Hallo,

Sobald Virenscanner bemerken, dass ein Virus *aktiv* geworden ist und das System befallen ist, also nicht nur irgendwo eine einsame befallene Datei herumliegt, drängen sie den Anwender unmittelbar dazu, das System von einem nicht befallenen Datenträger zu booten. Welcher Virenscanner geht nicht so vor?

AntiVir z. B. Es gab hier viele Fälle von Infektionen mit einer Version des Backdoors/Trojaners Agent. AntiVir hat den vermeintlichen Schädling auch fleißig gelöscht und dem Anwender dadurch Sicherheit vorgegaukelt. Nur - AntiVir hat nur die Dateien gelöscht, die der Schädling erstellt hat (die Log-Dateien)

Die Frage ist ja: Hat AntiVir den Befall des Systems an sich korrekt registriert oder nur Wirkungen des Schädlings (Logdateien) festgestellt, diese aber wegen schlechten Erkennungsalgorithmen nicht auf die Ursache (= das gesamte System ist befallen, der Virus ist aktiv) zurückgeführt?

Sicherlich hat AntiVir im zweiten Fall einen Fehler, weil es nicht korrekt den Systembefall feststellt und nicht korrekt von Trojaner-Hinterlassenschaften auf einen installierten Trojaner schließt. Im ersten Fall läge jedoch ein absichtliches grobes Fehlverhalten vor, um das es mir ging.

So kamen die Meldungen von AntiVir immer wieder, aber da AntiVir ja vermeintlich den Schädling immer wieder gelöscht hatte

Das sieht nicht so aus, als würde AntiVir absichtlich nur die Symptome behandeln. Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme geben, die einen eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen). In deinem Beispiel scheint AntiVir aber einfach eine schlechte Heuristik anzuwenden. Soweit ich weiß, fordert auch AntiVir dazu auf, das System von einem unbefallenen Datenträger zu booten, sobald das Programm hinreichende Hinweise darauf findet, dass Virencode ausgeführt wurde. Es scheint mir unwahrscheinlich, dass AntiVir aus Prinzip nur versucht, Symptome zu bekämpfen (was eben nie zu einer Desinfektion des Systems führen kann).

Du hast in dem Fall natürlich trotzdem recht, das Löschen der Spuren des Trojaners wiegt den Benutzer zunächst in falscher Sicherheit. Aber spätestens dann, wenn er beim nächsten Systemstart wieder dieselbe Meldung bekommt, sollten ihm die Augen aufgehen. In den gängigen Anleitungen zum Entfernen von Viren etc. ist immer der erste Schritt das Überprüfen des Systems »von außen« und ggf. das Neuinstallieren aller Dateien mit ausführbarem Code.

Mathias