Virenscanner

... und welchen Virenscanner benutzt Du?

Es ist schon eigenartig. Da gibt es eine ganze Menge User, die jammern den ganzen Tag über die Virengefahr aus dem Internet und wenn ich ihnen dann mal etwas auf den Zahn fühle stelle ich fest: Sie benehmen sich wie Kamikazefahrer ohne  Sicherheitsgurt auf der Autobahn bei 260 km/h und gefährten durch ihre Handlungsweise noch andere User. Malware ist nur darum so gefährlich, weil viele Betroffene ungenügend reagieren.

Du glaubst mir nicht? Ich kenne da eine ganze Menge solcher Leute.

Erst kürzlich klagte einer meiner Bekannten mitten im Schreiben einer Mail plötzlich: "Ich habe mir jetzt eben eine Virus eingefangen." Oder so ähnlich. Einige Tage vorher schrieb er mir noch, er habe den Guard von AntiVir  nicht aktiviert, weil dieser ihn ausbremst ?!?! Mich bremst er nicht und AntiVir von H+BEDV Datentechnik GmbH http://www.free-av.de ist einer der wenigen Scanner, die man ganz ohne Gewissensbisse als Privatanwender auf der Festplatte haben darf.

Andere wiederum glauben, nur weil das Teil nichts koste, tauge es auch nichts. Seltsame Ansichten sind das. Erst neulich wollte ein studierter  Informatiker mir dies weismachen. Sein Wissen hatte er allerdings aus Quellen, die entsprechend seiner Äusserung nach mir verschlossen sind!

Profianwender und Unternehmen zahlen für das gleiche Tool sehr viel Geld. Wer sich dazu noch etwas auf der Homepage von AntiVir umsieht, findet zusätzlich seit Jahren eine Konsoleanwendung zum Download. Wenn einige User den Eindruck einer Systembremse vermittelt bekommen, dann haben sie sicher etwas verkehrt gemacht oder an der falschen Stelle  nachgefragt.

Gehen wir also der Reihe nach:
Wenn AntiVir neu installiert ist, wird durch Defaulteinstellung der AntiVir-Guard permanent aktiviert. Das ist völlig richtig. Die Programmierer gehen davon aus, dass vorher noch kein Virenscanner installiert war.

Der AntiVir-Guard ist dann auf maximale Sicherheit eingestellt und überwacht jede Lese- und jede Schreibaktion. Auch das ist richtig, denn woher sollte AntiVir auch wissen, ob Euer PC frei von Viren ist.

Nach  Ende der Installation testet AntVir mit seiner Suchroutine alle gefährdeten Dateien des Systems. Jede Datei wird dabei zweimal geprüft. Zum Einen vom AntiVir-Guard während des Lesens durch das Hauptprogramm und zum Anderen ganz gewissenhaft vom Hauptprogramm selbst. Das dauert seine Zeit. Ist ja auch verständlich. Ich weiß nicht, wie andere Scanner ebenso gewissenhaft, aber viel schneller prüfen können. Wissen es die Kritiker dieses Programms? Dann sollten sie es mir mitteilen.

Irgendwann, je nach Geschwindigkeit des System ist auch AntiVir mit seiner Prüfung fertig und wir erhalten die entsprechende Meldung. Danach könnten wir zum Alltag über gehen, jedoch nicht so wie sich das die Kritiker denken. Dann tritt augenblicklich das ein, was viele zur Deinstallation animiert: Der AntiVir-Guard prüft noch immer jedes Lesen und Schreiben auf der Platte und bremst damit unser System aus. Ganz normal - oder nicht? Jede Datei wird bei Ihrem Aufruf durch den den AntiVir-Guard  geprüft, vom Systemstart bis zum Systemende.

Also muss der AntiVir-Guard so konfiguriert werden, das er nur noch alle neu auf die Festplatte übertragenen Dateien prüft. Ihr habt richtig gelesen, denn alles, was sich schon auf der Platte befindet, ist schon zweimal geprüft.

