Malware Removal Test 2015
Datum der Veröffentlichung | 2015-10-15 |
Datum der Überarbeitung | 2015-09-28 |
Prüfzeitraum | März - September 2015 |
Anzahl der Testfälle | 35 |
Online mit Cloud-Konnektivität | |
Update erlaubt | |
False-Alarm Test inklusive | |
Plattform/OS | Microsoft Windows |
Methodik | Klicken Sie hier |
Einführung
Eine gute Malware-Erkennung ist sehr wichtig, um vorhandene Malware zu finden, die sich bereits auf einem System befindet. Eine hohe Schutz- oder Erkennungsrate eines Produkts bedeutet jedoch nicht unbedingt, dass das Produkt auch über gute Entfernungsfähigkeiten verfügt. Andererseits kann es sein, dass ein Produkt mit einer niedrigen Erkennungsrate die Infektion gar nicht findet und sie daher nicht entfernen kann. Die meisten Hersteller von Antiviren-Produkten haben sich bereits mit den Problemen befasst und die nächsten Versionen ihrer Produkte auf der Grundlage unserer Erkenntnisse in diesem Bericht verbessert. Einige Benutzer gehen vielleicht fälschlicherweise davon aus, dass Antivirenprodukte nur Binärdateien löschen und nichts anderes reparieren, z. B. die Registrierung. Dieser Bericht ist auch als kleines Informationsdokument gedacht, um zu erklären, dass professionelle Antivirenprodukte viel mehr tun, als nur bösartige Dateien zu löschen. Wir raten den Benutzern, regelmäßig Sicherungskopien ihrer wichtigen Daten zu erstellen und z. B. Imaging-Software zu verwenden.
Weitere Details zu den Tests entnehmen Sie bitte auch den Dokumenten über die Methodik und weiteren Informationen auf unserer Website.
Der Test wurde von März bis September 2015 unter Microsoft Windows 8.1 64-Bit (Englisch) durchgeführt. In diesem Bericht sind nur Produkte enthalten, deren Hersteller die öffentliche Haupttestreihe 2015 abonniert und sich für diesen Test angemeldet haben. In diesem Test wurden die folgenden 16 aktuellen Sicherheitsprodukte mit 35 Malware-Samples getestet.
Geprüfte Produkte
- ThreatTrack Vipre Internet Security
Testverfahren
Dieser Test konzentriert sich ausschließlich auf die Malware-Entfernungs-/Bereinigungsfähigkeiten, daher wurden nur Proben verwendet, die von den getesteten Antivirenprodukten erkannt werden konnten. Er hat nichts mit den Erkennungsraten oder Schutzfunktionen zu tun. Wenn ein Antivirenprogramm die Malware nicht erkennen kann, kann es sie natürlich auch nicht entfernen. Die Hauptfrage ist, ob die Produkte in der Lage sind, Malware erfolgreich von einem bereits infizierten System zu entfernen. Der Testbericht richtet sich an typische Heimanwender und nicht an Administratoren oder fortgeschrittene Benutzer, die über das Wissen für fortgeschrittene/manuelle Verfahren zur Entfernung/Reparatur von Malware verfügen. Meistens kommen Benutzer mit infizierten PCs ohne (oder mit veralteter) AV-Software zu Computerreparaturwerkstätten. Die angewandte Methodik berücksichtigt diese Situation: ein bereits infiziertes System, das gereinigt werden muss.
- Gründliche Malware-Analyse für jede Probe, um genau zu sehen, welche Änderungen vorgenommen werden
- Infizieren Sie den physischen Computer mit einer Bedrohung, starten Sie ihn neu und stellen Sie sicher, dass die Bedrohung vollständig ausgeführt wird.
- Installieren und aktualisieren Sie das Antivirenprodukt
- Falls dies nicht möglich ist, starten Sie das System im abgesicherten Modus neu; falls der abgesicherte Modus nicht möglich ist und eine Rettungsdiskette des entsprechenden AV-Produkts verfügbar ist, verwenden Sie diese für einen vollständigen Systemscan vor der Installation
- Führen Sie einen gründlichen/vollständigen Systemscan durch und folgen Sie den Anweisungen des Antivirenprodukts, um die Malware zu entfernen, wie es ein typischer Heimanwender tun würde.
- Maschine neu starten
- Manuelle Inspektion/Analyse des Systems zur Entfernung von Malware und Resten
Malware-Auswahl
Die Proben wurden nach den folgenden Kriterien ausgewählt:
- Alle Sicherheitsprodukte müssen in der Lage sein, den verwendeten Malware-Dropper zu erkennen, wenn er inaktiv ist
- Die Probe muss (gemäß den Metadaten) weit verbreitet und/oder auf mindestens zwei PCs unserer lokalen Kunden im Jahr 2015 im Einsatz gewesen sein.
