Symantec AntiVirus Client-Handbuch

Transkript

1 Symantec AntiVirus Client-Handbuch

2 Symantec AntiVirus Client-Handbuch Die in diesem Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentationsversion 10.0 Copyright Copyright 2005 Symantec Corporation. Alle Rechte vorbehalten. Jegliche technische Dokumentation, die von Symantec Corporation zur Verfügung gestellt wird, ist Eigentum der Symantec Corporation und von dieser urheberrechtlich geschützt. KEINE GEWÄHRLEISTUNG. Die technische Dokumentation wird OHNE MÄNGEL- GEWÄHR geliefert. Die Symantec Corporation übernimmt keinerlei Garantie für die Genauigkeit oder Verwendbarkeit der Dokumentation. Die Verwendung der technischen Dokumentation und der darin enthaltenen Informationen erfolgt auf Risiko des Benutzers. Die Dokumentation kann Ungenauigkeiten technischer oder anderer Art sowie typografische Fehler enthalten. Symantec behält sich das Recht vor, Änderungen ohne vorherige Ankündigung vorzunehmen. Kein Teil dieser Veröffentlichung darf ohne ausdrückliche schriftliche Genehmigung der Symantec Corporation, Stevens Creek Blvd., Cupertino, CA 95014, USA, kopiert werden. Marken Symantec, das Symantec-Logo, LiveUpdate, Norton AntiVirus und Norton SystemWorks sind in den USA eingetragene Marken der Symantec Corporation. Norton Internet Security, Norton Personal Firewall, Symantec AntiVirus, Symantec Client Firewall, Symantec Client Security, Symantec Desktop Firewall, Symantec Enterprise Security Architecture, Symantec Packager, Symantec Security Response und Symantec System Center sind Marken der Symantec Corporation. Andere in diesem Handbuch erwähnte Marken- und Produktnamen sind Marken der jeweiligen Rechtsinhaber und werden hiermit anerkannt.

3 Inhalt Kapitel 1 Kapitel 2 Einführung in Symantec AntiVirus Allgemeines zu Symantec AntiVirus... 7 Allgemeines zur Aktualisierung von Einzelplatz-Computern... 8 Allgemeines zu Remote-Computern, die mit einem Unternehmensnetzwerk verbunden sind... 9 Was sind Viren?... 9 Wie sich Viren verbreiten Virusarten Allgemeines zum Master-Boot-Sektor Allgemeines zu Sicherheitsrisiken Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Wie Symantec AntiVirus Ihren Computer schützt Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Allgemeines zur Rolle von Symantec Security Response Schutz vor Viren und Sicherheitsrisiken aktualisieren Grundlagen von Symantec AntiVirus Allgemeines zur Content-Lizenzierung Eine Content-Lizenz auf einem nicht verwalteten Client installieren Öffnen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Kategorien von Symantec AntiVirus anzeigen Aktivieren und Deaktivieren von Auto-Protect Unterbrechung und Verzögerung von Prüfungen Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Aktualisierungen mit LiveUpdate planen Schutz sofort mit LiveUpdate aktualisieren Virenschutz ohne LiveUpdate aktualisieren Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter In Weitere Informationen Auf die Online-Hilfe zugreifen Auf die Website von Symantec Security Response zugreifen... 38

4 4 Inhalt Kapitel 3 Kapitel 4 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Was geprüft werden soll Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Verwenden von Auto-Protect Allgemeines zu Auto-Protect und Sicherheitsrisiken Auto-Protect und -Prüfung Prüfung für SSL-Verbindungen deaktivieren Anzeigen der Auto-Protect-Prüfungsstatistik Auto-Protect ändern und SmartScan verwenden Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren Verwenden des Manipulationsschutzes Manipulationsschutz aktivieren, deaktivieren und konfigurieren Meldungen für den Manipulationsschutz erstellen Prüfung auf Viren und andere Sicherheitsrisiken Erkennung von Viren und Sicherheitsrisiken durch Symantec AntiVirus Was passiert bei einer Prüfung Allgemeines zu Definitionsdateien Prüfung von komprimierten und kodierten Dateien Manuelle Prüfungen starten Konfigurieren der Prüfung Geplante Prüfungen erstellen Startprüfungen erstellen Benutzerdefinierte Prüfungen erstellen Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen Aktionen für Viren und Sicherheitsrisiken konfigurieren Benachrichtigungen für Viren und Sicherheitsrisiken konfigurieren Interpretieren von Prüfergebnissen Ausschluss von Dateien von der Prüfung Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Aktionen zur Behandlung infizierter Dateien Durch Viren verursachte Schäden Allgemeines zum Quarantänebereich Vireninfizierte Dateien in den Quarantänebereich verschieben... 79

