¯ Ich schütze mein System mit dem Windows-eigenen Defender vor Viren & Co. Seit dem Anniversary Update für Windows 10 (Version 1607) gibt es in den Defender-Einstellungen der Systemsteuerung den Punkt „Windows Defender Offline“. Was hat es damit auf sich? Muss der Defender nicht online sein, um seine Virensignaturen zu aktualisieren?

Der Virenscanner Windows Defender kann den Rechner seit dem Anniversary Update für Windows 10 in einem abgeschotteten Modus untersuchen, um auch hartnäckige Schädlinge wie Rootkits zu erkennen und zu entfernen.

¯ „Offline“ bezieht sich hier auf Ihre Windows-Installation und hat nichts mit dem Internetzugriff zu tun. Wenn Sie auf „Offline überprüfen“ klicken, startet der Rechner neu und bootet das Minimal-Betriebssystem WinPE. Dieses führt dann ausschließlich den Windows Defender aus. Das hat den großen Vorteil, dass ein etwaiger Schädling in Ihrer Windows-Installation nicht in den Viren-Scan eingreifen kann. So kann der Defender auch Rootkits aufspüren, die sich im Windows-Normalbetrieb vor dem Virenscanner verstecken. Auf dieses Prinzip setzt auch unser Desinfec’t (c’t 12/2016), allerdings kommt bei Microsoft nur eine Antivirus-Engine zum Einsatz; Desinfec’t verwendet bis zu vier Antiviren-Engines. Zudem setzt Desinfec’t auf ein Linux-System statt auf WinPE.

Bevor Sie den Offline-Scan des Defender starten, sollten Sie alle geöffneten Dokumente speichern. Windows kündigt nach einem Klick auf den genannten Button „Offline überprüfen“ nämlich innerhalb von einer Minute einen Neustart an. Abbrechen kann man diesen Vorgang nicht. Auf unserem Testsystem erfolgte der Neustart schon nach wenigen Sekunden. Der Offline-Modus ist nur unter Windows 10 mit Anniversary Update vorhanden. Wer ältere Windows-Versionen offline mit dem Defender scannen möchte, kann eine spezielle Version des Schutzprogramms auf einen USB-Stick oder CD-Rohling kopieren. Dies erledigt ein Tool, das Microsoft zum kostenlosen Download anbietet (siehe c’t-Link). (rei@ct.de)