Avira Support Forum

Tutorial: Konfiguration vom AntiVir-Scanner "Luke Filewalker" & anschließender vollständiger Systemscan

Die folgende Anleitung bezieht sich auf eine sinnvolle Standard-Konfiguration für den Viren-Scan mit dem AntiVir-Scanner Luke Filewalker. Diese Konfiguration erlaubt eine maximale Scan-Tiefe und meldet lediglich nach dem Scan Funde des Viren-Scanners, ohne die Funde zu löschen, in Quarantäne zu verschieben oder ähnliches.

Sollte es einmal zu Funden kommen, dann ist vor übereilten Reaktionen abzuraten!
Stattdessen empfehle ich in diesem Fall, die Funde erst einmal bei Upload-Seiten wie VirusTotal oder Jotti gegenprüfen zu lassen, um eine potentielle Fehleinschätzung von Luke Filewalker weitgehend auszuschließen.

Es empfehlt sich, das weitere Vorgehen von dieser Gegenprüfung abhängig zu machen.
Gegebenenfalls könnte/sollte z.B. in einem zweiten Schritt der Viren-Scan mit anderer Konfiguration - z.B. bei "Aktion bei Fund" mit der Einstellung "interkativ"/"kombiniert (Experte)" - wiederholt werden.
In Zweifelsfällen (oder bei Unsicherheit) darüber, wie mit den Funden zu verfahren ist, empfehle ich, hier im Forum nachzufragen.


Hinweis: Die "vollständige Systemprüfung" ignoriert leider einige der Benutzereinstellungen und ist letzlich nicht so gründlich, wie die beiden von mir empfohlenen Scans mit den Scanprofilen "Lokale Laufwerke" und "Suche nach Rootkits". Daher rate ich davon ab, die "vollständige Systemprüfung" einzusetzen, sondern empfehle stattdessen, die Scans, wie im Folgenden beschrieben, durchzuführen.




Scanne Deinen Rechner mit AntiVir mit folgenden Einstellungen
(- Funde bitte zunächst nicht löschen, sondern uns bitte nur das Ergebnis posten!):

1.
Einstellungen:
(Hinweis: Diese Einstellungen sind generell empfehlenswert.*)

Update zunächst AntiVir und konfiguriere AntiVir so, dass...

• I.)
  1. ...der Expertenmodus (1) aktiviert wird,
     
  2. AntiVir alle Dateien (2) durchsucht,
     
  3. AntiVir Bootsektoren (3) durchsucht
     
  4. und AntiVir Masterbootsektoren (3) durchsucht,
     
  5. AntiVir keinen symbolischen Verknüpfungen folgt (3)
     
  6. und dass AntiVir Offline-Dateien nicht ignoriert (3)!
     
  7. Konfiguriere Antivir ferner nach Möglichkeit so, soweit diese Option vorhanden ist, dass AntiVir nach Rootkits sucht (3) (- diese Option wird für Windows XP-x64 und Windows Vista-x64 nicht angeboten -),
     
  8. und eine Integritätsprüfung von Systemdateien erfolgt (3) (- diese Option wird nur für Windows Vista (und dort auch nur bei der Version 9 von AntiVir) angeboten)!
     (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• II.)
  ...die Funde des Scanners ignoriert werden (4) + (5)
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• III.)
  ...alle Archivtypen ohne Einschränkung der Rekursionstiefe und mit aktivierten Smart Extensions durchsucht werden (6)
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• IV.)
  ...keine Ausnahmen beim Scannen gemacht werden (7)
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
• V.)...die Dateiheuristik auf höchster Stufe und die Makrovirenheuristik eingeschaltet sind (8) + (9) + (10)
  (Gilt für Version 9 von AntiVir.)
  (Klick auf das Bild, um es zu vergrößern!)
  
  (Gilt für Version 8 von AntiVir.)
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• VI.)
  ...nach allen* erweiterten Gefahrenkategorien gesucht wird (11)
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• VII.)
  ...dass die "Standard"-Protokollierung verwendet wird (12) !!!
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• VIII.)
  ...dass die Ereignisse (13) und Berichte (14) nach jeweils 90 Tagen gelöscht werden!
  (Ereignisse)
  (Klick auf das Bild, um es zu vergrößern!)
  