5 Inhalt 5 Durch Sicherheitsrisiken infizierte Dateien im Quarantänebereich belassen Vireninfizierte Dateien im Quarantänebereich löschen Durch Sicherheitsrisiken infizierte Dateien aus dem Quarantänebereich löschen Umgang mit isolierten Dokumenten Dateien und Dateiinformationen im Quarantänebereich anzeigen Dateien im Quarantänebereich erneut auf Viren prüfen Wiederherstellen von Dateien ist am ursprünglichen Ablageort nicht möglich Backup-Elemente löschen Dateien aus dem Quarantänebereich löschen Dateien im Quarantänebereich, im Ordner "Backup-Elemente" und im Ordner "Reparierte Elemente" automatisch löschen Potenziell infizierte Dateien an Symantec Security Response senden Anzeigen des Ereignisprotokolls Ereignisse im Ereignisprotokoll filtern Elemente aus dem Ereignisprotokoll löschen Datenexport in.csv-dateien Index Lösungen für Service und Unterstützung

6

7 Kapitel 1 Einführung in Symantec AntiVirus Dieses Kapitel enthält folgende Themen: Allgemeines zu Symantec AntiVirus Was sind Viren? Allgemeines zu Sicherheitsrisiken Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Wie Symantec AntiVirus Ihren Computer schützt Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Allgemeines zu Symantec AntiVirus Bei Ihrer Version von Symantec AntiVirus handelt es sich entweder um eine Einzelplatzinstallation oder um eine zentral verwaltete Installation. Bei Einzelplatzversionen wird die Symantec AntiVirus-Software nicht von einem Netzwerkadministrator verwaltet. Wenn Sie Ihren eigenen Computer verwalten, muss es sich um einen der folgenden Typen handeln: Ein Einzelplatz-Computer, der nicht mit einem Netzwerk verbunden ist, z. B. ein Privat-Computer oder ein eigenständiger Laptop mit einer Symantec AntiVirus-Installation, die entweder die Standardeinstellungen oder die vom Administrator festgelegten Einstellungen verwendet Ein mit Ihrem Unternehmensnetzwerk verbundener Remote-Computer, der vor dem Herstellen der Verbindungen Sicherheitsanforderungen erfüllen muss

