Ein tiefer Einblick in die Scannertechnologie von Emsisoft

140527_eek_icon_256x256Unser Entwicklerteam hier bei Emsisoft bemüht sich stets um bedeutende Verbesserungen bei Scangeschwindigkeit und -optimierung. Dank unserer Video-Tutorials wissen Sie sicher, wie unsere Scanner zu verwenden sind, aber wissen Sie, wie unsere Scanner-Technologie eigentlich funktioniert? Werfen wir einmal einen Blick unter die Haube und auf die dort schlummernde Technologie aller Emsisoft-Produkte. 

  1. Zwei Scan-Engines sind besser als eine
  2. Verfügbare Scantypen
  3. Erweiterte Scannerfunktionen
  4. Produktivitätsfunktionen
  5. Beseitigung von Infektionen

1. Zwei Scan-Engines sind besser als eine

Die gute Erkennungsleistung unseres Scanners lässt sich zum Teil auf die Dual-Engine zurückführen. Wir möchten die bestmögliche Scannertechnologie anbieten; darum haben wir unsere Software derart flexibel gestaltet, dass sie Engines von Fremdanbietern wenn nötig auslagern kann.

Vielleicht erinnern Sie sich daran, dass wir mit unserer Engine 2012 von Ikarus zu Bitdefender gewechselt sind. Durch unsere großen technologischen Fortschritte und stets zukünftige moderne Entwicklungen im Antivirensektor im Blick bleiben wir stets allen einen Schritt voraus.

Erweiterte signaturbasierte Erkennung

Unsere Engine ergänzt die zweite Bitdefender-Engine; beide arbeiten für maximale Leistung nahtlos zusammen.

Zum Einen erkennen wir unerwünschte Programme durch signaturbasierte Erkennung. Dabei suchen wir auf Ihrem Computer nach Programmen anhand ihrer einzigartigen Signaturen. Signaturen können Sie sich wie Fingerabdrücke vorstellen.

Hier bei Emsisoft wird die meiste Zeit auf die Erstellung von Erkennungssignaturen für PUPs (potenziell unerwünschte Programme) sowie individuell angepassten Codes zur Malwareentfernung für spezifische Infektionen verwendet. Dieses Jahr haben wir herausgefunden, dass mehr als 74 % aller erkannten PUPs durch unsere eigene eingebaute Scan-Engine erkannt werden.

Leistungsmaximierung mit einem Dual-Engine-Scanner

Mit zwei Engines sind wir besser aufgestellt, um neue Signaturen für Bedrohungen so schnell wie möglich zu liefern — und zwar so schnell, dass oftmals beide Anbieter Signaturen für die gleiche Bedrohung innerhalb einer Stunde nach erstem Auftreten erstellt haben!

chart_engines_de

Maximale Effizienz mit zwei Engines

Falls Sie sich jetzt Gedanken wegen erhöhtem Speicherverbrauch machen, seien Sie unbesorgt. Um den Speicherverbrauch zu minimieren, bereinigen wir diese Signaturdubletten regelmäßig. 90 % der Signaturen, die von der Engine von Emsisoft erstellt werden, sind Dubletten und finden bei der Malwareerkennung keine Verwendung.

Ebenso wenig brauchen Sie sich darum zu sorgen, Zeit zu verlieren, denn die Dateien auf Ihrer Festplatte werden nur einmal gelesen und von beiden Engines geprüft. So geht keine unnötige Scanzeit verloren, selbst mit den zwei Engines im Einsatz. Es kommt nicht von ungefähr, dass unser Dual-Engine-Scanner schneller als die Software vieler großer Anbieter arbeitet, die nur über eine Engine verfügen!

Was nutzt Ihnen dieses Wissen?

Ganz einfach: alle Funde mit einer (A)-Endung stammen von unserer eigenen Engine, diejenigen mit (B) von Bitdefender.