Rechts-unten in der Taskleiste befindet sich der kleine rote aufgespannte Regenschirm, das Traysymbol des Guard und das klicken wir mal mit der rechten Maustaste an. Dabei ziehen wir den Kursor auf  "Konfigurieren" und es erscheint dieses Menü:

Wir erkennen schon, das die Option auf "Beim Lesen und Schreiben suchen" steht. Das ändern wir auf "Beim  Schreiben durchsuchen". Wir verwenden die Dateierweiterungsliste, prüfen komprimierte Dos-Programme (obwohl in diesen kaum noch Viren zu finden sind) und lassen nur auf den lokalen Laufwerken suchen. In der Dateierweiterungsliste finden wir alle Endungen der Dateien, die geprüft werden sollten. Diese Liste lässt sich jederzeit bei Bedarf erweitern.

Alle anderen Optionen sind durchschaubar. Falls sich eine infizierte Datei nicht mehr reparieren lässt, sollte sie gewipt (mehrfach  überschrieben) werden. Bei jedem Fund einer Vire wird ein Warnton ausgegeben werden und das Protokoll erhält einen Eintrag um den Vorgang später nachvollziehen zu können.

Die Reparatur geschieht automatisch. Es wird vorher von der vermutlich infizierten Datei eine Kopie angelegt. Auch der teuerste Scanner kann sich mal irren.

In den Einstellungen zur heuristischen Suche müssen wir ein klein wenig überlegen. Werden so wie auf meinem PC keine weiteren MS Programme verwendet,  können wir alle gefährlichen Makros löschen lassen und Dokumentvorlagen werden immer konvertiert.

In einzelnen Programmdateien könnten Virussignaturen entdeckt werden, obwohl diese nicht infiziert sind. Das kommt schon mal vor, insbesonder solche Dateien, die tief in unser System eingreifen können. (Compiler, Debugger, Packer etc) Dann wird diese Datei in die Ausnahmeliste eingetragen. Was Ihr bei "Unerwünscht" markiert, überlasse ich Euch selbst.

Nach einem Neustart  dürfte Euer System so laufen, wie Ihr es gewohnt seid. Alle Dateien werden während des Schreibvorganges geprüft. Dabei ist völlig gleich, woher sie zu uns gelangen. Kommen diese aus dem Internet und Euer Browser will sie in den Cache schreiben oder Ihr übertragt Dateien von einer CD nach der Festplatte oder es wird gar ein Ziparchiv ausgepackt, immer dann wird geprüft. Auch Dateien, welche Ihr selbst schreibt, müssen sich der Prüfung stellen. Es könnte ja sein, dass .... .

Alles Lesen  von der Festplatte (das entspricht etwa 95% aller Aktionen) wird nicht beeinflusst. Schreiben dauert wesentlich länger, insbesondere dann, wenn es aus dem Internet oder von einer CD geschieht. Aus diesem Grund wird die Geschwindigkeit unseres Systems nur ganz gering beeinflusst.

Wichtig ist also nicht, wer der Hersteller der Software ist und was diese kostet, sondern viel mehr wie schnell der Hersteller auf Virengefahren durch Aktualisierung der Signaturdaten reagiert. Und dort hat  H+BEDV eindeutig die Nase mit vorn. Es ist allgemein bekannt, dass alle großen Hersteller von Scannersoftware sich seit Langen auf eine für alle Beteiligten zugängliche und aktualisierte Datenbank stützen. Nur diese Zusammenarbeit macht es überhaupt möglich, kurzfristig und gemeinsam Schadsignaturen zu erkennen und weltweit weiterzureichen.

Zum Schluß noch dieser Hinweis:
Da der Guard ständig aktiv ist und jede Schreibaktion überwacht, braucht auch zur Prüfung von Archiven während  der Dekompression kein spezieller Aufruf des Hauptprogrammes erfolgen. Selbst Journalisten von Fachzeitschriften, die es eigentlich wissen müssen, ignorieren diese Tatsache seltsamer Weise hartnäckig.

Wir können diesem Programm jederzeit vertrauen. Natürlich nur dann, wenn die Signaturdatenbank (antivir.vdf) immer auf dem neuesten Stand ist und das sollte wenigstens einmal in der Woche kontrolliert werden!!!!

Zum Inhaltsverzeichnis