8 8 Einführung in Symantec AntiVirus Allgemeines zu Symantec AntiVirus Die Standardeinstellungen für Symantec AntiVirus bieten umfassenden Schutz vor Viren und Sicherheitsrisiken für Ihren Computer. Sie können die Einstellungen jedoch ändern, um sie an Ihre Unternehmensanforderungen anzupassen, um die Systemleistung zu optimieren oder um Optionen zu deaktivieren, die Sie nicht verwenden möchten. Wenn Ihre Installation von einem Administrator verwaltet wird, sind einige Optionen möglicherweise gesperrt bzw. nicht verfügbar oder sie werden gar nicht angezeigt, je nach der vom Administrator festgelegten Sicherheitsrichtlinie. Der Administrator kann Prüfungen auf Ihrem Computer durchführen und geplante Prüfungen einrichten. Ihr Administrator kann Ihnen mitteilen, welche Schritte Sie mit Symantec AntiVirus ausführen sollen. Hinweis: Optionen, die mit einem Vorhängeschlosssymbol angezeigt werden, sind nicht verfügbar, weil sie vom Administrator gesperrt worden sind. Sie können diese Optionen nur ändern, wenn der Administrator die Sperre aufhebt. Allgemeines zur Aktualisierung von Einzelplatz-Computern Einzelplatz-Computer können mit dem Internet verbunden werden. In der Dokumentation zu Symantec AntiVirus hat der Begriff "Einzelplatz" eine weitere Bedeutung. Einzelplatz-Computer sind nicht mit einem Server verbunden. Sie erhalten folglich weder aktualisierte Definitionsdateien für Viren und Sicherheitsrisiken noch aktualisierte Programmdateien vom Server und können nicht mithilfe des Administratorprogramms von Symantec System Center verwaltet werden. Wenn Sie Symantec AntiVirus auf einem Einzelplatz-Computer installieren, müssen Sie die Aktualisierung der Definitionsdateien für Viren und Sicherheitsrisiken selbst durchführen. Neue Definitionsdateien sind mehrmals im Monat bei Symantec erhältlich. Wenn die Definitionsdateien ersetzt werden müssen, werden Sie benachrichtigt. Sie können die Definitionsdateien für Viren und Sicherheitsrisiken mit LiveUpdate aktualisieren. LiveUpdate lädt automatisch die neuen Virendefinitionsdateien von der Symantec-Website herunter und ersetzt die veralteten Virendefinitionsdateien im Symantec AntiVirus-Ordner. Hierzu ist eine Modemoder Internet-Verbindung erforderlich. Siehe "Schutz sofort mit LiveUpdate aktualisieren" auf Seite 34.

9 Einführung in Symantec AntiVirus Was sind Viren? 9 Allgemeines zu Remote-Computern, die mit einem Unternehmensnetzwerk verbunden sind Was sind Viren? Remote-Computer sind mit einem Unternehmensnetzwerk verbunden. Sie erhalten folglich sowohl aktualisierte Definitionsdateien für Viren und Sicherheitsrisiken als auch Programmdateien-Updates vom Server und können mithilfe des Administratorprogramms von Symantec System Center verwaltet werden. Systemadministratoren können festlegen, dass Remote-Computer, die eine Verbindung zu einem Unternehmensnetzwerk herstellen, einige Sicherheitsanforderungen erfüllen, beispielsweise, dass auf dem Computer Symantec AntiVirus mit den aktuellsten Definitionsdateien für Viren und Sicherheitsrisiken ausgeführt wird, bevor dieser eine Verbindung zum Netzwerk herstellen kann. Solange der Computer die Sicherheitsanforderungen nicht erfüllt, kann ihm der Zugriff auf das Netzwerk verweigert werden. Ein Virus ist ein Computerprogramm, das sich bei seiner Ausführung als Kopie an ein anderes Computerprogramm oder Dokument anhängt. Immer wenn ein solches infiziertes Programm ausgeführt bzw. ein Dokument mit einem Makrovirus geöffnet wird, wird das angehängte Virenprogramm aktiviert und an weitere Programme und Dokumente angehängt. Viren haben üblicherweise eine schädliche Wirkung, z. B. können sie an einem bestimmten Tag eine Nachricht anzeigen. Einige Viren sind speziell dafür programmiert, Daten durch Zerstörung von Programmen, Löschen von Dateien oder Neuformatierung von Datenträgern zu beschädigen. Ein Wurm ist ein spezieller Typ von Virus, der sich selbst von einem Computer auf einen anderen repliziert und Speicher in Anspruch nimmt. Würmer existieren in der Regel innerhalb anderer Dateien, z. B. in Microsoft Word- oder Excel- Dokumenten. Ein Wurm kann ein Dokument in Umlauf bringen, das das Wurm- Makro bereits enthält. Bei komplexen Sicherheitsbedrohungen handelt es sich um Bedrohungen, die die Merkmale von Viren, Würmern, Trojanischen Pferden und bösartigem Code mit Server- und Internet-Anfälligkeiten kombinieren, um einen Angriff zu initiieren, zu übertragen und zu verbreiten. Komplexe Angriffsformen verwenden mehrere Methoden und Techniken, um sich schnell auszubreiten und anzugreifen, und verursachen umfangreiche Schäden innerhalb eines Netzwerks. Im Kontext von Symantec AntiVirus wird der Begriff "Virus" für jede Form von bösartigem Code verwendet. Symantec AntiVirus kann Viren erkennen, löschen und isolieren und deren Nebeneffekte reparieren.