Kurz gesagt: Unserer Meinung sind zwei Engines besser als eine, weshalb wir auf unsere eigene Technologie zur Erkennung von Bedrohungen für Ihren Computer setzen, die anderen entgehen könnten. Dabei machen wir jedoch keine Abstriche bei der Leistung — Emsisoft hält Ihren Speicher sauber, ohne ihn zuzumüllen, und erkennt Bedrohungen mit optimaler Geschwindigkeit. Einige Zahlen zu der wahren Leistung der zweiten Scan-Eengine in unseren Produkten finden Sie in diesem Artikel, den wir dieses Jahr veröffentlicht haben.

2. Verfügbare Scantypen

Im Folgenden erhalten Sie einen Kurzüberblick über die verfügbaren Scantypen in Emsisoft Emergency Kit sowie Emsisoft Anti-Malware und Emsisoft Internet Security:

v10_scanmethod_de

Drei verschiedene Scantypen

Schnelltest

Mit einem Schnelltest erhalten Sie schnell einen Überblick über etwaige aktive Infektionen auf Ihrem Computer. Dabei werden alle laufenden Programme mitsamt ihrer Module geprüft. Ebenso wird dabei ein sog. “Traces-Scan” ausgeführt. Traces oder Spuren sind bekannte Datei- und Registry-Pfade von Malware-Infektionen. Einfacher gesagt handelt es sich um einen Antiviren-Scan, bei dem nach Spuren gesucht wird, die von Malware hinterlassen wurden.

Zusätzlich werden bei Schnelltests die installierten Treiber auf aktive Rootkits geprüft. Ein Rootkit ist eine Art von Malware, welche bestimmte Dateien oder Registrykeys vor normalen Scans verbirgt, sodass es weiterhin Zugriff auf Ihren Computer hat. Auf Rootkits kommen wir später noch einmal zu sprechen bei den Funktionen und Optionen eigener Scans.

Schnelltests eignen sich idealerweise für automatische/geplante Scans nach dem Computerstart oder der Benutzeranmeldung. Ein Schnelltest dauert üblicherweise nur dreißig Sekunden, sodass Sie praktisch keine Zeit verlieren.

Malware-Scan

Malware-Scans ähneln Schnelltests, jedoch werden dabei Dateien in allen Ordnern geprüft, die üblicherweise von aktiven Malware-Infektionen betroffen sind. Unser Scanner erkennt etwa hundert Speicherorte, die häufig von Malware befallen werden. Ein Vorteil hierbei ist, dass leicht vorauszusagen ist, wo Malware installiert wird — halten Sie uns jetzt aber bloß nicht für selbstgefällig! Unser Analystenteam bemüht sich durchgängig um die Erkennung neuer Bereiche und kann die Software innerhalb weniger Minuten auf den neuesten Stand bringen, damit Ihre Emsisoft-Produkte stets den Bedrohungen einen Schritt voraus sind.

Wir empfehlen einen Malware-Scan als Standard-Scan, wenn Sie eine aktive Infektion auf Ihrem System vermuten. Dabei werden zwar keine inaktiven Malware-Dateien erkannt, aber glücklicherweise stellen inaktive Dateien keine direkte Bedrohung dar. Derartige Dateien können einfach mit einem Klick gelöscht werden, so z. B. Word-Dokumente lange zurückliegender Sitzungen oder ein wenig schmeichelhaftes Urlaubsfoto.

Eigener Scan

Da eigene Scans standardmäßig auf einen vollständigen Detail-Scan voreingestellt sind, können Sie mit dieser Option sehr gründlich nach Malware suchen und alle Dateien auf allen Laufwerken Ihres Computers prüfen. Ein eigener Scan dauert ziemlich lange und wird nicht zur häufigen oder täglichen Verwendung empfohlen. Einen derartigen Scan sollten Sie ein paar Mal im Jahr ausführen, um absolut sicher zu sein, dass nichts auf Ihrem Computer unerkannt bleibt.

