Spezial-Antivirus-Tools im Test: das leisten die Systemretter im Notfall
Spezielle Antivirus-Tools sind nach einer Schädlingsattacke meist der Retter in der Not. Das Labor von AV-TEST hat 5 populäre Spezial-Tools fast ein Jahr lang geprüft, ob sie verseuchte Windows-PCs zuverlässig von Schädlingen befreien und alles wieder reparieren.
Mit Spezial-Antiviren-Tools lassen sich viele von Schädlingen befallene Systeme retten, reinigen und wieder komplett reparieren. Zumindest behaupten das die Hersteller und auch viele Nutzer im Netz. Das Labor von AV-TEST wollte das genauer wissen und hat daher 5 Spezial-Tools fast ein Jahr lang in 4 aufwendigen Testrunden geprüft. Jedes der 5 Reinigungs-Tools musste insgesamt 53 Systeme prüfen, die Schädlinge beseitigen und die Schäden reparieren. Alle in den Tests genutzten Schädlinge waren den Scannern der Tools bereits bekannt. Denn schließlich sollte die Güte der Reparatur und nicht die Erkennung bewertet werden.
Hoher Testaufwand für klare Aussagen
53 Schädlinge pro Tool klingen nicht nach viel Testaufwand. Aber das Gegenteil ist der Fall. Denn für jede einzelne Prüfung mussten die Tester einen Windows-PC mit einem Schädling verseuchen und seine Änderungen protokollieren. Da die meisten Schädlinge virtuelle Maschinen erkennen und sich dann anderes verhalten, wurden nur normale PCs im Test verwendet. In der Prüfung musste dann jedes System mit einem Spezialtool gestartet werden. Danach wurden die Erkennung und die Reinigung aktiviert, alles von Hand bedient und später die Qualität der Wiederherstellung ausgewertet. In der Summe waren das 265 einzelne Testvorgänge mit viel Handarbeit.
Starke Helfer für den Notfall
Mit im Test waren die fünf folgenden Tools, die im Internet frei verfügbar sind:
• AVG Rescue CD
• Avira EU-Cleaner
• Bitdefender Rescue CD
• ESET SysRescue
• Kaspersky Virus Removal Tool
Die Ergebnisse sind gut, auch wenn einige Tools im Test einzelne bekannte Angreifer nicht erkannt haben; das war bei ESET SysRescue und Avira EU-Cleaner der Fall. Sie erkannten 3 bzw. 4 der Angreifer nicht und konnten daher auch nichts weiter unternehmen. Die Tools zeigen in der totalen Systemreparatur mit einer Rate von knapp 65 Prozent noch eine respektable Leistung.
Besser machen es die Tools AVG Rescue CD, Bitdefender Rescue CD und Kaspersky Virus Removal Tool. Allerdings müssen AVG und Kaspersky jeweils bei einem Fall trotz Erkennung bei der Beseitigung der aktiven Schädlingskomponente passen. Lediglich das Tool von Bitdefender schafft die ersten beiden Hürden Erkennung und Beseitigung ohne Fehler.
Kaspersky reinigt 52 von 53 Systemen
Eigentlich sollten die Tools aber nicht nur die wichtigsten Komponenten eines Schädlings entfernen. Auch der gesamte eingeschleppte Dateimüll sollte gleich mit entfernt werden. An dieser Stelle macht nur das Tool von Kaspersky Virus Removal Tool einen tollen Job und lässt bei 52 von 53 Tests keinen Müll über. Das entspricht einer Reinigungsquote von 98,7 Prozent. Bei allen anderen Tools fanden sich in 32 bis 45 Tests von 53 immer noch Dateireste.
Insgesamt gesehen ist aber auch das Ergebnis der anderen Tools gut, da sie den Anwender fast immer aus der Notlage befreien können.