10 10 Einführung in Symantec AntiVirus Was sind Viren? Wie sich Viren verbreiten Ein Sicherheitsrisiko ist ein bekanntes Programm, das einer Kategorie wie Adware oder Spyware angehört und ein Risiko für die Sicherheit Ihres Computers darstellen könnte. Symantec AntiVirus kann die Nebeneffekte der Sicherheitsrisiken der folgenden Kategorien erkennen, isolieren und reparieren. Siehe "Allgemeines zu Sicherheitsrisiken" auf Seite 12. Viren können sich über jedes Netzwerk, Modem oder magnetische Speichermedium verbreiten. Die meisten Boot-Sektor-Viren können sich nur über Disketten ausbreiten. Besonders schwer zu verfolgen sind hybride Viren. Sie können sich in Form von Dateiviren verbreiten, Boot-Sektoren infizieren und durch Disketten übertragen werden. Die rasante Entwicklung im Bereich der Firmennetzwerke, des Internets und des Mediums hat dazu geführt, dass Viren sich erheblich schneller als bisher ausbreiten können. Ein räumlich begrenzter Virenbefall kann sich schnell auf andere Firmenbereiche oder in andere Regionen der Erde ausbreiten, wenn infizierte Dateien per versandt werden. Die größte Infektionsgefahr erwächst aus Dateien, die im Netzwerk freigegeben, dann geöffnet und von vielen Benutzern verwendet werden. Virusarten Viren werden anhand ihrer bevorzugten Infektionsziele und der Mechanismen klassifiziert, die sie zur Tarnung einsetzen. Die allgemeinen Virustypen werden durch den Bereich des Computers definiert, den sie infizieren, z. B. Boot-, Dateiund Makroviren. Auch so genannte Würmer und Trojanische Pferde gelten als destruktiver Code. Im Gegensatz zu Viren können sich diese destruktiven Codeformen jedoch nicht selbst reproduzieren. Boot-Sektor-Viren Boot-Sektor-Viren schreiben Anweisungen in die Boot-Sektoren von Disketten oder in den Boot-Sektor bzw. Partitionssektor (Master-Boot-Sektor, MBR) einer Festplatte. Boot-Sektor-Viren gehören zu den effizientesten Viren.

11 Einführung in Symantec AntiVirus Was sind Viren? 11 Wenn der Computer von einer infizierten Diskette gestartet wird, infiziert der Virus die Festplatte und lädt seinen Code in den Arbeitsspeicher. Die Diskette muss keine Startdiskette sein, damit der Virus sich verbreiten kann. Der Virus bleibt speicherresident und infiziert alle Disketten, auf die im weiteren Verlauf zugegriffen wird. Eine Diskette oder Festplatte, deren Boot-Sektor infiziert ist, überträgt den Virus nur dann auf Dateien, wenn es sich um einen Hybridvirus handelt. Ein echter Boot-Sektor-Virus kann im Netzwerk keine Server infizieren. Siehe "Allgemeines zum Master-Boot-Sektor" auf Seite 12. Dateiviren Dateiviren infizieren ausführbare Dateien (z. B. vom Typ.COM,.EXE oder.dll), indem sie Anweisungen in die Ausführungssequenz der Datei schreiben. Beim Ausführen der infizierten Datei führen die eingefügten Anweisungen den Viruscode aus. Nach Ausführung des Viruscodes wird die Ausführungssequenz der Datei normal fortgesetzt. Dies alles passiert so schnell, dass der Benutzer die Ausführung des Virus nicht bemerkt. Es gibt drei Unterklassifizierungen für Dateiviren: Speicherresident: Viren dieses Typs bleiben nach Ausführung des Viruscodes als speicherresidentes Programm (TSR-Programm) aktiv und infizieren normalerweise alle ausgeführten Dateien. Direkte Aktion: Viren dieses Typs führen lediglich ihren Code aus, infizieren andere Dateien und entladen sich anschließend. Begleitviren: Viren dieses Typs hängen sich an Programmdateien an, ohne diese zu ändern. Ein solcher Virus kann beispielsweise eine Begleitdatei mit dem Namen WORD.COM für die Datei WORD.EXE erzeugen. Beim Start von Word wird zunächst die infizierte Datei WORD.COM mit den Virusaktivitäten und anschließend die Datei WORD.EXE ausgeführt. Die von Dateiviren verursachten Schäden reichen von Meldungen bis hin zur Datenzerstörung. Makroviren Im Gegensatz zu anderen Viren infizieren Makroviren keine Programme, sondern Dokumente. Viele Makroviren infizieren Dokumente, die mit Textverarbeitungsprogrammen (z.b. Microsoft Word, Lotus AmiPro ) oder mit Tabellenkalkulationsprogrammen (z.b. Microsoft Excel) erstellt wurden. In Word dienen Makros beispielsweise zum Formatieren von Text oder zum Öffnen und Schließen von Dokumenten. Makroviren können in Word erstellte Makros so verändern, dass sie schädlich werden und z.b. Standardeinstellungen in Word überschreiben oder umdefinieren.