3. Erweiterte Scannerfunktionen

Eine der größten Vorteile eigener Scans ist die Möglichkeit zur Vornahme der Scaneinstellungen. In den Einstellungen für eigene Scans finden Sie alle verfügbaren Optionen. Manche der Optionen sind standardmäßig aktiviert, andere nicht. Sie selbst entscheiden am besten, welche Optionen Sie benötigen und welche nicht, aber die besten Optionen haben wir für den alltäglichen Gebrauch bereits vorausgewählt. Weiter unten führen wir die Optionen genauer aus, damit Sie sich selbst mit ihnen vertraut machen und entscheiden können, welche sich für Ihre Bedürfnisse eignen.

advanced_scan_DE

Erweiterte Scanner-Funktionen

Rootkit-Scan

Bei einem normalen Dateiscan werden die APIs (Anwendungsschnittstellen oder Application Program Interfaces) von Windows verwendet. Eine API ist so etwas wie die Grundlage zur Erstellung von Softwareanwendungen aus Routinen und Protokollen.

Obwohl die APIs von Windows sich in gewisser Hinsicht als optimal bezüglich Geschwindigkeit und Leistung erweisen, können dieselben APIs aber auch von Rootkits manipuliert werden.

Was sind Rootkits?

Rootkits sind sozusagen getarnte Soldaten. Auf vielerlei verschiedene Art und Weise klinken sie sich in Systeme ein; oftmals geschieht dies durch Veränderung von Listen und Tabellen, in denen Orte hinterlegt sind, an denen ein System nach Code sucht. Dies nennt man “Hooking”.

Wenn Antivirensoftware auf diese Liste verfügbarer Dateien zugreift, hat das Rootkit die Liste derart manipuliert, dass eine Datei – eine Malware-Datei – übergangen wird. Sobald eine Datei so einmal maskiert wurde, hat ein Malware-Scanner seine liebe Not, diese noch zu finden.

Zur Erkennung verborgener Rootkits setzt unser Scanner auf seine eigenen Code zum Parsen von NTFS-Dateisystemen. Dieser Code stützt sich nicht auf die APIs von Windows, wodurch wir auch verborgene Rootkits erkennen können.

Rootkits mögen sich tarnen, doch der Scanner von Emsisoft hat den Röntgenblick!

Beseitigung von Rootkits

Die ordentliche Beseitigung von Rootkits ist ein heikles Unterfangen. Bisweilen können sich Rootkits sogar in bestimmten Bereichen der Festplatte Ihres Computers wie dem Bootsektor verstecken. Einfaches Löschen dieser bösartigen Dateien führt oftmals dazu, dass der Computer nicht mehr hochfährt.

Oft helfen unsere Experten Nutzern, die Opfer solch achtloser Entfernungsversuche durch andere Anti-Malware-Programme geworden sind, weshalb wir aus erster Hand sprechen können, wie wichtig es ist, auf vertrauenswürdige Quellen zu setzen.

Rootkits machen im Allgemeinen eine manuelle Beseitigung erforderlich. Unser Scanner weist Sie an, sich an unsere Experten in der Malware-Entfernung zu wenden, um Rootkits loszuwerden. Diese untersuchen Ihr System, prüfen, welche Art von Rootkit sich dort eingenistet hat, und liefern Ihnen detaillierte Schritt-für-Schritt-Anleitungen, wie Sie diese entfernen, ohne die Stabilität Ihres Systems zu gefährden.

Sie fragen sich vielleicht, warum wir nicht bei allen Scans auf unseren eigenen Scanner setzen: denn direktes Lesen aus dem Dateisystem (Direct Disk Access) erweist sich allgemein als ziemlich große Herausforderung und erfolgt viel langsamer als unter Verwendung der APIs von Windows. Wenn die Sache anders läge, würden wir mit Sicherheit bei allen Scans auf unseren eigenen Code zum Parsen von NTFS-Dateisystemen setzen.

Traces-Scan

Ein Traces-Scan (bei dem nach Traces oder Spuren von Malware gesucht wird) kann einer der drei folgenden Typen sein:

-Datei-Traces: Hierbei handelt es sich um bekannte Pfade ausführbarer Dateien auf der Festplatte, die ausschließlich von Malware verwendet werden. Das sind grundlegend Traces, die allein, also unabhängig von jeglichen anderen Programmordnern auf der Festplatte vorliegen.