- Die Malware darf nicht zerstörerisch sein (d. h. ein Antivirenprodukt sollte das System reparieren/bereinigen können, ohne dass Windows-Systemdateien usw. ersetzt werden müssen).
Wir haben nach dem Zufallsprinzip 35 Malware-Proben aus dem Pool der Proben, die die oben genannten Kriterien erfüllen, ausgewählt und behalten.
Testfälle
Nachfolgend finden Sie eine Liste der verwendeten Proben, die den Anbietern nach dem Test zur Überprüfung zur Verfügung gestellt wurden. Die Leser können die IDs in Klammern ignorieren; wir erwähnen sie nur als Referenz für die getesteten AV-Anbieter, um sie zu identifizieren.
Probe 1 (dbd8e1): Crowti-Trojaner | Probe 19 (46e08a): Jenxcus-Wurm |
Probe 2 (0beb7c): ServStart-Trojaner | Probe 20 (bcae54): Karberp-Trojaner |
Probe 3 (0be60b): Redosdru-Trojaner | Probe 21 (0123df): Killav-Trojaner |
Probe 4 (0f0623): Miuref-Trojaner | Probe 22 (97d025): Shutdowner-Trojaner |
Probe 5 (2804a8): Fareit-Trojaner | Probe 23 (1e6b3a): Yoof-Wurm |
Probe 6 (ab36a4): Neurevt.C Trojaner | Probe 24 (632b17): FrauDrop-Trojaner |
Probe 7 (6121fc): Delf-Trojaner | Probe 25 (dc0308): Slipafext-Trojaner |
Probe 8 (af7a5d): Dumaru-Wurm | Probe 26 (a0aa11): Tinba-Trojaner |
Probe 9 (e70d1d): Necurs-Trojaner | Probe 27 (ff2d77): Bunitu-Trojaner |
Probe 10 (14253e): Exchrom-Trojaner | Muster 28 (a808c6): Crugup Hintertür |
Probe 11 (43c7ab): Xtrat-Hintertür | Probe 29 (c0d9ab): Fynloski Hintertür |
Probe 12 (9e3efc): Neurevt.A Trojaner | Probe 30 (c09b90): Banload-Trojaner |
Probe 13 (d69dc1): Zbot.A Trojaner | Probe 31 (9811b1): FakeAV-Trojaner |
Probe 14 (23cce1): Androm-Hintertür | Probe 32 (154c0d): Tepfer-Trojaner |
Probe 15 (e31774): Vawtrak-Hintertür | Probe 33 (5599dc): Injektor-Trojaner |
Probe 16 (ed831d): Zbot.V Trojaner | Probe 34 (1018f7): DarkKomet Hintertür |
Probe 17 (2e0356): Dorkbot-Wurm | Probe 35 (5e3354): Betabot-Trojaner |
Beispiel 18 (e7f74a): Simda Hintertür |
Bewertungen
Wir haben zugelassen, dass bestimmte vernachlässigbare/unwichtige Spuren zurückbleiben, vor allem weil aufgrund des Verhaltens/der Systemveränderungen einiger der verwendeten Malware-Samples keine perfekte Punktzahl erreicht werden kann. Die "Entfernung von Malware" und die "Entfernung von Überresten" werden in einer Dimension zusammengefasst und wir haben auch die Bequemlichkeit in Betracht gezogen. Die Bewertungen werden wie folgt angegeben:
a) Beseitigung von Malware/Spuren
- Malware entfernt, nur noch vernachlässigbare Spuren (A)
- Malware entfernt, aber einige ausführbare Dateien, MBR- und/oder Registrierungsänderungen (z. B. Ladepunkte usw.) verbleiben (B)
- Malware entfernt, aber lästige oder potenziell gefährliche Probleme (z. B. Fehlermeldungen, kompromittierte Hosts-Datei, deaktivierter Task-Manager, deaktivierte Ordneroptionen, deaktivierter Registrierungseditor, Erkennungsschleife usw.) bleiben bestehen (C)
- Nur der Malware-Dropper wurde neutralisiert und/oder die meisten anderen abgelegten bösartigen Dateien/Veränderungen wurden nicht entfernt, oder das System ist nicht mehr normal nutzbar; abgelegte bösartige Dateien befinden sich noch auf dem System; Entfernung fehlgeschlagen (D)
b) Bequemlichkeit
- Die Entfernung kann im normalen Modus (A) erfolgen.