  (Berichte)
  (Klick auf das Bild, um es zu vergrößern!)
  

2.
Erster Scan (Lokale Laufwerke):

• I.)
  Starte nach dem Konfigurieren des Virenscanners nun das Hauptprogramm von AntiVir per Doppelklick auf das Tray-Icon (Regenschirmchen) von AntiVir, welches sich unten rechts in der Trayleiste befindet!
  (Klick auf das Bild, um es zu vergrößern!)
  (...oder starte AntiVir per Klick mit rechter Maustaste auf das Trayicon -> Klick mit linker Maustaste auf "AntiVir starten"!
  (...oder über "Start" (unten links in der Taskleiste) -> "Programme" -> "AntiVir..." -> "AntiVir starten"!))
  
  
  
  
• II.)
  Wichtig! Mache zunächst ein Update ("Update starten")!
  
  
  
  
• III.)
  Scanne anschließend den kompletten Rechner, indem Du im Hauptprogramm von AntiVir unter
  "Lokaler Schutz" (1) -> Prüfen (2) das Prüfprofil "Lokale Laufwerke" (3) auswählst und dann auf das Lupensymbol (4) klickst!
  (Klick auf das Bild, um es zu vergrößern!)
  Bei Vista-Systemen musst Du den Scan als Administrator durchführen! Wähle dafür das Lupensymbol mit dem Wappen aus!
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• IV.)
  Nach dem Scan wähle "Report"! Diesen Report in Deinem Thread bitte vollständig per Copy & Paste posten!
  (Achtung! Entferne ggf. den Benutzernamen & Computernamen aus Deinen Logfiles, falls diese Rückschlüsse auf Deine Person zulassen würden! Falls Du eine kostenpflichtige Version von AntiVir nutzen solltest, entferne bitte in Deinem eigenen Interesse beim Posten der Logfiles Deinen Namen und die AntiVir-Seriennummer aus Deinen Logfiles!)

3.
Zweiter Scan (Suche nach Rootkits):
(Hinweis: Dieser Scan wird einer der 64-bit-Version von Windows nicht angeboten.)

• I.)
  Mache schließlich einen gründlichen Rootkitscan mit AntiVir, indem Du im Hauptprogramm von AntiVir unter
  Lokaler Schutz (1) -> Prüfen (2) das Prüfprofil "Suche nach Rootkits" anklickst (3), so dass es blau markiert ist, beim Prüfprofil alle aufgeführten Laufwerke (4) auswählst (- mit Klick auf das Plus-Symbol links neben dem Suchprofilnamen "Suche nach Rootkits" klappt das Auswahlmenü der auswählbaren Laufwerke aus -) und dann auf das Lupensymbol (5) klickst!
  (Klick auf das Bild, um es zu vergrößern!)
  Bei Vista-Systemen musst Du den Scan als Administrator durchführen! Wähle dafür das Lupensymbol mit dem Wappen aus!
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• II.)
  Wichtig:
  Sobald während des Rootkit-Scans die Frage erscheint, ob der Suchlauf über die Systempartition gestartet werden soll, beantworte diese Frage mit "Nein"!
  (Klick auf das Bild, um es zu vergrößern!)
  
  
  
  
• III.)
  Nach dem Scan wähle "Report"! Diesen Report in Deinem Thread vollständig per Copy & Paste posten!
  (Achtung! Entferne ggf. den Benutzernamen & Computernamen aus Deinen Logfiles, falls diese Rückschlüsse auf Deine Person zulassen würden! Falls Du eine kostenpflichtige Version von AntiVir nutzen solltest, entferne bitte in Deinem eigenen Interesse beim Posten der Logfiles Deinen Namen und die AntiVir-Seriennummer aus Deinen Logfiles!)

