Oft gibt man sich mit den Standardeinstellungen des AV zufrieden... Vielleicht weil man die Begriffe nicht kennt ?
Heuristik
Bedeutet eigentlich nur "Ähnlichkeit".
Hier vergleicht das AV die Datei mit bisher schon einmal aufgetretenen Definitionsdateien und Datei- bzw. Viren-Namen.
Je höher die Heuristik gesetzt wird, desto eher schlägt das AV Alarm.
Hieß ein ehemaliger Virus also einmal "Cow", so werden alle Dateien, die den Begriff "Cow" haben zuerst einmal als Virus eingestuft.
Je höher die Heuristik gesetzt wird, desto höher auch die Chance eines Fehlalarms.
Archive
Es sollten immer alle Archivtypen durchsucht werden.
Rekursionstiefe (eines Archivs)
Wer oft Archive (*.cab, *.zip, *.rar, *.arl usw... usw...) erhält, sollte darauf bedacht sein, dass die Rekursionstiefe nicht eingeschränkt wird.
Das bedeutet, dass das AV nur bis zur (z.B.) 20. Schicht ein Archiv nach Viren durchsucht.
Es öffnet und prüft also nur bis zu 20 tiefere Archivschichten. Alles was tiefer geht wird irgnoriert.
Wenn ich einen Virus einschleusen würde, würde ich die Datei einfach 99 Mal packen. Das garantiert, dass keine Standard-AV-Einstellung den Virus entdeckt. Sobald das Archiv dann benutzt wird, ist der Virus unweigerlich aktiviert.
Intelligente Dateiauswahl
Fraglich wie intelligent diese Auswahl ist.
Bei einem kompletten Systemscan sollte man ALLE DATEIEN Scannen lassen.
Automatische Aktionen bei einem Virenfund
Zunächst einmal sollte die Datei in die Quarantäne kopiert werden.
Das ist für den Fall gut, dass die Datei (für mich) wichtig ist und/oder gar keinen Virus enthält.
Ich kann sie also jederzeit wieder versuchen zu reparieren/retten. Sie kann dort aber nicht schaden.
Danach sollte die Datei repariert/gesäubert werden
Die meisten Scanner schaffen es, Viren aus befallenen Dateien zu beseitigen, so dass man sie normal weiter benutzen kann.
Als 3. und letzte Variable soll das AV die Datei löschen, wenn sie nicht repariert werden kann.
Eine Sicherheitskopie liegt in der Quarantäne. Die Datei kann deshalb bedenkenlos vernichtet werden.
Sollte man nicht so viele Möglichkeiten in der Einstellung haben, so sollte man die Datei einfach nur in die Quarantäne verschieben lassen. Dort ist sie zwar nicht zu benutzen, wartet aber auf weitere "Reparaturversuche" ohne dass sie Schaden anrichten kann.
Alarm durch das AV - Was mache ich nun ?
So gut die AVs auch sind. Die letzte Entscheidung überlassen sie dem User. Gerade die Guards/Wächter...
Zunächst einmal: Zugriff verhindern
Sollte der Virus weiterhin versuchen ins System zu kommen: in Quarantäne verschieben
Eigentlich sollte er damit wirkungslos sein ... wenn es sich aber um eine "Viruswelle" handeln, die da ankommt, gibtas nur Eins:
Netzwerkstecker abziehen bzw. Modem/Rouer abschalten.
Die "Welle" kann nun nicht weiter von Außen kommen.
Wenn der Rechner plötzlich scheinbar stillsteht, dabei aber deutlich hörbare Festplattengeräusche auftreten:
Das System wird gerade durch eingedrungene Viren "überrannt". Die Viren versuchen sich überall zu installieren (vorzugsweise in der Registry) Der Prozessor ist damit voll ausgelastet. Leider bekommen Registryaktionen die höchste Priorität zugewiesen - der AV bekommt also "nix ab" und kann deshalb die Viren nicht mehr bekämpfen.
Nun "kämpft" man eben "per Hand" gegen den Virus:
Dem PC wird sofort jeglicher Strom genommen. Nicht runterfahren !
Beim Runterfahren werden nämlich erst alle Registryänderungen registriert = gespeichert... der temporäre Speicher wird auf Platte geschrieben .. u.a. auch die Viren, die gerade am Werkeln sind....und genau DAS soll ja nun nicht passieren.
Wenn so etwas passiert ist, muss man vorher irgendwas falsch gemacht haben:
Kein AV-Programm ?
Sicherheitseinstellungen im AV?
Kein Update gemacht ?
"illegale Seiten" besucht ?
Hacker- und Warez-Seiten sind bekannt dafür, dass erst einmal jeder Besucher mit einigen Backdoorprogrammen geimpft wird.
Schon ein Bild kann einen kleinen aber sehr wirkungsvollen Trojaner/Downlioader enthalten. Dieser sorgt dann schon dafür, dass beim nächsten Onlinegehen die richtigen Viren ihren Weg auf deinen Rechner finden.
Und was nun ?
Beim nächsten Systemstart weiß man jetzt natürlich nicht, in wieweit der Rechner verseucht ist.
Startet den PC daher im "abgesicherten Modus" (F8-Taste während des Bootens drücken).
Sollte das plötzlich nicht mehr zur Verfügung stehen (ist durchaus möglich).... "minimale Konfiguration" oder andere Versionen probieren.
Keinesfalls eine Systemwiederherstellung probieren (egal wie sie sich auch nennen mag).
Habt ihr nun endlich wieder eine grafische Oberfläche (z.B. Windows), könnt ihr euren AV starten.
Alles Weitere gibt schon längst in einem anderen Thread
Hinweis:
Bin kein Programmierer sondern kann nur aus eigenen Erfahrungen berichten. Was bei mir "immer" geklappt hat, muss es bei euch "nicht unbedingt".Ich kann deshalb keine Garantie übernehmen.
Spätestens wenn ihr den Absatz "Was nun?" gelesen habt (weil es euch passiert ist) braucht ihr andere/bessere Hilfe als diesen Artikel damit eure Daten nicht verloren gehen.