Die Tabelle in der Übersicht
Zum leichteren Verständnis wurde die Tabelle mit den getesteten Tools aufgeteilt. Sie zeigt folgende Abschnitte:
1. Wurde der Schädling erkannt?
2. Wurden die aktiven Komponenten komplett entfernt?
3. Blieben ungefährliche Dateireste übrig bzw. wurden alle Veränderungen am System rückgängig gemacht?
4. Hat die Schutz- bzw. Reinigung-Software alles perfekt entfernt und wiederhergestellt?
Die letzte Spalte der Tabelle zeigt prozentual die totale Systemreparatur. Hier liegt das Kaspersky Virus Removal Tool mit 98,7 Prozent klar vorne. Mit 79,9 Prozent folgt Bitdefender Rescue CD und mit 78 Prozent die AVG Rescue CD.
Wollen Anwender mit ihrem Windows-System erst gar nicht in eine brenzlige Situation geraten, dann sollten sie eine Schutz-Suite installieren. Der jüngst veröffentlichte Dauertest „So gut reparieren Schutz-Suiten Ihr System nach einer Schädlings-Attacke" zeigt, dass mit einer guten Internet-Security-Suite das Risiko einer erfolgreichen Schädlingsattacke fast gegen Null sinkt. Selbst dann, wenn eine Suite einen eingedrungenen Schädling erst zu spät erkennt, liegen bei einigen Produkten die Reinigungs- und Reparaturraten bei 100 Prozent.
Sonderfall: Attacke von Ransomware bzw. Cryptolockern
Maik Morgenstern, CTO AV-TEST GmbH
Im Test wurden sehr viele verschiedene Schädlingsarten verwendet, wie etwa Trojanische Pferde, Würmer oder Password-Stealer, aber keine Cryptolocker. Sie sind ein besonders schwieriger Sonderfall.
Zuerst muss man wissen, dass Ransomware und Cryptolocker fast das Gleiche sind. Fachleute verwenden gerne beide Begrifflichkeiten. Ransomware werden alle Schädlinge genannt, die Geld erpressen wollen und dabei etwas am PC sperren und die Daten zum Teil verschlüsseln. Cryptolocker wollen auch Geld erpressen, verschlüsseln aber immer fast alle Daten. Bei den 53 im Test verwendeten Schädlingen handelte es sich um Dropper, Viren, Würmer, Downloader, Password-Stealer, Backdoors und Trojanische Pferde. Ransomware bzw. Cryptolocker wurde nicht getestet, da diese Schädlinge sich nicht im System verstecken, sondern meist sofort eine Verschlüsselung auslösen und den passenden Entsperrcode ins Internet senden. So hilft es einem Reinigungs-Tool in erster Linie nicht, wenn es den Schädling nur kennt. Das Tool muss auch den passenden Basiscode zur Entsperrung kennen. Viele Hersteller gehen bei Cryptolockern bzw. Ransomware einen anderen Weg:
Zuerst schicken sie ungeschützte, aber speziell überwachte PCs durch das Internet, damit sie sich gezielt einen gesuchten Cryptolocker einfangen. Dieser beginnt sofort mit der Verschlüsselung und schickt den Entsperrcode ins Internet. Auf diesem Weg wird der Code dann nicht nur abgefangen, sondern auch bis zu seinem Ablageserver verfolgt. Mit dieser Methode haben in der Vergangenheit einige Hersteller ganze Server voll mit Entsperrcodes gefunden und an die erpressten Nutzer geschickt. Liegt der Entschlüsselungscode vor, versuchen die Experten den Code und das Verschlüsselungsprogramm auszuwerten und den Algorithmus zu knacken. Gelingt das, wird ein Tool mit einer Art Generalschlüssel hergestellt und an betroffene Nutzer kostenlos verteilt.
Manchmal haben die Experten auch Glück: Immer wieder unterlaufen den Virenschreibern Fehler bei der Implementierung der Verschlüsselung. Dann lässt sich das Verschlüsselungs-Tool leichter knacken.