- Die Entfernung erfordert das Booten im abgesicherten Modus oder andere integrierte Dienstprogramme und manuelle Aktionen (B)
- Entfernung erfordert Rettungsdiskette (C)
- Entfernung oder Installation erfordert Kontaktaufnahme mit dem Support o.ä.; Entfernung fehlgeschlagen (D)
Ranking-System
Es wurde das folgende Vergabe-/Bewertungssystem verwendet | ||
AA = 100 | AB = 90 | AC = 80 |
BA = 70 | BB = 60 | BC = 50 |
CA = 40 | CB = 30 | CC = 20 |
DD = 0 |
Die Preise werden dann auf der Grundlage des erreichten gerundeten Mittelwerts vergeben | |
ADVANCED+ | 86 - 100 Punkte |
ADVANCED | 71 - 85 Punkte |
STANDARD | 56 - 70 Punkte |
TESTED | weniger als 56 Punkte |
Test-Ergebnisse
Auf der Grundlage des obigen Punktesystems erhalten wir die folgenden zusammenfassenden Ergebnisse:
Zusätzliche kostenlose Dienste zur Entfernung von Malware
Boot-Disk[1] verfügbar | Kostenlose Removal-Tools | |
Avast | YES | – |
AVG | YES | http://www.avg.com/eu-en/virus-removal |
AVIRA | YES | http://www.avira.com/en/downloads#tools |
Bitdefender | YES | http://www.bitdefender.com/free-virus-removal/ |
BullGuard | – | – |
Emsisoft | – | http://www.emsisoft.com/en/software/eek/ |
eScan | YES | http://escanav.com/english/content/products/MWAV/escan_mwav.asp |
ESET | YES | http://kb.eset.com/esetkb/index?page=content&id=SOLN2372 |
F-Secure | YES | https://www.f-secure.com/en/web/labs_global/tools-beta |
Fortinet | – | http://www.fortiguard.com/antivirus/malware_removal.html |
Kaspersky Lab | YES | http://support.kaspersky.com/viruses/utility#kasperskyvirusremovaltool |
Lavasoft | YES | – |
Microsoft | YES | http://www.microsoft.com/security/scanner/en-us/default.aspx |
Panda | YES | http://www.pandasecurity.com/usa/homeusers/support/tools.htm |
Sophos | YES | https://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx |
ThreatTrack Vipre | – | http://www.vipreantivirus.com/live/ |
Der Kundensupport von AV-Anbietern kann den Benutzern bei der Malware-Entfernung helfen. In den meisten Fällen werden solche Support-Dienste gesondert in Rechnung gestellt, aber einige Anbieter bieten ihren Kunden auch kostenlose Hilfe bei der Malware-Entfernung an (d. h. der Service ist in der Produktgebühr enthalten). Wir empfehlen, dass Benutzer mit einer gültigen Lizenz versuchen, den Support-Service des AV-Anbieters per E-Mail zu kontaktieren, wenn sie Probleme bei der Entfernung bestimmter Malware oder Probleme bei der Installation des Produkts haben.
Wie einige AV-Anbieter die Hilfe für Heimanwender mit einem infizierten System verbessern könnten:
- eine Rettungsdiskette im Produktpaket bereitstellen/beifügen (oder Links zum Herunterladen bereitstellen)
- Bereitstellung aktueller Offline-Installationsprogramme (z. B. wenn Malware den Zugang zur Website des Anbieters blockiert)
- verlangen nicht, dass sich der Benutzer in Konten einloggt, um Produkte zu installieren oder die Reinigungsfunktionen zu aktivieren (da Malware Passwörter usw. abfangen könnte), und bieten Reinigungsfunktionen auch im Testmodus an (für Infektionen, die eine Registrierung/Aktivierung des Produkts nicht zulassen)
- vor der Installation auf aktive Malware prüfen
- die Möglichkeit bieten, Installationsprogramme herunterzuladen, die bei jedem Download zufällige Namen erhalten (um zu verhindern, dass Malware die Installation von Sicherheitssoftware auf der Grundlage von Dateinamen behindert)
- auf eigenständige Tools verweisen, wenn die Installation fehlschlägt oder die Malware nicht erfolgreich entfernt werden konnte
- Aufnahme von Werkzeugen/Funktionen in das Produkt zur Korrektur/Rücksetzung bestimmter Registrierungseinträge/Systemänderungen
- die Verfügbarkeit zusätzlicher kostenloser Hilfsprogramme zur Malware-Entfernung und kostenloser Verfahren zur Malware-Entfernung/Unterstützung auf der Website, in den Handbüchern, im Produkt selbst oder beim Auffinden einer aktiven Infektion deutlicher herauszustellen
[1] Im Standardpaket enthalten, ohne zusätzliche Kosten (und ohne die Notwendigkeit, sich an das Support-Personal des Anbieters zu wenden oder es anzufordern).
In diesem Test zur Malware-Entfernung erreichte Auszeichnungsstufen
Anmerkungen
Um zu vermeiden, dass Malware-Autoren Informationen erhalten, die ihnen bei der Verbesserung ihrer Kreationen nützlich sein könnten, enthält dieser öffentliche Bericht nur allgemeine Informationen über die Malware/Remantien, ohne technische Anweisungen/Details.
Copyright und Haftungsausschluss
Diese Veröffentlichung ist Copyright © 2015 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.
Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.
AV-Comparatives
(Oktober 2015)