Avira Rescue System: Review und Anleitung zum portablen Virenjäger

Der Einsatz des nachfolgend beschriebenen Antiviren-Systems des in Deutschland ansässigen Sicherheitsanbieters Avira dient sich in noch einem weiteren Fall an: Angenommen, Ihr PC weist so manche Sperenzchen auf, dann ist womöglich boshafter Fremdcode im Spiel. Wenn stattdessen oder zusätzlich in jüngster Zeit noch Antivirus-Pop-ups erschienen sind, ist die Sache recht klar: Ihr Gerät ist infiziert oder war es, eventuell hat Ihre installierte Schadprogramme-Abwehrlösung die Eindringlinge gestoppt. Beim jetzt sicherlich vorherrschenden Status "PC-Sicherheit unklar" sollten Sie es nicht belassen: Holen Sie sich ein bootfähiges Antiviren-Tool wie das von Avira und beäugen Sie damit Ihr Gerät ergänzend zu Ihrem herkömmlichen AV.

Hat Ihr unter Windows installiertes Antivirus-Tool Schädlinge gemeldet und sie laut Meldung abgewehrt, ist Ihr PC vermutlich (wieder) vertrauenswürdig. Eine Garantie gibt es dafür aber nicht: Denn trotz eines Marken-AV-Produkts samt Erkennungsraten von 99 oder 100 Prozent, die meist etwas schwanken, besteht immer die Gefahr, dass bestimmte, noch recht neue, bislang unerforschte Schädlinge bei der Echtzeit-Scanner-Engine (On-Access-Scanner) durchgerutscht sind. Drei gemeldete und unschädlich gemachte Schädlinge etwa sind gut, aber es kann sein, dass beim Besuch der sie ausliefernden verseuchten Webseite eine vierte Schadsoftware eine Attacke auffährt.

Möglich ist eine Nicht-Erkennung (False Negative) ferner, wenn Sie einen On-Demand-Scan Ihres PCs ausführen (Laufwerksprüfung auf Befehl, kein Wächter involviert). Selbst wenn Sie also von Ihrem AV die Benachrichtigung erhalten haben, Ihr PC sei virenfrei (null Funde), gesäubert oder Schadcode sei vor einem Kontakt mit Ihrem Gerät abgewehrt worden (Webschutz), besteht die Chance, dass sich manche Viren, Trojaner et cetera unbemerkt im Hintergrund eingenistet haben. Ihr Schutzprogramm würde die digitalen Parasiten erst nach einem Signaturen-Update erkennen, per Update-seitig verbesserter Heuristik (diese findet Viren anhand verdächtiger Merkmale) oder Verhaltensanalyse oder bei einer aggressiveren Detektions-Konfiguration dieser proaktiven Features.

Es ist zudem denkbar, dass laut AV-Auskunft "neutralisierte" Bedrohungen (Threats) eigentlich unvollständig entfernt wurden: Die Reste sind oftmals harmlos, da es sich etwa um Konfigurationsdaten (Grayware) handelt, die ohne die weggeschaffte Haupt-Schadanwendung handlungsunfähig sind. Es mag jedoch vorkommen, dass übrig gebliebene Schadcode-Bestandteile eben doch eine Funktion aufweisen – oder dass zumindest Threat-seitig vorgenommene Änderungen an Windows nicht vollständig rückgängig gemacht worden sind.

Gängige Antiviren-Tools haben oftmals Probleme damit, schädlingsseitige Modifikationen am Betriebssystem zurückzunehmen. So, wie sie sich in der Regel die Zähne daran ausbeißen, jenseits der Löschung von Verschlüsselungs-Trojanern (Ransomware) die von ihnen illegitim chiffrierten Nutzerdateien zu entschlüsseln. Beispiele für Systembereiche, die Schadcode gern anfasst: Proxy-Einstellungen in den Internetoptionen des Internet Explorers (sie tangieren neben dem ausrangierten IE-Browser den Bord-Surfclient Edge nebst Chromium-basierten Browsern sowie Firefox), Browser-Add-ons, Browser-Startseiten-URLs, Hosts-Datei, Autostart, Aufgabenplanung, Registry, Dienste (Dienste sind in der Registry eingetragen).