Beispiel: C:\windows\explore.exe (kann gerne mit exploreR.exe verwechselt werden).

-Ordner-Traces: Ähnlich wie Datei-Traces, jedoch innerhalb des Ordners anderer normaler Anwendungen wie dem Einstellungsordner von Google Chrome.

Beispiel: c:\program files (x86)\PUP Folder\.

-Registry-Traces: Hierbei handelt es sich um Einträge in der Registrydatenbank des Systems, die auf eine Malware-Infektion hindeuten. Eine derartige Spur verweist auf eine Infektion innerhalb der Einstellungen des Computers. Dies sind die gefährlichsten Traces, und die damit verbundenen Viren können Ihren Computer beträchtlich ausbremsen.

Beispiel: HKLM\Software\Windows\CurrentVersion\Run.

Hier gilt zu beachten, dass bei Fund einer Malware-Spur nicht zwangsläufig eine aktive Infektion vorliegt. Es kann sich auch genauso gut um ein Überbleibsel eines früheren unvollständigen Entfernungsversuchs handeln. Bei Funden von Traces sollten Sie Vorsicht walten lassen und Untersuchungen anstellen.

Im Allgemeinen finden sich bei aktiven Infektionen Traces üblicherweise in der Nähe der Dateifunde. Diese können Sie jederzeit entfernen.

PUP-Erkennung

Aus rechtlichen Gründen dürfen wir nicht alle unerwünschten Programme in unserer Benutzeroberfläche als “Malware” bezeichnen. Der Begriff “PUP”, welcher für potenziell unerwünschte Programme steht, wurde vom Antivirensektor vor ein paar Jahren erdacht. Im Allgemeinen liegt der alleinige Zweck von PUPs darin, ihren Schöpfern durch Anzeige von Werbung, Veränderung der Standardsuchmaschine oder durch Sammeln privater Daten zum Verkauf an werbetreibende Unternehmen zusätzliches Geld in die Kassen zu spülen.

Emsisoft Anti-Malware - Potenziell unerwünschte Programme (PUPs)

Emsisoft Anti-Malware – Potenziell unerwünschte Programme (PUPs)

Die PUP-Erkennung ist bei der ersten Installation unserer Software zu aktivieren. In Emsisoft Anti-Malware und Emsisoft Internet Security kann sie später in den Einstellungen des Dateiwächters aktiviert werden.

Scans in komprimierten Archiven

Komprimierte Archive sind Dateien, in welchen andere Dateien zur Verringerung ihrer Größe komprimiert enthalten sind. Einige bekannte Beispiele hierfür sind die Formate ZIP, RAR oder 7Z, aber es gibt noch Hunderte anderer weniger bekannter Formate. Selbst ein Programm mit der Endung EXE kann tatsächlich ein selbstextrahierendes Archiv sein, also andere Dateien enthalten; dies erweist sich in der Datenübermittlung oftmals als einfacher.

Eine Malware-Datei, die in einem Archiv verpackt ist, kann nicht direkt aus dieser heraus starten, da sie zunächst entpackt werden muss. Aus diesem Grunde gelten Archive an und für sich allgemein als nicht gefährlich und werden von vielen Scannern entweder von der Prüfung ausgenommen oder nur bis zu einer maximalen Größe von 200 MB geprüft.

Das Entpacken von Archiven ist unglaublich zeitaufwändig und beansprucht viele Systemressourcen. Gerne können Sie die Funktion zum Scannen von Archiven deaktivieren, wenn Ihre eigenen Archive keine Gefahr darstellen und kein Infektionsrisiko besteht.

Scannen in NTFS-Alternate-Data-Streams

1993 wurde mit der Einführung von NTFS (New Technology File System) als Standarddateisystem von Windows NT (dem Vorgänger von 2000, XP, 7, 8 usw.) eine neue Funktion namens Alternate Data Streams eingeführt. Ab sofort konnten in Dateien Metadaten in verborgenen Ebenen gespeichert werden.