Fußnote
*: Die Konfiguration des Anzeigens aller "erweiterter Gefahrenkategorien" statt der voreingestellten Gefahrenkategorien ist natürlich nicht ohne Grund optional. (Das Deaktivieren der einen oder anderen Gefahrenkategorie könnte bei manchem Anwender durchaus angebracht sein.)
Aber dennoch ist es grundsätzlich empfehlenswert, sich Anwendungen, deren Nutzung mit einem Risiko verbunden sein können oder die von fragwürdiger Herkunft sind, anzeigen zu lassen. Man muss diese Funde halt nur als das interpretieren, was sie sind: Als Dateien, die mit einem Sicherheitsrisko verbunden sein könnten. (Näheres zu den "erweiterte Gefahrenkategorien" erfährst Du in der Hilfe von AntiVir bzw. hier.)
Insbesbesondere die Gefahrenkategorie "Ungewöhnliche Laufzeitpacker" sollte m.E. neben den bereits voreingestellten Gefahrenkategorien unbedingt aktiviert sein.

Die Kategorie "GAMES" ist dagegen verzichtbar. Mit Aktivieren dieser Kategorie werden auch lediglich bestimmte (- aber ungefährliche -) auf dem Computer befindliche Computerspiele angezeigt. Diese Kategorie ist wohl eher für Firmen-Administratoren, die verhindern wollen, dass die Mitarbeiter während der Arbeit Computerspiele spielen, interessant.

Konfigurationshinweise für AntiVir und empfohlene Reaktionen bei Schädlingsmeldungen
Konfiguriere AntiVir so, dass es von sich aus nie etwas löscht!
(Hilfestellung bekommst Du bei Nachfrage Deinerseits hier im Board.)
Ich rate ebenfalls vom Verschieben in die Quarantäne ab! Eine Kopie in die Quarantäne zu kopieren, ist legitim und auch sinnvoll - aber eben nicht das Verschieben in die Quarantäne!

Für den Scanner (Luke Filewalker) reicht es, "Ignorieren" als Voreinstellung zu wählen!
(Allenfalls wären als Voreinstellung noch "Reparieren" und/oder "Umbenennen" eine Alternative, doch auch dazu kann ich nicht raten!)
Man kann nach gründlicher Analyse eines Alarms diesen dann immer noch manuell löschen (bzw. umbenennen)!
(Siehe für weitere Hinweise zum Scanner (Luke Filewalker) hier!)

Für den Guard ist "Interaktiv" eine empfehlenswerte Voreinstellung!
Schlägt der Guard einmal Alarm, so ist "Zugriff verweigern" eine sinnvolle erste Reaktion!
Ist man 100%ig sicher, dass die Datei, auf die zugegriffen wird, harmlos ist, so kann man auch "Ignorieren" wählen (und die Datei ggf. danach temporär auf die Ausnahmeliste des Wächters setzen)!
Bei echten "Viren" wie Fileinfector-Viren ist evtl. "Reparieren" eine gute Reaktion.
(Ansonsten wäre bei Schädlingsalarmen des Wächters (nach "Zugriff verweigern" bzw. "Reparieren") die Alternative "Umbenennen" eine vorstellbare Reaktion. Doch hier sollte man wissen, was man tut!)
"Löschen" oder gar "Überschreiben und löschen" sind jedoch m.E. Reaktionen, die i.d.R. nicht zu empfehlen sind - es sei denn, man ist fortgeschrittener Anwender (oder gar Experte) und weiß genau, was man da tut!
(In Ausnahmefällen wäre evtl. noch die Reaktion "In Quarantäne verschieben" eine vorstellbare Alternative. Doch auch hier sollte man genau wissen, was man tut!)