12 12 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken Die von Makroviren verursachten Schäden reichen von willkürlich in Dokumente eingefügten Text bis hin zu schwerwiegenden Störungen des Computers. In Word infizieren Makroviren gewöhnlich die mit der Dokumentvorlage NORMAL.DOT verbundenen Makros. Da diese Dokumentvorlage global verwendet wird, können alle in Word geöffneten Dateien infiziert werden. Allgemeines zum Master-Boot-Sektor Der Master-Boot-Sektor befindet sich im ersten Sektor der Festplatte. Beim Starten eines Computers wird hier unter anderem die Kontrolle über das System an die Festplatte abgegeben. Zudem befindet sich ein Programm im ersten Sektor der Festplatte, mit dessen Hilfe das Betriebssystem in den Arbeitsspeicher (RAM) geladen wird. Boot-Sektor-Viren können den Master-Boot-Sektor beschädigen, indem sie ihn verschieben, überschreiben oder löschen. So verschiebt beispielsweise der Virus "Monkey" den Master-Boot-Sektor in den dritten Sektor der Festplatte und schreibt seinen eigenen Code in den ersten Sektor. Wenn der Master-Boot-Sektor verschoben wird, kann der Computer nicht mehr von der Festplatte gestartet werden. Siehe "Boot-Sektor-Viren" auf Seite 10. Allgemeines zu Sicherheitsrisiken Sicherheitsrisiken werden durch das Verhalten, das sie aufweisen, und durch den Zweck, für den sie entwickelt wurden, klassifiziert. Im Gegensatz zu Viren und Würmern können sich Sicherheitsrisiken nicht selbst replizieren. Symantec AntiVirus kann die Nebeneffekte von Sicherheitsrisiken der folgenden Kategorien erkennen, isolieren, löschen und reparieren: Spyware: Unabhängige Programme, die die Systemaktivität unerkannt überwachen und Kennwörter sowie andere vertrauliche Informationen erkennen und an einen anderen Computer übertragen. Spyware wird meist unbemerkt von Websites (üblicherweise in Shareware oder Freeware), mit -Nachrichten und über Instant-Messenger- Programme heruntergeladen. Häufig laden Benutzer Spyware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Adware: Unabhängige oder angehängte Programme, die unbemerkt persönliche Daten über das Internet sammeln und an einen anderen Computer übertragen können. Adware kann beispielsweise Surf-Gewohnheiten für Werbezwecke protokollieren. Adware kann außerdem Werbematerial auf Ihren Rechner übertragen.

