Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Testmethodik zur Malware-Entfernung

Betriebssystem

Microsoft Windows; die genauen Angaben zur verwendeten Version sind in den einzelnen Testberichten vermerkt.

Ziel des Tests

Mit diesem Test soll festgestellt werden, wie effektiv und einfach verschiedene Antivirenprodukte Malware entfernen, die ein System bereits infiziert hat.

Zielgruppe

Jeder, der versuchen wird, eine Malware-Infektion von einem PC zu entfernen, wird von den Ergebnissen dieses Tests profitieren. Er ist vor allem für IT-Mitarbeiter und Computertechniker interessant, die im Rahmen ihrer Arbeit Malware entfernen, aber auch für Computernutzer, die ihren Computer selbst warten. Es wird davon ausgegangen, dass der Benutzer über keinerlei technische Spezialkenntnisse verfügt (außer der Fähigkeit, Windows im abgesicherten Modus zu starten) und sich auf die intuitive Verwendung der betreffenden Antiviren-Software verlässt, um die Malware vom System zu entfernen.

Definition der Bedrohung

Malware kann definiert werden als Computerprogramme, die einen eindeutigen und erheblichen böswilligen Zweck verfolgen. Dies schließt einige Programme wie z. B. kommerzielle Keylogger aus, die rechtmäßig verwendet werden können, z. B. bei Computerschulungen, und schließt auch "potenziell unerwünschte Programme" wie einige Browser-Symbolleisten aus, die zwar lästig sind, aber nicht als bösartig eingestuft werden können.

Umfang des Tests

Der Test bezieht sich ausschließlich auf die Fähigkeit der einzelnen Produkte, Malware von einem bereits infizierten System zu entfernen. Er misst nicht die Erkennung oder den Schutz.

Test Setup

Das Betriebssystem ist auf jedem Test-PC installiert und vollständig gepatcht.

Settings

Die Produkte werden mit Standardeinstellungen getestet. Sollte ein Scan die Malware nicht entfernen, können die Einstellungen für nachfolgende Scans im Einzelfall geändert werden. Dies wird gegebenenfalls im Testbericht vermerkt.

Quellen und Anzahl der Testfälle

Die Proben wurden nach den folgenden Kriterien ausgewählt: Alle Antivirenprodukte müssen in der Lage sein, den verwendeten Malware-Dropper im inaktiven Zustand zu erkennen. Das Sample muss in den letzten 6 Monaten auf mindestens zwei PCs unserer lokalen Kunden verbreitet gewesen sein (laut Metadaten) und/oder in der Praxis gesehen worden sein. Die Malware muss nicht-destruktiv sein (mit anderen Worten, ein Antiviren-Produkt sollte das System reparieren/bereinigen können, ohne dass Windows-Systemdateien usw. ersetzt werden müssen). Sie muss außerdem ein übliches Malware-Verhalten unter dem verwendeten Betriebssystem aufweisen, um auch Verhaltensweisen zu repräsentieren, die von vielen anderen Malware-Samples beobachtet werden. Etwa ein Dutzend zufällig ausgewählte Malware-Samples werden aus dem Pool der Samples, die die oben genannten Kriterien erfüllen, ausgewählt.

Testverfahren

Für jede Probe wird eine gründliche Malware-Analyse durchgeführt, um genau festzustellen, welche Änderungen vorgenommen wurden. Der physische Rechner wird mit einer Bedrohung infiziert, neu gebootet und überprüft, ob die Bedrohung vollständig ausgeführt wird. Das Antivirenprodukt wird installiert und aktualisiert. Wenn dies nicht möglich ist, wird der PC im abgesicherten Modus neu gestartet. Wenn der abgesicherte Modus nicht möglich ist und eine Rettungsdiskette für das betreffende AV-Produkt verfügbar ist, wird diese verwendet, um vor der Installation eine vollständige Systemprüfung durchzuführen. Es wird ein gründlicher/vollständiger Systemscan durchgeführt und die Anweisungen des Antivirenprodukts werden befolgt, um die Malware zu entfernen, wie es ein typischer Heimanwender tun würde. Der Rechner wird neu gestartet, und das System wird manuell untersucht/analysiert, um zu prüfen, ob die Malware entfernt wurde und Reste davon übrig geblieben sind.

Bewertungen

Wir haben zugelassen, dass bestimmte vernachlässigbare/unwichtige Spuren zurückbleiben, vor allem weil aufgrund des Verhaltens/der Systemveränderungen einiger der verwendeten Malware-Samples keine perfekte Punktzahl erreicht werden kann. Die "Entfernung von Malware" und die "Entfernung von Überresten" werden in einer Dimension zusammengefasst und wir haben auch die Bequemlichkeit in Betracht gezogen. Die Bewertungen werden wie folgt angegeben, wobei A die höchste und D die niedrigste Note ist:

  1. Beseitigung von Malware/Spuren
  • Malware entfernt, nur noch vernachlässigbare Spuren (A)
  • Malware entfernt, aber einige ausführbare Dateien, MBR- und/oder Registrierungsänderungen (z. B. Ladepunkte usw.) verbleiben (B)
  • Malware entfernt, aber lästige oder potenziell gefährliche Probleme (z. B. Fehlermeldungen, kompromittierte Hosts-Datei, deaktivierter Task-Manager, deaktivierte Ordneroptionen, deaktivierter Registrierungseditor, Erkennungsschleife usw.) bleiben bestehen (C)
  • Nur der Malware-Dropper wurde neutralisiert und/oder die meisten anderen abgelegten bösartigen Dateien/Veränderungen wurden nicht entfernt, oder das System ist nicht mehr normal nutzbar; abgelegte bösartige Dateien befinden sich noch auf dem System; Entfernung fehlgeschlagen (D)
  1. Bequemlichkeit:
  • Die Entfernung kann im normalen Modus (A) erfolgen.
  • Die Entfernung erfordert das Booten im abgesicherten Modus oder andere integrierte Dienstprogramme und manuelle Aktionen (B)
  • Entfernung erfordert Rettungsdiskette (C)
  • Entfernung oder Installation erfordert Kontaktaufnahme mit dem Support o.ä.; Entfernung fehlgeschlagen (D)

False Positives

"Aggressive Bereinigung" - d.h. ein Programm, das mehr löscht, als es sollte - wird bei diesem Test als falsches Positiv angesehen.

Summary

Detection Ja
False-Positives Ja
Cloud-Konnektivität Ja
Aktualisierungen erlaubt Ja
Standard-Konfiguration Ja