Für den den MailGuard, mit dem die kostenpflichtigen Versionen von AntiVir ausgestattet sind, ist "Email in Quarantäne verschieben" (bzw. "Email isolieren") eine empfehlenswerte Konfigurationseinstellung!
Sollte der MailGuard mal Alarm schlagen, so ist die betreffene Mail dann aber unbedingt unverzüglich näher zu untersuchen!
(Näheres dazu kannst Du bei Bedarf Deinerseits jederzeit hier im Forum erfahren.)
Ggf. muss dann auf Grund dieser Untersuchung die betreffende Mail bzw. der betreffende Mailanhang gelöscht werden! Ggf. könnte diese Untersuchung aber auch ergeben, dass die Mail (bzw. evtl. auch der Mailanhang) wiederhergestellt und geöffnet werden kann.
Bis diese Untersuchung abgeschlossen ist, sollte die Mail jedoch keinesfalls gelöscht oder geöffnet werden!
"Email löschen" und "Email ignorieren" sind jedoch m.E. Konfiguratioseinstellungen, die ich nicht empfehlen kann - es sei denn, man ist fortgeschrittener Anwender (oder gar Experte) und weiß genau, was man da tut.
(Auch die Konfigurationseinstellung "Interaktiv" kann ich beim MailGuard nur Anwendern empfehlen, die genau wissen, was sie tun.)

Für den den WebGuard, mit dem die kostenpflichtigen Versionen von AntiVir ausgestattet sind, ist "Isolieren" eine empfehlenswerte Konfigurationseinstellung! Ferner empfehle ich das erweiterte Blockieren von I-Frames (- wird nicht in der Version 8 von AntiVir angeboten).
Sollte der WebGuard mal Alarm schlagen, so empfiehlt sich eine Überprüfung des betreffenden Alarms.
(Näheres dazu kannst Du bei Bedarf Deinerseits jederzeit hier im Forum erfahren.)
Wenn die Untersuchung ergeben hat, dass die Web-Datei, auf die zugegriffen wird, harmlos ist, und die betreffende Website grundsätzlich als vertrauenswürdig eingestuft wird, so kann man die URL der Website ggf. bis zur Behebung des Fehlalarms auf die Ausnahmeliste des WebGuards setzen.


Mach Dir bewusst: "Umbenennen", "In Quarantäne verschieben", "Löschen" oder gar "Überschreiben und löschen" sind Optionen bzw. Reaktionen, die unter Unständen das System in einen nicht-gebrauchsfähigen Zustand versetzen können!

(Hinweis: Im Gegensatz zum Scanner ("Luke Filewalker") oder dem Guard können der MailGuard und der WebGuard jedoch das System beim Isolieren eines Fundes nicht beschädigen. Andererseits wird beim Isolieren ein Ausführen von potentiellem Schadcode erfolgreich verhindert. Ferner können die Funde beim MailGuard und beim WebGuard nach dem Isolieren jederzeit überprüft und ggf. als Fehlalarm gemeldet werden. Desweiteren könnte eine Mail jederzeit bei entsprechendem Untersuchungsergebnis wiederhergestellt werden. Außerdem könnte jederzeit bei entsprechendem Untersuchungsergebnis vorübergehend eine den WebGuard betreffende Ausnahme bis zum Beheben des Fehlalarms erstellt werden.
Man ist also mit der Konfigurationseinstellung "Email in Quarantäne verschieben" (bzw. "Email isolieren") beim MailGuard und mit der Konfigurationseinstellung "Isolieren" beim WebGuard in allen Fällen auf der sicheren Seite.)




Weitere Konfigurationsempfehlungen
(für alle Versionen von AntiVir)

• Du solltest auch für den Guard (sowie für den MailGuard und den WebGuard) die höchste Heuristikstufe wählen! (Bei extrem langsamen Rechnern kann man evtl. darüber nachdenken, die mittlere Heuristikstufe zu verwenden. Doch dies setzt die Gründlichkeit des Wächters hinab und ist m.E. daher allenfalls bei extrem langsamen Rechnern überlegenswert.)
  (Um ein Bild zu vergrößern, klicke es an!)
  
  
• Auch der Guard sollte alle Dateien überprüfen! (Bei extrem langsamen Rechnern kann man evtl. darüber nachdenken, die intelligente Dateiauswahl zu verwenden. Doch dies setzt die Gründlichkeit des Wächters hinab und ist daher allenfalls bei extrem langsamen Rechnern überlegenswert.)
  (Siehe nächste Abbildung!)
  