13 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken 13 Adware wird meist unbemerkt von Websites (üblicherweise in Shareware oder Freeware), mit -Nachrichten und über Instant-Messenger- Programme heruntergeladen. Häufig laden Benutzer Adware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Dialer: Programme, die einen Computer ohne die Einwilligung oder das Wissen des Benutzers nutzen, um sich über eine 0190er-Nummer in das Internet oder eine FTP-Site einzuwählen, was in der Regel mit hohen Gebühren verbunden ist. Hacker-Tools: Diese Programme werden von Hackern verwendet, um nicht autorisierten Zugriff auf den Computer eines Benutzers zu erlangen. So gibt es beispielsweise ein Hacker-Tool, das einzelne Tastaturanschläge erkennt und aufzeichnet, um die Daten anschließend zurück an den Hacker zu senden. Der Hacker kann anschließend Port-Scans ausführen oder nach Schwachstellen suchen. Mit Hacker-Tools können außerdem Viren erstellt werden. Joke-Programme: Programme, die den Betrieb des Computers auf eine Art und Weise ändern oder unterbrechen, die lustig sein oder Angst machen soll. Ein Programm kann zum Beispiel von Websites (in der Regel Shareware oder Freeware) mit -Nachrichten oder über Instant-Messenger-Programme heruntergeladen werden. Anschließend bewegt sich beispielsweise der Papierkorb immer von der Maus weg, wenn der Benutzer versucht, das Programm zu löschen, oder es vertauscht die Maustasten. Andere: Sicherheitsrisiken, die keiner der angegebenen Kategorien von Sicherheitsrisiken entsprechen, aber dennoch ein Risiko für Ihren Computer und seine Daten darstellen. Remote-Zugriff: Programme, die den Zugriff auf einen Computer über das Internet ermöglichen, um Daten zu sammeln oder den Computer des Benutzers anzugreifen bzw. zu verändern. Solch ein Programm kann unwissentlich durch den Benutzer oder als Teil eines anderen Vorgangs installiert werden. Derartige Programme können für bösartige Zwecke mit oder ohne Änderung des ursprünglichen Remote-Zugriffsprogramms verwendet werden. Trackware: Eigenständige oder angehängte Anwendungen, die den "Weg" eines Benutzers durch das Internet verfolgen und diese Informationen an ein Zielsystem senden. Eine solche Anwendung kann beispielsweise von einer Website, per oder per Instant-Messenger-Programm heruntergeladen werden. Anschließend sammelt sie möglicherweise vertrauliche Informationen über das Verhalten des Benutzers.

14 14 Einführung in Symantec AntiVirus Allgemeines zu Sicherheitsrisiken Bei allen Symantec AntiVirus-Prüfungen, einschließlich Auto-Protect-Prüfungen, wird Ihr Computer standardmäßig auf Viren, Trojanische Pferde, Würmer und alle Kategorien von Sicherheitsrisiken geprüft. Siehe "Verwenden von Auto-Protect" auf Seite 43. Siehe "Manuelle Prüfungen starten" auf Seite 54. Auf der Website von Symantec Security Response finden Sie die aktuellsten Informationen zu Bedrohungen und Sicherheitsrisiken. Darüber hinaus enthält sie ausführliche Referenzinformationen, z. B. White Papers und detaillierte Informationen zu Viren und Sicherheitsrisiken. Abbildung 1-1 zeigt Informationen zu einem Hacker-Tool und die Vorgehensweise, die Symantec Security Response vorschlägt, um diese Bedrohung zu beseitigen. Abbildung 1-1 Symantec Security Response Sicherheitsrisiko-Beschreibung Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 37.

