Langzeittest: Windows-Rettung nach einer Viren-Attacke
Kein Anwender will sein gut konfiguriertes Windows nach einer Schädlingsattacke einfach aufgeben. Muss er auch nicht! Von Januar bis Dezember 2018 hat AV-TEST im Labor unzählige Windows-Systeme attackiert und mit Sicherheitspaketen und Spezial-Tools gerettet. Hier das Ergebnis.
Im Labor passierte hundertfach, was sich kein Anwender wünscht: Windows wird von einer Schad-Software überrannt, die sich im System festsetzt. Danach prüfte das Labor, ob Internet-Security-Suiten oder Spezial-Tools die Eindringlinge liquidieren und die Systeme wieder in einen sauberen und sicheren Zustand versetzen können. Der aufwendige Labortest lief vom Januar bis Dezember 2018 in 4 großen Testrunden. Geprüft wurden 7 Schutzpakete und 5 Spezial-Tools in mehr als 830 Einzelprüfungen.
Gute Werkzeuge in der Not
Das Labor prüfte im Langzeittest die Schutzpakete und Tools in verschiedenen realen Szenarien:
Beim ersten Test wurden die Schutzpakete nach einer (einzelnen) Attacke installiert und geprüft, ob der Schädling mit allen seinen gefährlichen und ungefährlichen Komponenten entfernt wurde.
Beim zweiten Test wurde eine Schutzsoftware installiert und kurz deaktiviert. Danach spielte das Labor einen Schädling auf und führte ihn aus. Abschließend wurde die Schutz-Software wieder aktiviert. Dieses Prozedere stellt die Situation nach, dass eine schädliche Software zuerst nicht erkannt wurde und nun nachträglich bemerkt wird.
Beim dritten Test mit den Spezial-Tools wurden nur bereits verseuchte Systeme eingesetzt, denn es handelt sich immer um bootbare Rettungs-CDs, DVDs oder USB-Sticks mit einem eigenen Betriebssystem, meist auf Linux-Basis.
Nach jedem einzelnen Test, also 830-mal, wurde das gerettete Windows-System abschließend Bit für Bit mit einem zuvor gesicherten Referenz-System verglichen. So fanden die Tester schnell heraus, ob das System zu 100 Prozent gerettet und gereinigt wurde oder nicht. Eventuell blieben ungefährliche Dateireste übrig oder sogar gefährliche Teile des Angreifers. Im schlimmsten Fall erkannte eine Schutz-Software oder ein Tool den Angreifer nicht. Alle diese Zustände nach der Rettung wurden im Labor einzeln in den Tabellen erfasst.
Die geprüften 7 Internet-Security-Suiten
- Avast Free Antivirus
- Avira Antivirus Pro
- Bitdefender Internet Security
- Kaspersky Internet Security
- Malwarebytes Premium
- Symantec Norton Security
- Windows Defender Antivirus
Die 5 geprüften Spezial-Tools
- Bitdefender Rescue Disk
- Heise Desinfec't 2018
- Kaspersky Virus Removal Tool
- Microsoft Safety Scanner
- Vipre Virus Removal Tool
Die Spezial-Tools sind alle im Web frei als Download verfügbar– meist als ISO-Abbild oder fertiger Rettungs-Stick.
Das Ergebnis: Rettung kommt!
Die Testtabellen zeigen übersichtlich die Ergebnisse für die 7 Schutzpakete und die 5 Rettungs-Tools. Die einzelnen Werte sind zur besseren Übersicht farbig unterlegt:
- Dunkelrot: der Schädling wurde nicht erkannt
- Rot: aktive, gefährliche Schädlingskomponenten wurden nicht entfernt
- Gelb: es wurden ungefährliche Dateireste hinterlassen
- Grün: die Anzahl der komplett gesäuberten Systeme
Das Labor hielt in den letzten Spalten die Reinigungsleistung jeweils in Punkten und Prozent fest. Für jedes komplett gereinigte System vergab das Labor 3 Punkte. Wurde ein ungefährlicher Rest übersehen, gab es nur noch 2 Punkte. Für einen erkannten Schädling, bei dem aber noch gefährliche Dateireste hinterlassen wurden, gab es 1 Punkt. Wurde gar nichts erkannt, dann gab es auch keine Punkte. Die Reinigungsleistung wurde dann errechnet aus der Anzahl der geprüften Fälle mal 3 Punkte. Bei den Software-Paketen ergibt diese Berechnung 88 Fälle mal 3 Punkte gleich 264 Punkte – die maximal Punktzahl, also 100 Prozent.
