Antiviren-Software richtig einsetzen
Antiviren-Software unterscheidet grundsätzlich zwischen zwei Scan-Methoden: Beim On-Demand-Virenscan weist der Benutzer das Programm explizit an, den Rechner zu untersuchen. Das kann über Zeitplanung (Scheduler) auch zu vorher festgelegten Zeiten automatisch geschehen. Den On-Access-Scan sollten die Virenscanner ausführen, sobald auf Dateien zugegriffen wird – also vollautomatisch.
Ein wichtiger Faktor für die Effizienz des Virenscanners ist seine Konfiguration. Manche Scanner untersuchen per Default nicht alle Dateitypen. In den Einstellungen sollte man überprüfen, ob auch komprimierte Dateien (.zip, .rar) und weniger verbreitete Dateitypen wie .scr (Windows Bildschirmschoner) vom Scanner untersucht werden. Wer auf Nummer sicher gehen will, testet alle Dateien, unabhängig von ihrem Typ.
Virus gefunden – was nun?
Findet die Antiviren-Software Schädlinge auf dem Rechner, bietet sie meist verschiedene Optionen zur Auswahl. Viren in E-Mails sollte man einfach löschen, bei einem Virenfund auf der Festplatte ist mehr Vorsicht geboten. Die meisten Produkte bieten eine Quarantäne-Option, über die sich versehentlich entfernte Dateien wiederherstellen lassen. Sie ist deshalb dem Löschen vorzuziehen. Als Workaround kann man Dateien auch Umbenennen, indem man beispielsweise die Dateiendung ändert. Wurde eine infizierte Datei, die beispielsweise per E-Mail ankam, nicht ausgeführt respektive geöffnet, ist der Rechner nach dem Löschen wieder sauber; ein Komplett-Scan des gesamten Systems verschafft Gewissheit.
Es kommt immer mal wieder vor, dass eine Signatur auch harmlose Programme erfasst. Besteht der Verdacht eines Fehlalarms, empfiehlt es sich, eine zweite Meinung einzuholen, indem man die beanstandete Datei bei einem der kostenlosen Online-Scanner wie Virustotal hoch lädt. Meldet der dann, dass fast alle anderen Scanner die Datei als sauber betrachten, ist die Wahrscheinlichkeit eines Fehlalarms recht hoch. Meistens beseitigen die Hersteller solche Fehler dann beim nächsten Signatur-Update.
Ist ein Schädling auf dem System einmal aktiv, weil man beispielsweise einen E-Mail-Anhang mit einem noch nicht bekannten Virus geöffnet hat, muss es unbedingt sofort vom Netz getrennt werden, indem man das Netzwerkkabel abzieht. Das verhindert die weitere Verbreitung und auch das Nachladen weiterer Schadroutinen. Ist der Befund eindeutig, kann es sogar empfehlenswert sein, sofort das Stromkabel zu ziehen, bevor der Virus weiteren Schaden anrichten kann.
Das infizierte System sollte man nicht mehr starten, sondern stattdessen von einer sauberen Notfall-CD booten, um die wichtigsten Daten in Sicherheit zu bringen. Am Besten ist es, das kompromittierte System danach komplett neu aufzusetzen. Nur so kann man sicher sein, dass danach alles wieder in Ordnung ist. Kommt dies nicht in Frage, kann man das System von einer garantiert sauberen CD wie Desinfec't oder Bart PE aus mit deren Virenscanner testen und reinigen lassen.
Das infizierte System selbst zu booten, um es mit der installierten Antiviren-Software zu reinigen, ist eigentlich nicht zu empfehlen. Wer es trotz dieser Warnung tut, weil es der bequemste Weg ist, sollte dabei Windows zumindest in den abgesicherten Modus booten, den man auswählen kann, wenn man beim Start mehrfach die Taste F8 drückt. Unter Windows XP empfiehlt es sich zusätzlich, in den Eigenschaften von "Arbeitsplatz" die automatische Systemwiederherstellung zeitweise zu deaktivieren. Bei derartigen Rettungsversuchen bleibt jedoch immer ein Restrisiko, dass nicht alle Rückstände des Befalls beseitigt werden konnten.