15 Einführung in Symantec AntiVirus Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken 15 Reaktion von Symantec AntiVirus auf Viren und Sicherheitsrisiken Symantec AntiVirus schützt Computer vor Viren und Sicherheitsrisiken, unabhängig von der Quelle der Infektion. Computer werden vor Viren und Sicherheitsrisiken geschützt, die sich über Festplatten, Disketten und über Netzwerke ausbreiten. Computer werden auch vor Viren und Sicherheitsrisiken geschützt, die sich über -Anhänge oder anderweitig ausbreiten. Sicherheitsrisiken können sich beispielsweise ohne Ihr Wissen selbst auf Ihrem Computer installieren, wenn Sie auf das Internet zugreifen. Dateien in komprimierten Dateiarchiven werden auf Viren und Sicherheitsrisiken geprüft und Probleme werden behoben. Für aus dem Internet stammende Viren sind weder separate Programme noch Änderungen der Optionen erforderlich. Auto-Protect prüft unkomprimierte Programm- und Dokumentdateien automatisch, wenn diese heruntergeladen werden. Symantec AntiVirus führt bei infizierten Dateien Aktionen und Ersatzaktionen aus. Wird während einer Prüfung ein Virus gefunden, versucht Symantec AntiVirus automatisch, die infizierte Datei vom Virus zu säubern und die Nebeneffekte des Virus zu reparieren. Wenn der Virus erfolgreich und vollständig aus der Datei entfernt worden ist, ist die Datei gesäubert. Gelingt dies nicht, führt Symantec AntiVirus eine Ersatzaktion durch: Symantec AntiVirus verschiebt die infizierte Datei in den Quarantänebereich, damit sich der Virus nicht verbreiten kann. Nach Aktualisierung des Virenschutzes prüft Symantec AntiVirus automatisch, ob sich Dateien im Quarantänebereich befinden, und fragt Sie, ob die Dateien anhand der neuen Vireninformationen geprüft werden sollen. Hinweis: Der Administrator kann festlegen, dass die Dateien im Quarantänebereich automatisch geprüft werden. Bei Sicherheitsrisiken verschiebt Symantec AntiVirus standardmäßig alle infizierten Dateien in den Quarantänebereich und stellt den ursprünglichen Status der Systemdaten wieder her. Einige Sicherheitsrisiken können nicht vollständig gelöscht werden, ohne dass andere Programme auf Ihrem Computer, z. B. ein Web-Browser, beschädigt werden. Wenn Symantec AntiVirus für die automatische Handhabung des Risikos nicht konfiguriert ist, werden Sie aufgefordert, dass Stoppen oder Neustarten eines Prozesses auf dem Computer zu bestätigen. Alternativ können Sie Symantec AntiVirus auch so konfigurieren, dass bei Sicherheitsrisiken die Aktion "Nur protokollieren" ausgeführt wird.

16 16 Einführung in Symantec AntiVirus Wie Symantec AntiVirus Ihren Computer schützt Wenn Symantec AntiVirus Sicherheitsrisiken erkennt, stellt es im Prüffenster einen Link zu Symantec Security Response bereit, wo Sie weitere Informationen über das Sicherheitsrisiko erhalten. Zudem kann Ihnen Ihr Systemadministrator in einer Nachricht mitteilen, wie Sie reagieren sollen. Wie Symantec AntiVirus Ihren Computer schützt Vireninfektionen lassen sich vermeiden. Wenn der Virus schnell erkannt und entfernt wird, kann er sich nicht mehr auf andere Dateien übertragen und Schaden anrichten. Die Auswirkungen von Viren und Sicherheitsrisiken können behoben werden. Wird ein Virus oder ein Sicherheitsrisiko entdeckt, teilt Ihnen Symantec AntiVirus mit, dass eine oder mehrere Dateien infiziert sind. Wenn Sie nicht benachrichtigt werden möchten, können Sie oder Ihr Administrator Symantec AntiVirus für die automatische Handhabung von Sicherheitsrisiken konfigurieren. Symantec AntiVirus bietet folgende Schutzmechanismen: Auto-Protect: Hierbei werden die Aktivitäten auf Ihrem Computer fortlaufend beobachtet, und beim Ausführen oder Öffnen von Dateien wird nach Viren und Sicherheitsrisiken gesucht. Dies gilt auch für Dateien, die beispielsweise umbenannt, gespeichert, kopiert oder verschoben werden. Signaturbasierte Prüfung: Hier wird nach Virussignaturen in infizierten Dateien und nach Signaturen von Sicherheitsrisiken in infizierten Dateien und Systemdaten gesucht. Diese Form der Suche wird als Prüfung bezeichnet. Je nachdem, wie Ihr Computer verwaltet wird, führen Sie oder der Administrator signaturbasierte oder musterbasierte Prüfungen durch, um die Dateien auf Ihrem Computer auf Viren und andere Sicherheitsrisiken, z. B. Adware oder Spyware, zu untersuchen. Prüfungen können auf Anforderung, geplant und unbeaufsichtigt oder beim Systemstart automatisch ausgeführt werden. Erweiterte Heuristik: Prüft die Programmstruktur, das Verhalten und andere Attribute auf virenähnliche Merkmale. Dadurch können Sie sich in vielen Fällen gegen Bedrohungen schützen z. B. Würmer und Makroviren in Massen-Mails, die auftreten, bevor Sie die Möglichkeit haben, die Virendefinitionen zu aktualisieren. Die erweiterte Heuristik sucht nach Skriptbasierten Bedrohungen in HTML-, VBScript- und JavaScript-Dateien.

