Rechner sind oft nicht mehr nur von "normalen" Viren infiziert, immer häufiger setzen die Malware-Autoren auf Rootkits, um die Präsenz der jeweiligen Schadprogramme zu verbergen. Da Rootkits normalerweise vor dem Betriebssystem gestartet werden, können sie sich und anderen bösartigen Code vor dem Zugriff durch Sicherheitsprogramme schützen. Microsoft reagiert mit einer Offline-Version des Microsoft Defender auf diesen Trend. Beim Windows Defender Offline wird die Scan-Engine komplett mit den aktuellen Signaturen auf einem Boot-fähigen Medium untergebracht.
Download: Windows Defender Offline
Aktuell ist die Software noch in der Beta-Phase. Microsoft bietet das Windows-Offline-Defender-Programm auf dieser Seite zum Download an. Und hier ist auch schon die erste Hürde, denn Defender Offline gibt es in einer 32- und einer 64-Bit-Version. Wichtig dabei: Die Bezeichnung bezieht sich nicht auf das Betriebssystem, von dem aus man das Boot-Medium vorbereitet, sondern auf das Zielsystem, also den Windows-Rechner, der später mit dem Tool überprüft werden soll.
Der Installer ist dabei lediglich 800 KByte groß. Nach einem Doppelklick startet der eigentliche Installationsvorgang. Zunächst wird das Zielmedium definiert. Zur Auswahl stehen eine in einem Brenner eingelegte DVD oder CD, ein am System angeschlossenes USB-Medium und das Erstellen einer ISO-Datei. Wichtig dabei: Entscheidet man sich für den USB-Stick, wird dieser vor dem Erstellen des Mediums komplett gelöscht - wer darauf also wichtige Daten speichert, sollte diese vorher sichern. Der USB-Stick oder der Datenträger muss mindestens 250 MByte Speicherplatz bieten.
Der Assistent holt sich anschließend sämtliche Daten inklusive der aktuellen Signaturen von den Microsoft-Servern und speichert diese auf dem jeweiligen Medium. Mit dem neu erstellten Medium wird der zu säubernde Rechner anschließend gestartet.
Scanvorgang
Bestätigt man während des Boot-Vorgangs den Start von CD/DVD, lädt das System automatisch den Windows Defender Offline. Microsoft nutzt für das Tool offensichtlich die hauseigene Pre-Boot-Umgebung. Diese unterstützt aber nur den Windows Defender Offline, eine Kommandozeile oder Funktionen zur Windows-Reparatur sind nicht enthalten.
Direkt nach dem Start kann man das lokale System durchsuchen, zur Auswahl stehen dabei Quick, Full oder Custom. Quick durchsucht dabei nur die Bereiche des Dateisystems, die eine Malware wahrscheinlich infizieren würde. Full durchsucht alle gespeicherten Dateien und alle Programme auf dem jeweiligen System, benötigt aber deutlich mehr Zeit als ein Quick-Scan. Wer Custom wählt, kann selbst auswählen, welche Bereiche der Windows Offline Defender durchsuchen soll.
Der Reiter "Update" ist selbsterklärend: Ist der Rechner per Ethernet-Kabel mit einem Netzwerk und dem Internet verbunden, kann die Software die neuesten Virensignaturen von Microsoft herunterladen und nutzen. Dies sollte man beispielsweise dann durchführen, wenn das Medium bereits vor längerer Zeit erstellt wurde - die Signaturen sind dann unter Umständen veraltet. "History" zeigt alle auf dem System gefundenen Einträge. In den "Settings" schließlich kann man bestimmte Bereiche und Dateitypen vom Scan ausnehmen oder den Windows Offline Defender mit dem Cloud-Schutz "Microsoft Active Protection Service" koppeln. Sobald man das Schließen-Symbol oben rechts drückt, startet die Software den Rechner neu.
In der Praxis konnten wir mit dem Medium erfolgreich Windows-7-Systeme mit 32- und 64-Bit starten. Anders sieht es dagegen bei Windows XP aus. Während wir verschiedene Laptops mit unterschiedlichen Konfigurationen starten und scannen konnten, schlug der Start von mehreren virtuellen Maschinen mit einer Fehlermeldung fehl, derzufolge das System die Windows-Partition nicht öffnen konnte.
Fazit
Klar, der Windows Offline Defender befindet sich aktuell noch in einer Beta-Phase, allerdings hätte man von Microsoft durchaus eine flexiblerer Software erwarten können. Auch wenn sich die 32- und 64-Bit-Systeme unterscheiden, so sollte es doch möglich sein, beide Scan-Engines unter einer Oberfläche zu vereinen - oder zumindest nach dem Boot-Vorgang die passende Funktion auswählen zu können.
Langfristig sollte Microsoft dem Defender Offline noch ein paar Funktionen spendieren. So wäre es etwa hilfreich, wenn man nicht nur per Ethernet-Kabel, sondern auch über im PC oder Notebook integrierte Funkmodule die Signaturen aktualisieren könnte. Außerdem wäre es praktisch, wenn man über die Software auch gleich Zugriff auf den PC erlangt, etwa um wichtige Daten zu kopieren. Auch eine Screenshot-Funktion oder die Möglichkeit, Scan-Berichte abzuspeichern, wären gut, um die Reinigung des PCs zu dokumentieren.
Ein Vorbild könnten etwa die Notfall-CDs von Antivirenherstellern wie F-Secure oder Kaspersky sein. Diese setzen statt auf Windows auf ein abgespecktes Linux-System und beinhalten verschiedene Zusatzfunktionen. Dennoch ist der Windows Defender Offline eine praktische Software, die in den Werkzeugkasten eines Admins gehört. (mec)
Version: | Beta |
Hersteller: | Microsoft |
Download Link: | |
Sprache: | Englisch |
Preis: | Kostenlos |
System: | Windows |
Alternativen: | Rettungssysteme von AV-Herstellern |