Haben Sie eine neue heruntergeladene Datei noch nicht geöffnet, die laut Meldung bösartig war? Dann ist Ihr PC wohl unversehrt. Wenn Sie jedoch einen Doppelklick darauf getätigt haben und Ihr Antivirus nicht sofort, sondern erst etwas später reagiert (wegen langsamer Engine oder sogar einige Tage später aufgrund erst dann aufgefrischter, passender Signaturen/Definitionen), ist das Kind bereits in den Brunnen gefallen. Wenn es sich bei dem Schadcode-Fund um einen Trojaner handelt, könnte er als Dropper weitere Malware aus dem Internet nachgeladen haben. Dies ist bei längerem Währen umso wahrscheinlicher und es erfolgt über eigene Routinen oder sogar über Windows-Mittel wie die seit Windows 7 ins System integrierte PowerShell. Den Dropper-Schädling zu beseitigen, ist gut, aber bleiben die kohärenten Schadprogramme seitens Ihres Schutzprogramms im Dunkeln, können sie unbemerkt ihr Unwesen treiben. Moderne Schädlinge spüren Sie bei ressourcenschonendem Agieren nicht als Drossel; das gilt vor allem bei einem aktuellen, potent ausgestatteten PC – bei einem älteren Computer und/oder bei performancemäßig stärker über die Stränge schlagenden Schadanwendungen fällt Ihnen ein Geschwindigkeitsrückgang nach dem Motto "PC verseucht? Virus oder Systembremse?" schon eher auf.

Es ist eine Abwägungsfrage: Haben Sie einen hohen Sicherheitsanspruch, bleibt Ihnen nach einer Verseuchung(s-Meldung) Ihres Windows nichts anderes übrig, als in den sauren Apfel zu beißen und es neu zu installieren – egal, welchen positiven Sicherheitsstatus Ihr AV zum Rechtfertigen seiner eigenen Relevanz ausgibt. Das Erneuern dauert lange, da Sie neben dem OS all Ihre Programme neu installieren und konfigurieren sowie Ihre Dateien zurück an Ort und Stelle kopieren müssen. Zeit sparen User, die clever genug waren, beizeiten ein vollständiges Image-Abbild der Systempartition anzulegen; dieses lässt sich bei hinreichender Aktualität bedenkenlos und im Vergleich geradezu rasant zurückspielen. Wer seinem Antivirensystem vertraut, muss, wenn sich der PC nach einer Säuberung mit ihm normal verhält, Windows nicht erneuern. Ein Extra-Check ist aber in diesem Fall (PC war, wenn auch nur kurz, einem Angriff ausgesetzt) nicht verkehrt: Mit dem Avira Rescue System untersuchen Sie Ihre Laufwerke gründlich auf Eindringlinge. Das bietet sich außerdem einfach so an, wenn Sie keinen konkreten Verdacht haben und Ihr Gemüt beruhigen wollen. Der Einsatz dieser Lösung hat einige Vorteile.

Bevor es losgeht mit Tipps zum Avira Rescue System, einige weitere grundsätzliche Überlegungen: Beim Surfen im Internet fangen Sie sich Schädlinge technisch sowohl über Datei-Downloads ein – die Sie danach zum Kompromittieren von Windows noch ausführen müssten – als auch beim bloßen Besuch manipulierter Webauftritte (Drive-by-Downloads). In Tests konfrontieren Experten Anti-Malware-Lösungen häufig mit Tausenden von Schädlingen. Die Wahrscheinlichkeit, dass Sie beim Navigieren durch das Datennetz auch nur einem davon begegnen, ist gering: Denn bewegen Sie sich online eher mit Bedacht und vorzugsweise auf Ihnen bekannten, vertrauenswürdigen Internetseiten, kommt Ihr Gerät gar nicht erst in die Bredouille, dass Ihr AV-Bodyguard irgendeinen ungebetenen Gast abwehren muss. In den besagten Tests kommen als fiktiver Wert etwa 100.000 Samples zum Einsatz.

