Test: Windows-Reparatur nach einer Trojaner-Attacke
Was passiert nach einer Attacke durch eine Malware, etwa einen Virus oder einen Trojaner? Lässt sich Windows reinigen und retten? Diese Fragen klärt das Team von AV-TEST: es hat 7 Sicherheitspakete und 5 Spezial-Tools darauf getestet, was diese im Ernstfall leisten.
Ein gut funktionierendes Windows einfach einmal löschen, neu aufsetzen und alles neu installieren? Ein Graus für viele Windows-Nutzer, denn der Aufwand ist immens und am Ende fehlen doch wichtige Anwendungen. Aber was hilft es, wenn ein Programm mit Schadcode eingedrungen ist und nun die Herrschaft über das System übernommen hat? Geht es nach einschlägigen Foren, dann hilft nur eine Neuinstallation des ganzen Systems oder PCs. Der Reinigungs- und Reparatur-Test von AV-TEST belegt, dass es weit weniger arbeitsintensive Alternativen gibt.
Test: 12 Programme für den Ernstfall
Was sind denn die Folgen einer Attacke durch eine mit Schadcode verseuchte Applikation? Meist übernimmt sie zuerst die Schlüsselstellen des Windows-Systems. Manche Malware hält sich dann unauffällig im Hintergrund, da sie zu einem Botnet gehört. Ein anderer Code zum Beispiel belastet die System-CPU permanent, da er digitale Bitcoins schürft. Aber es ist eigentlich egal, was der Schadcode ausführt – man will ihn so schnell wie möglich loswerden. Als Helfer zum Löschen von Schädlingen und zur Reparatur ihrer Schäden dienen dabei die Werkzeuge von Internet Security Suiten oder speziellen Tools. Aber können sie wirklich das, was sie versprechen? Das Labor von AV-TEST hat im ersten Halbjahr 2018 unter Windows 10 folgende 7 Suiten und 5 Spezial-Tools ausgiebig getestet, ob diese den Schädling entfernen, auch seine ungefährlichen Komponenten mitlöschen und die Schäden reparieren.
Mit im Test sind diese 7 Internet Security Suiten:
- Avast Free Antivirus
- Avira Antivirus Pro
- Bitdefender Internet Security
- Kaspersky Internet Security
- Malwarebytes Premium
- Symantec Norton Security
- Windows Defender Antivirus
Als Spezial-Tools wurden diese 5 getestet (alle sind im Web frei verfügbar):
- Bitdefender Rescue Disk
- Heise Desinfec't 2018
- Kaspersky Virus Removal Tool
- Microsoft Safety Scanner
- Vipre Virus Removal Tool
So funktioniert der Test
Der gesamte Test ist immer sehr aufwendig, da er recht viel Handarbeit erfordert. Der Testablauf ist für die Suiten und Tools etwas unterschiedlich. Im ersten Test werden die Suiten auf ein bereits infiziertes System installiert. Das simuliert den Fall, dass ein Nutzer mit einem ungeschützten System arbeitet und dann versucht, zu retten was zu retten ist. Im zweiten Testschritt sind die Suiten bereits installiert, werden aber kurz deaktiviert und dann mit Schadcode verseucht. So wird die Situation nachgestellt, dass ein Schutzpaket den Angreifer zuerst nicht kennt und ihn später entdeckt und entfernt.
Bei den Spezial-Tools wird ein Windows-System zuerst mit einem Schädling verseucht und dann das Tool eingesetzt. Dabei kommen eine Boot-DVD oder ein -Stick zum Einsatz. Die Spezial-Tools booten dann in einem eigenen kleinen System – meist Linux – und reinigen und reparieren das Windows-System sozusagen von außen.
Die Schlussanalyse
Immer wenn ein Testschritt erledigt ist, wird ein Windows-System Bit für Bit gescannt und mit einem Referenz-System verglichen. So können die Tester feststellen, ob das System wieder im Originalzustand ist, oder ob die Reinigung und Reparatur vielleicht doch nicht erfolgreich waren. Dazu protokolliert das Testteam folgende Ergebnisse:
- Der Schädling wurde erkannt oder nicht
- Die aktiven, gefährlichen Schädlingskomponenten wurden entfernt oder auch nicht
- Die Anzahl der übrigen, aber ungefährlichen Dateireste
- Die Anzahl der komplett gesäuberten Systeme
Das Ergebnis der gesamten Tests ist wirklich gut. Die Internet-Security-Suiten schlagen sich bis auf eine Ausnahme sehr gut. Aber auch bei den Spezial-Tools gibt es einige, die als wahre Helfer in der Not agieren können.
Gute Software & Tools als Helfer
Bei den untersuchten Schutz-Suiten gibt es eine wahre Fülle an verlässlichen Helfern. Dabei schnitten die Produkte von Bitdefender und Kaspersky Lab am besten ab. Sie reinigten beide 42 Systeme ohne einen Makel und übersahen in 2 Fällen ein paar ungefährliche Dateireste. Der Windows Defender und die Symantec-Software folgen ganz dicht mit 41 sauberen Systemen und 3 Fällen mit harmlosen Dateiresten. Ebenfalls gut agierten die Programme von Avast und Avira mit 40 perfekt gereinigten Systemen und 4 Fällen mit einfachen Dateiresten.
Lediglich die Software von Malwarebytes konnte Windows 2-mal nicht reinigen und reparieren, da sie den Schädling nicht erkannte. Dazu kommen noch 2 Systeme mit harmlosen Dateiresten und 40 komplett gereinigte Windows-Plattformen.
Bei den geprüften Spezial-Tools fiel das Ergebnis für einige nicht besonders gut aus. Auch in diesem Bereich liefern Bitdefender und Kaspersky Lab die Tools mit den besten Testergebnissen. Bei 22 geprüften Angriffen lieferten beide Tools jeweils 21 perfekt gereinigte und reparierte Systeme. In jeweils einem Fall wurde ein harmloser Dateirest übersehen. Das Tool von Heise konnte zwar immer den Schadcode entdecken und die gefährlichen Komponenten löschen, aber es übersah in 15 Fällen die ungefährlichen Dateireste – es gab nur 7-mal ein perfektes Windows-System am Ende.
Der Safety Scanner von Microsoft konnte einen Schädling nicht erkennen, das Vipre-Tool gleich zwei nicht. Immerhin reinigte das Microsoft-Tool 20-mal die Plattform fehlerfrei und übersah nur einmal harmlose Dateireste. Das Schlusslicht von Vipre konnte in weiteren 4 Fällen die aktiven, gefährlichen Dateikomponenten nicht löschen. Der Rest: 5 Systeme mit Dateiresten und 11 saubere Systeme.
Insgesamt haben somit die Software-Pakete oder Tools von Bitdefender und Kaspersky Lab die Nase vorne in Sachen Reinigung & Reparatur von Windows-Systemen.
Noch ein Tipp zum Schluss: Schlägt auf einem PC eine Ransomware bzw. ein Cryptolocker zu, dann werden in der Regel alle Daten sofort verschlüsselt. Eine Schutz-Software oder ein Tool können den Angreifer zwar nachträglich löschen, aber meist nicht die Dateien entschlüsseln. Daher sollten Anwender unbedingt immer wieder ein Backup auf ein externes Laufwerk machen und dieses danach vom PC trennen.