Leider können diese Streams ebenso zur Speicherung anderer Arten gefährlicher Daten genutzt werden, wie z. B. kompletten Malware-Programmen — und all das in einer Textdatei von 0 Byte Größe.

So kann eine harmlos aussehende Dateierweiterung gefährlichen Code enthalten, der sich automatisch über Autorun-Einträge in der Registry ausführen lässt.

Bei aktivierter Funktion zu Scannen von NTFS-Alternate-Data-Streams prüft der Scanner alle Datenebenen auf verborgene Bedrohungen.

Verwendung des Filters für Dateitypen

Mit diesem Filter können Sie die Zahl der geprüften Dateien nach Dateityp einschränken. Viele Dateitypen eignen sich nicht, um darin gefährlichen Code unterzubringen; viele mögen daher zunächst denken, es grenze an Zeitverschwendung, bestimmte Dateien zu prüfen.

So zum Beispiel beginnen alle ausführbaren Windows-Dateien mit der Byte-Sequenz “MZ”, wodurch dem Betriebssystem vermittelt wird, die Datei lässt sich ausführen. Die Prüfung dieser Byte-Sequenzen (der sog. “magic bytes”) ist ein verlässliches Prozedere und beinahe genauso einfach, wie die Dateiendung selbst zu prüfen.

Es gilt aber dringend zu beachten: diese Option ist aus gutem Grunde in den Standardeinstellungen deaktiviert. Denn der Scanner prüft nicht nur die Dateiendung, sondern sucht nach bestimmten Dateitypkennzeichen innerhalb der Datei. Dateiendungen lassen sich leicht ändern, um den Scanner zu täuschen; beim Inhalt sieht das aber nicht so einfach aus.

Direkter Festplattenzugriff

Wie bereits erwähnt kann der Scanner mit Hilfe unseres eigenen NTFS-Dateisystem-Parsers statt der Windows-APIs auch nach Dateien suchen, die von aktiven Rootkits versteckt wurden. Durch direkten Festplattenzugriff kann der Scanner von Emsisoft Sicherheitsprüfungen umgehen und so direkt auf einen Speicherort zugreifen und dort nach geschützter Malware suchen.

Der Nachteil dieser Funktion liegt im enormen Zeitaufwand, den diese mit sich bringt. Deshalb sollte sie nur für bestimmte Ordner verwendet werden, die eventuell Rootkits enthalten. Diese Funktion bringt keinen großen Vorteil bei der Prüfung Ihrer gesamten Festplatte; daher ist sie standardmäßig deaktiviert. Bei Rootkit-Scans wird die Funktion zum direkten Festplattenzugriff dagegen immer automatisch aktiviert.

Performance-Einstellungen

In der Software finden Sie im Abschnitt “Scan” die Option “Performance” unter den drei Scantypen. Damit öffnen Sie ein Dialogfeld mit erweiterten Optionen zur Einstellung der Scangeschwindigkeit:

Performance-Einstellungen

Performance-Einstellungen

– Prozessoren

Standardmäßig werden alle verfügbaren Prozessoren zum Scannen verwendet. Bitte beachten Sie, dass ein Quad-Core-Prozessor als 8 virtuelle Prozessoren angezeigt wird. Sie können einen oder zwei davon deaktivieren, falls Sie einen Scan mit langer Dauer planen und gleichzeitig ein weiteres ressourcenhungriges Programm ausführen möchten.

– Threads-Anzahl

Threads können Sie sich wie Tasks vorstellen, die parallel laufen. Sie sind im Grunde wie Straßen, über die Information zum Prozessorkern gelangen.

Wenn der Scanner auf einen Thread beschränkt ist, dann liest er eine Datei von der Festplatte, prüft sie anschließend und geht dann zur nächsten Datei weiter. Durch Multi-Threading kann jeder virtueller Prozessor eine Datei gleichzeitig prüfen, ohne die anderen zu unterbrechen.