  
• Der Guard sollte ferner sowohl beim Lesen als auch beim Schreiben durchsuchen! (Bei extrem langsamen Rechnern kann man evtl. darüber nachdenken, den Guard nur beim Lesen durchsuchen zu lassen. Doch dies setzt die Gründlichkeit des Wächters hinab und ist daher allenfalls bei extrem langsamen Rechnern überlegenswert.)
  (Siehe nächste Abbildung!)
  
  
• Der Guard sollte auch Archive untersuchen (- zumindest kleine Archive bis zur Rekusionstiefe 1
  
  - je größer die maximale Größe der Archive, die eingestellt ist, desto sicherer; allerdings muss man bei großen Werten beim Öffnen/Entpacken großer Archive mit langen Wartezeiten rechnen! Je langsamer ein Rechner ist, desto kleiner sollte die maximale Archivgröße eingestellt werden! Bei extrem langsamen Rechnern kann man evtl. sogar darüber nachdenken, beim Guard auf das Durchsuchen von Archiven ganz zu verzichten. Doch dies setzt die Gründlichkeit des Wächters hinab und ist daher allenfalls bei extrem langsamen Rechnern überlegenswert)!
  
  
• Die Rekursionstiefe des Guards sollte m.E. auf den Wert 1 eingestellt sein.
  
  
• Die maximale Anzahl von Dateien im Archiv sollte beim Guard m.E. nicht kleiner eingestellt werden als in der Voreinstellung!
  
  
• Auch beim Guard (sowie beim MailGuard und beim WebGuard) sollten bei den Ausnahmen keine Ausnahmen eingetragen sein!
  
  
  
• Unter Allgemeines -> Sicherheit sollte unbedingt der Produktschutz (Prozesse sowie Dateien und Registrierungseinträge) aktiviert sein und es sollte ein Hinweis bei veralterter Virendefinitionsdatei angezeigt werden! Außerdem empfehle ich, die Sicherheitseinstellungen so zu konfigurieren, dass eine Warnung ausgegeben wird, falls das Update älter als 2 Tage ist, und dass nach spätestens 7 Tagen der Status der vollständigen Systemprüfung gelb und nach spätestens 14 Tagen rot wird.
  
  
  
• Ferner empfehle ich Besitzern der Avira Premium Security Suite, den AntiBot-Schutz zu aktivieren. Dazu muss beim MailGuard das Durchsuchen ausgehende Emails aktiviert sein und in der Rubrik AntiBot bei Erlaubter Server der SMTP-Server Deines Mail-Providers sowie unter Erlaubter Absender Deine Emailadresse eingetragen sein.
  
  
• Schließlich empfehle ich allen Besitzern kostenpflichtiger Versionen von AntiVir, in der Rubrik "Gesperrte Zugriffe" des WebGuards den Web-Filter und alle Rubriken des Web-Filters zu aktivieren.

Konfigurationshilfe für Guard, Mailguard und Webguard
Hinweis: Diese Konfiguration ist nur in den kostenpflichtigen Versionen von AntiVir einstellbar bzw. notwendig.

• Rechte Maustaste auf das AntiVir-Tray-Icon (Regenschirmchen)!
  
  
• "AntiVir konfigurieren" wählen!
  
  
• Es erscheint das Konfigurationsmenü. Dort links oben bei "Expertenmodus" ein Häkchen setzen!
  
  
• In der linken Leiste "Guard" -> "Suche" -> "Aktion bei Fund" wählen! (Dazu muss ggf. das Plus-Symbol links neben "Guard" bzw. "Suche" angeklickt werden, so dass es sich in ein Minus-Symbol verwandelt und der Pfad weiter aufklappt.)
  
  
• Bei "Aktion bei Fund" einen Punkt bei "Interaktiv" setzen (und mit Klick auf "Übernehmen" die Änderung bestätigen, soweit diese Schaltfläche vorhanden ist)!
  (Um ein Bild zu vergrößern, klicke es an!)
  