Eine Erkennungsrate von 99,9 Prozent hört sich gut an und ist es auch. Im Umkehrschluss schlüpfen bei der betreffenden AV-Lösung rechnerisch aber 100 Bedrohungen durch. Diese sind noch zu neu, als dass es hierfür Definitionen (Steckbriefe) gibt. Wenn Sie sich jetzt vor Augen führen, dass Sie als vorsichtige Person ohnehin nahezu nie mit Schadcode im Web in Kontakt kommen (auch nicht mit erkennbaren Malwares), erscheinen die 100 unter dem Radar laufenden Bedrohungen vernachlässigbar. Eine Restchance, dass Code von den 0,1 Prozent nicht identifizierbaren Threats auf Ihren PC gelangt, besteht dennoch.

Die Malware-Infektionsgefahr ist ungleich größer, wenn Sie regelmäßig viele neue Websites öffnen. Insbesondere dunkle Ecken im WWW, die illegale Inhalte anbieten, stehen im Verruf, dass sie unsicher sind. Ferner leistet so mancher User Beihilfe zu einem Schadprogramm-Übertritt: Wer bewusst eine möglicherweise bösartige Datei herunterlädt und ausführt, etwa um mit einem vermeintlichen Keygen (Key Generator) verbotenerweise eine Kauf-Software zum Nulltarif freizuschalten, und zwecks Aufruf des Files vielleicht den Antivirus deaktiviert, braucht sich über einen versaubeutelten Computer nicht zu wundern. Hierbei schaltet sich das Gehirn aus, der gesunde Menschenverstand (scherzhaft: Brain.exe) wäre imstande gewesen, die Security-technischen Folgen zu verhindern.

Vier Augen sehen mehr als zwei. Daher ist es eine gute Idee, zum Verifizieren der Schadcode-Freiheit Ihres Betriebssystems oder zum Entfernen hartnäckiger Schädlinge ein Zusatz-Tool auf Ihren Rechner anzusetzen. Bewährte Helfer sind AdwCleaner, Malwarebytes und SuperAntiSpyware.

Wichtig ist ein fehlender Wächter, damit keine Inkompatibilitäten zu Ihrem schon vorhandenen AV zutage treten. Der Nachteil der genannten und weiterer gängiger Lösungen: Sie laufen unter Windows. Zwar klappt damit teilweise die Identifikation von Tarnschädlingen (Rootkits), doch wenn sich Schadsoftware zu gut verbirgt oder sie wirkungsvolle Selbstschutztechniken (nicht nur AVs verfügen über diese) einsetzt, scheitert es, den PC sauber zu bekommen.

Auftritt Rescue-CDs/-DVDs/-Sticks: Diese basieren meist auf Linux und befähigen Sie, Ihren Computer in einer Umgebung ohne Windows zu starten. Mangels Windows-Autostart-Routinen schalten sich eventuelle Schädlinge nicht aktiv. Eine Gegenwehr zum Verhindern von Beseitigungsversuchen ist also nicht zu erwarten. Da Linux das für Malware verbreitete EXE-Format nicht unterstützt, würden Schadprogramme nicht mal im theoretischen Fall bei solchen Live-Systemen laufen, dass Sie versuchen, sie zu öffnen, oder wenn die Anwendungen sich hier irgendwie reinmogeln könnten.

Das wie alle Rescue-Systeme portable Avira Rescue System laden Sie als ISO-Datei herunter. Mit dem transportablen Tool "Rufus" befördern Sie es bootfähig auf einen USB-Stick. Starten Sie Ihren PC neu, befinden Sie sich nach dem Hochfahren des auf Linux Ubuntu aufsetzenden Systems auf einem GNOME-basierten Desktop. Auch das originale Linux Ubuntu setzt die GNOME-Shell/-Oberfläche ein. Stellen Sie sicher, dass eine Internetverbindung besteht, damit ein Signaturen-Update zwecks Erkennung aktueller Schädlinge gelingt.