Standardmäßig ist die Thread-Anzahl auf die Zahl der verfügbaren Prozessoren + 1 eingestellt. Denn ein Thread mit geringen Prozessoranforderungen dient dem Lesen der Datei von der Festplatte (da paralleles Lesen meist keine Option ist); anschließend werden die Dateien unter allen Prozessoren zum simultanen Scannen verteilt. Dies stellt die Mammutaufgabe für einen Prozessor dar.

– Scan-Threads-Priorität

Standardmäßig bestimmt Windows, welche Programme prozentual wie viel von allen verfügbaren Hardwareressourcen (Rechenzeit) erhalten. Sie können jedoch dem Scanner von Emsisoft höhere oder niedrigere Priorität einräumen. Räumen Sie höhere Priorität ein, damit Scans schneller abgeschlossen werden (selbst wenn andere Programme laufen). Räumen Sie niedrigere Priorität ein, wenn andere Programme höhere Priorität benötigen. Dies stellt die beste Option dar, wenn die Scandauer keine Rolle spielt, solange es nicht ihre Arbeit behindert.

– Erweitertes Caching verwenden

Durch Caching wird sichergestellt, dass Dateien, die sich als sicher erwiesen haben, nicht immer wieder neu geprüft werden. Falls z. B. eine Datei sich schon sehr lange auf Ihrem Computer befindet und bereits mehrfach ohne Fund geprüft wurde, ist sie sehr wahrscheinlich harmlos. Mit einer Smart Logic wird geschätzt, wie wahrscheinlich eine Datei sicher ist und diese dann bei zukünftigen Scans übergangen.

4. Produktivitätsfunktionen

Scan über das Kontextmenü (nicht in Emsisoft Emergeny Kit)

Das Netz wimmelt vor Trojanern und Spamware, die nur darauf warten, sich auf Ihrem Rechner einzunisten. Mit Scans über das Kontextmenü können Sie Vireninfektionen im Vorhinein sehr gut vorbeugen.

Emsisoft Anti-Malware und Emsisoft Internet Security integrieren sich auf nützliche Art und Weise in Windows Explorer, wodurch Sie bei häufigen Scans einiges an Zeit sparen können. Klicken Sie einfach rechts auf eine Datei im Explorer und wählen Sie die Option “Mit Emsisoft scannen” aus dem Kontextmenü zum Start eines eigenen Scans.

Emsisoft Commandline Scanner

Emsisoft Commandline Scanner

Commandline Scanner

Ein Commandline Scanner ist die beste Wahl für Profis, die keine grafische Benutzeroberfläche für Scans benötigen. Falls Sie unsicher sind, was das genau ist, keine Sorge, denn ein solches Programm ist nicht zwingend erforderlich.

Emsisoft Commandline Scanner ist ein vollständiges Werkzeug für die Kommandozeile mit allen Funktionen des Scanners mit grafischer Benutzeroberfläche. Dieses Werkzeug dient automatischen Scans, die von anderen Programmen oder durch Skripte gestartet werden, welche für die weitere Verarbeitung einen Rückgabewert benötigen. Erfahren Sie hier mehr über die verfügbaren Parameter des Commandline Scanners.

5. Beseitigung von Infektionen

Die Erkennung aktiver Bedrohungen stellt lediglich den ersten Schritt bei der Reinigung eines Computers dar. Die Entfernung erweist sich in der Tat ein schwierigeres Unterfangen als die PUP-Erkennung, denn Malware ist derart konzipiert, sich ihrer Entfernung zu widersetzen. Im Folgenden finden Sie eine Reihe von derartigen Methoden, mit der Malware ihrer Entfernung zu entgehen versucht:

– Dateien sperren

Manche Malware kann Dateien sperren. Diese können dann nicht gelöscht werden. Zum Sperren von Dateien kann einfach dafür gesorgt werden, dass ein Programm dauerhaft läuft.

– Wächterprogramme

Hierbei handelt es sich um eine Methode bei Malware, die sich als Paar aus zwei Programmen präsentiert. Sobald Sie ein Programm beenden, bemerkt dies das andere und startet umgehend neu. Sobald Sie das zweite Programm beenden, startet das erste neu usw.

