeigten die Lösungen von Malwarebytes, Bitdefender und Kaspersky die beste Leistung unter allen getesteten Paketen. Unter dem Strich zeigte der Rest des Feldes aber immer noch eine recht gute Leistung, auch wenn ein paar aktive Komponenten übrig blieben.
Von den kostenlosen Reinigungs-Tools ist das Kaspersky Removal Tool eine Empfehlung wert. Das Norton-Tool sowie Disinfect2013 von Heise hinterlassen zwar recht viel Datenmüll der Schädlinge, sie übersahen aber nicht eine aktive Schädlings-Komponente.
Als Endergebnis bleibt: Sollte eine vorhandene Schutz-Suite einmal versagen, dann gibt es zuverlässige Helfer, die ein Windows-System wieder reinigen und reparieren können. Das beste dabei: die meisten Tools lassen sich im Ernstfall sogar kostenlos nutzen.