  
• In der linken Leiste "MailGuard" -> "Suche" -> "Aktion bei Malware" wählen! (Dazu muss ggf. das Plus-Symbol links neben "MailGuard" bzw. "Suche" angeklickt werden, so dass es sich in ein Minus-Symbol verwandelt und der Pfad weiter aufklappt.)
  
  
• Bei "Aktion bei Malware" einen Punkt bei "Automatisch" setzen und bei "Betroffenden Emails" die Option "Email in Quarantäne verschieben" (bzw. "Email isolieren") wählen! Dann mit Klick auf "Übernehmen" die Änderung bestätigen, soweit diese Schaltfläche vorhanden ist!
  (Gilt für Version 9 von AntiVir.)
  
  (Gilt für Version 8 von AntiVir.)
  
  
• In der linken Leiste "WebGuard" wählen!
  
  
• Bei "WebGuard aktivieren" sowie "Verdächtige I-Frames blockieren" jeweils ein Häkchen setzen und bei "Erweitert" einen Punkt setzen! Dann mit Klick auf "Übernehmen" die Änderung bestätigen, soweit diese Schaltfläche vorhanden ist! (Diese Option wird in der Version 8 von AntiVir nicht angeboten.)
  
  
  
• In der linken Leiste "WebGuard" -> "Suche" -> "Aktion bei Fund" wählen! (Dazu muss ggf. das Plus-Symbol links neben "WebGuard" bzw. "Suche" angeklickt werden, so dass es sich in ein Minus-Symbol verwandelt und der Pfad weiter aufklappt.)
  
  
• Bei "Aktion bei Fund" einen Punkt bei "Automatisch" setzen und bei "Primäre Aktion" die Option "isolieren" wählen! Dann mit Klick auf "Übernehmen" die Änderung bestätigen, soweit diese Schaltfläche vorhanden ist!
  
  
  
• Mit Klick auf "OK" die Änderung bestätigen!

Es wäre evtl. auch für den Guard eine Alternative, folgende Konfiguration zu wählen (- auf eigene Verantwortung! Hinweis: Diese Konfiguration ist nur in den kostenpflichtigen Versionen von AntiVir einstellbar.):

• Rechte Maustaste auf das AntiVir-Tray-Icon (Regenschirmchen)!
  
  
• "AntiVir konfigurieren" wählen!
  
  
• Es erscheint das Konfigurationsmenü. Dort links oben bei "Expertenmodus" ein Häkchen setzen!
  
  
• In der linken Leiste "Guard" - > "Suche" -> "Aktion bei Fund" wählen! (Dazu muss ggf. das Plus-Symbol links neben "Suche" angeklickt werden, so dass es sich in ein Minus-Symbol verwandelt und der Pfad weiter aufklappt.)
  
  
• Bei "Aktion bei Fund" einen Punkt bei "Automatisch" setzen!
  
  
• Ein Häkchen bei der Option "Datei vor Aktion in Quarantäne kopieren" setzen!
  
  
• Bei "Primäre Aktion" die Option "reparieren" wählen!
  
  
• Bei "Sekundäre Aktion" die Option "Zugriff verweigern" wählen!
  (Um ein Bild zu vergrößern, klicke es an!)
  
  
• Mit Klick auf "OK" Änderungen bestätigen!

Falls Du auf Grund dieser alternativen Einstellungen in eine Schleife geraten solltest, aus der Du aus eigener Kraft nicht mehr herauskommst, so solltest Du *imho* notfalls das System im abgesicherten Modus von Windows starten und dort die Konfiguration des Guards wieder auf "Interaktiv" stellen können. Du erreichst im abgesicherten Modus von Windows die Konfiguration von AntiVir meines Erachtens u.a. über die Datei "avconfig.exe", die sich im Programm-Ordner von AntiVir befindet. Du kannst im abgesicherten Modus m.E. aber auch AntiVir über Start -> Programme starten und dort mit der F8-Taste die Konfiguration starten.