– Verstecken

Wie bereits oben erwähnt manipulieren Rootkits APIs Ihres Systems, um so ihrer Entdeckung zu entgehen. Eine unsichtbare Datei kann schließlich nicht entfernt werden, oder?

Autorun als Systemkomponente

Manche Bedrohungen schleusen sich in Programme ein, die Ihr Betriebssystem über Autoruns automatisch beim Hochfahren Ihres Rechners ausführt. Beenden Sie diese, und schon werden Sie mit den gefürchteten Bluescreens konfrontiert, und nichts geht mehr. Sobald Sie den Autorun-Eintrag entfernen, stellt die Malware diesen umgehend wieder her.

So beseitigt Emsisoft Infektionen

eek_lifebUm mit Malware fertig zu werden, haben wir unsere eigene ausgeklügelte Reinigungs-Engine entwickelt. Diese reinigt etwa 100 Speicherorte in der Registry und im Dateisystem, welche zum automatischen Laden von Malware beim Hochfahren des Systems Verwendung finden.

Falls eine Datei gesperrt ist, so verschiebt die Engine die Entfernung der betreffenden Malware auf den nächsten PC-Neustart, wobei die Sperrung durch die Malware verhindert wird. Zusätzlich stellt unsere Engine Standardwerte einer Reihe von Autorun-Speicherorten wieder her, die zu einem Systemcrash führen würden, wenn Sie einfach die Malware-Einträge löschten. Bei der Beseitigung wird eine Kopie jeder Bedrohung zur späteren Analyse oder Wiederherstellung in der Quarantäne gespeichert (es sei denn, Sie entscheiden sich für “Löschen” statt “Unter Quarantäne stellen”).

Was geschieht eigentlich, wenn eine Datei “unter Quarantäne gestellt wird”? Dabei wird die Datei in eine verschlüsselte, sichere Container-Datei verpackt, sodass sie keine Schäden an anderen Dateien und Anwendungen im System anrichten kann. Wir empfehlen stets die Quarantäne; denn es besteht eine geringe Wahrscheinlichkeit, dass die erkannte Datei harmlos, d. h. ein sog. Fehlalarm war oder zur späteren Untersuchung notwendig sein könnte. Unter Quarantäne gestellte Dateien können Sie nach ein paar Wochen löschen, sofern sich die Dateien als wirklich harmlos erwiesen haben.

Scannen und Reinigen von Dateien in Netzwerkfreigaben

Es ist zwar möglich, Dateien in Netzwerkfreigaben zu prüfen, die sich auf anderen Rechnern befinden, jedoch raten wir davon ab. Das mag es Ihnen zwar ersparen, sich physisch zu diesem Rechner zu begeben oder sich per Remote mit diesem zu verbinden, aber beachten Sie bitte, dass Remote-Scannen von Dateien einigen schwerwiegenden Einschränken unterliegt, die in der Natur der Sache liegen:

  • Speicher-, Rootkit- und Traces-Scans sind nicht möglich, da sie auf APIs der Betriebssystems zugreifen, die nur lokal verfügbar sind. Sie können lediglich Dateien über die Standardroutinen zum Lesen von Dateien prüfen; direkter Festplattenzugriff ist daher ebenso wenig verfügbar.
  • Die Reinigung ist gar nicht möglich, denn die Entfernung einer erkannten aktiven Malware-Datei ohne Entfernung ihrer entsprechenden Autorun-Einträge würde sehr wahrscheinlich zu einem Systemcrash führen, sodass der Rechner nicht mehr hochfährt.

Scannen und reinigen Sie daher lieber lokal. Falls Sie dazu unsere Software nicht auf dem betreffenden System installieren möchten, setzen Sie auf Emsisoft Emerngency Kit, das 100 % portabel ist und keinerlei Installation erfordert.

Ob Sie nun Antiviren-Experte oder ein normaler Internetnutzer sind: hoffentlich helfen Ihnen diese Informationen dabei, besser zu verstehen, wie die Spitzentechnologie von Emsisoft Ihren Computer effizient gegen Malware schützt.

Wir wünschen eine schöne (Malware-freie) Zeit!