Gute Schutz-Suiten im Notfall
Bei den 7 geprüften Security-Suiten, gibt es gleich 3 erste Plätze mit einer Reinigungsleistung von jeweils 97,7 Prozent bei 88 Testfällen: Avast Free Antivirus, Avira Antivirus Pro und Bitdefender Internet Security. Sie reinigten jeweils 82 Systeme absolut sauber und hinterließen jeweils nur in 6 Fällen ungefährliche Dateireste. Das ist eine fast perfekte Leistung.
Kaspersky Internet Security reinigte zwar ebenfalls 97,7 Prozent der 88 Fälle, aber das Einzelergebnis war ein anderes. So schaffte Kaspersky Lab 84 komplett saubere Systeme und übersah nur bei 2 Systemen harmlose Dateireste. Allerdings trüben 2 Systeme die Gesamtbilanz, bei denen gefährliche Dateireste nicht bereinigt werden konnten.
Ähnlich erging es Symantec Norton Security. Auch dieses Schutzpaket erkannte alle Angreifer in 88 Fällen, konnte aber bei 2 Systemen nicht alle gefährlichen Komponenten bereinigen. Der Rest war top: 6-mal ungefährliche Dateireste und 80 komplett saubere Systeme.
Der Windows Defender und Malwarebytes Premium hatten beide das gleiche Problem: sie mussten jeweils in 2 von 88 Fällen bei der Erkennung passen. Dazu kamen beim Defender 1 Fall und bei Malwarebyte 2 Fälle mit gefährlichen Dateiresten, die übersehen wurden. Der Rest des Tests kann sich bei beiden Lösungen sehen lassen.
Tools, die im Notfall wirklich helfen
Beim Test mit den 5 Spezial-Tools ist die Bilanz ähnlich leicht durchwachsen wie bei den Security-Suiten. Das Kaspersky Removal Tool und die Bitdefender Rescue Disk erkannten in allen 44 Testfällen die Malware. Allerdings konnten beide Tools in jeweils einem Fall die gefährlichen Komponenten nicht komplett löschen. Die beste Gesamtbilanz mit 97,7 Prozent Reinigungsleistung hat das Tool von Kaspersky mit 42 komplett sauberen Systemen und 1 System mit ungefährlichen Dateiresten. Gleich danach folgt das Tool von Bitdefender mit einer Quote von 96,2 Prozent: 40 saubere Systeme und 3-mal lästige Dateireste.
Das Heise Tool Desinfec’t 2018 erkannte ebenfalls alle Schädlinge, übersah aber mit 34 Fällen immens viele ungefährliche Dateireste und konnte so nur 8 Systeme komplett reinigen. In weiteren 2 Fällen konnte das Tool die gefährlichen Dateikomponenten nicht löschen.
Der Microsoft Safety Scanner musste bei 3 Angreifern komplett passen, das Vipre Virus Removal Tool sogar bei 6 in 44 Tests. Dazu kamen bei beiden Tools noch weitere gefährliche Dateireste, die sie nicht entfernten. Immerhin konnte das Tool von Microsoft in 39 Fällen helfen, das Tool von Vipre in 33 von 44 Tests.
Nach der Attacke gibt es Hilfe
Der Test zeigt, dass ein Anwender mit einem verseuchten System nicht aufgeben muss. Im Langzeittest haben die Schutz-Suiten von Avast, Avira und Bitdefender gezeigt, dass sie die Systeme von Schädlingen befreien und alles reparieren können. Lediglich ein paar ungefährliche Dateireste blieben bei allen im Test übrig.
Bei den Spezial-Tools ist das Ergebnis etwas schlechter, birgt aber dennoch große Hilfe im Notfall. Die Tools von Kaspersky und Bitdefender erreichten im Test eine Reinigungsleistung von über 96 Prozent. Sie konnten jeweils in einem Fall die aktiven Komponenten nicht löschen. Ein Blick in die internen Testprotokolle zeigte, dass sie bei unterschiedlicher Malware ihre Probleme hatten. In der Praxis bedeutet das, dass man bei Bedarf einfach beide Tools nacheinander einsetzt und so das allerbeste Ergebnis erhält.
Sonderfall Ransomware
Im Langzeittest von Januar bis Dezember 2018 war unter den Testschädlingen keine Ransomware vertreten. Das liegt daran, dass eine aktive Ransomware in der Regel alle Daten sofort verschlüsselt. Eine Schutz-Software oder ein Tool können zwar den Angreifer identifizieren und löschen, aber eine klassische Reparatur ist nicht möglich; dazu sind die Daten zu stark verschlüsselt. Daher ist das Thema Backup auf eine externe Festplatte ein Sicherheitsthema, welches man nicht vergessen darf. Und: zum Schluss die Festplatte wieder von PC abstecken, sonst wird das Laufwerk bei einer Attacke mitverschlüsselt.