Der Vorteil bei bootfähigen AV-Systemen: Trotz Linux-Unterbaus ist die Bedienung meist einfach, weil eine (gute) grafische Oberfläche wie bei der Avira-Anwendung geboten ist. Von Linux bekommen Sie so kaum etwas mit; Windows-Dateisystem-Treiber erlauben bei Linux-OS den Zugriff auf vorhandene Speicherbereiche des installierten Microsoft-Systems. Die Ressourcenlast darf sogar gern hoch ausfallen, anders als bei unter Windows mitlaufenden AV-Wächter-Tools, denn die Wächter-losen Linux-Live-OS sollen möglichst schnell mit dem Beäugen Ihrer Partitionen fertig sein. Früher galt bei den Rescue-CDs die von Kaspersky (Kaspersky Rescue Disk) als das Nonplusultra zum Entseuchen verwurmter Geräte, heute fällt diese Rolle eher dem Avira-Konkurrenten zu. Denn Kasperskys Herkunft ist Russland und aufgrund des Ukraine-Kriegs stehen die Produkte des Anbieters unter einem schlechten Stern, obgleich nachträglich in Kaspersky-Rescue-ISOs eingeschmuggelter Schadcode bei Images, deren Kompilierung Jahre vor Kriegsbeginn erfolgte, praktisch ausgeschlossen ist. Die Kaspersky-Lösung basiert(e) übrigens auf Gentoo Linux – einer Linux-Distribution, die laut Projektseite für erfahrene User geschaffen ist.

Früher installierte mancher Avira AntiVir Personal auf einem Linux-Ubuntu-Stick. Damit ließen sich Windows-Systeme auf Schädlingsbefall untersuchen. Heute greifen Sie zum eingängigeren Avira Rescue System. Es bringt mit Schnell-, benutzerdefiniertem und Komplett-Scan mehrere Überprüfungsmodi mit. Die Bedienung ist einfach und erfolgt über Kacheln. Ein Signaturen-Updater nebst Cloud-Scan und Partitionen-Mounten/-Einhängen ist inbegriffen. Mit einem minimalistischen WebKitGTK-basierten, "Web" genannten Browser kommen Sie ins Internet. Etwas für Profis ist der im Linux-Umfeld typische eingebaute Partitionierer GParted. Ein Backup-Werkzeug ist ebenfalls integriert.

Ein Fazit: Ein praktisches, effektives System gegen Malware. Die Bedienung ist größtenteils gelungen, zumal Ubuntus GNOME Animationen und weitere Bedienannehmlichkeiten aufweist. Mit einer GNOME-alternativen Oberfläche wie XFCE, LXDE oder LXQT würde Aviras System auf älteren Rechnern sicherlich noch besser, da etwas performanter laufen. Einstellmöglichkeiten für Scans respektive für die Engine gibt es leider keine. Einschränkungen laut Avira: Das Produkt unterstützt keine Multi-Boot-Szenarien und es repariert keine Boot-Sektoren, verschlüsselten Dateien sowie Partitionen; Linux-Systeme lassen sich offiziell nur prüfen und bereinigen, aber nicht reparieren.

Alternativen: Die AVG Rescue CD ist schon älter, bedientechnisch DOS-like und somit antiquiert, sie ist nicht mehr wirklich konkurrenzfähig. Bei installiertem Avast Free Antivirus legen Sie einen Rescue-Stick gegen Malware an, der qualitativ mehr als brauchbar ausfällt; leider steht unseres Wissens kein offizielles ISO bereit, sodass Interessenten zunächst Avast Free (eventuell auf einem belanglosen Zweit-/Testgerät) unter Windows installieren müssen.