17 Einführung in Symantec AntiVirus Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? 17 Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Die Experten von Symantec halten sich bezüglich des Auftretens von Computerviren immer auf dem aktuellsten Stand, um neue Viren identifizieren zu können. Außerdem machen sie neue Sicherheitsrisiken, z. B. Adware und Spyware, ausfindig. Sobald ein neuer Virus oder ein Sicherheitsrisiko entdeckt wird, speichern sie eine Signatur (Informationen über den Virus oder das Sicherheitsrisiko) in einer Definitionsdatei, die auch sämtliche Informationen enthält, die zur Erkennung und Beseitigung des Virus oder der Auswirkungen des Sicherheitsrisikos dienen. Bei der Prüfung auf Viren und Sicherheitsrisiken sucht Symantec AntiVirus nach diesen Signaturen. Symantec stellt regelmäßig aktualisierte Definitionen bereit. Die Definitionen auf der Website von Symantec Security Response werden täglich aktualisiert. Für LiveUpdate werden mindestens einmal wöchentlich und beim Auftreten neuer bösartiger Viren neue Definitionen bereitgestellt. Wenn neue Viren und Sicherheitsrisiken so komplex sind, dass die Bereitstellung neuer Definitionsdateien alleine nicht ausreicht, aktualisieren die technischen Mitarbeiter von Symantec die AntiVirus-Engine mit den neuesten Komponenten zur Erkennung und Reparatur. Bei Bedarf wird die aktualisierte AntiVirus- Engine zu den Definitionsdateien hinzugefügt. Allgemeines zur Rolle von Symantec Security Response Hinter Symantec AntiVirus stehen die Spezialisten von Symantec Security Response. Bedingt durch die ständige Zunahme der Computerviren und Sicherheitsrisiken sind große Anstrengungen erforderlich, um die neuen Viren und Sicherheitsrisiken zu erfassen, zu identifizieren und zu analysieren sowie Schutztechnologien zu entwickeln. Symantec Security Response disassembliert die gefundenen Viren und Sicherheitsrisiken, um deren individuelle Eigenschaften und Verhaltensweisen zu ermitteln. Basierend auf diesen Informationen werden Definitionen entwickelt, die von den Symantec-Produkten zur Entdeckung und Beseitigung neuer Viren und Sicherheitsrisiken verwendet werden. Angesichts der hohen Geschwindigkeit, mit der sich neue Viren insbesondere über das Internet ausbreiten, hat Symantec Security Response automatisierte Software-Analyse-Tools entwickelt. Da infizierte Dateien von der Zentralquarantäne über das Internet direkt an Symantec Security Response gesendet werden können, verkürzt sich die Zeit von der Entdeckung eines Virus bis zur Analyse und Reparatur von einigen Tagen auf Stunden und in naher Zukunft auf Minuten.

18 18 Einführung in Symantec AntiVirus Wie wird in Symantec AntiVirus der Schutz aktuell gehalten? Symantec Security Response erforscht und produziert Technologien, die Computer vor anderen Sicherheitsrisiken, z. B. Spyware, Adware und Hacker- Tools, schützen. Symantec Security Response pflegt eine Enzyklopädie, die detaillierte Informationen zu Viren und anderen Sicherheitsrisiken enthält. In den erforderlichen Fällen werden Informationen zum Entfernen oder Deinstallieren des Sicherheitsrisikos zur Verfügung gestellt. Die Enzyklopädie befindet sich auf der Website von Symantec Security Response. Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 37. Schutz vor Viren und Sicherheitsrisiken aktualisieren Ihr Virenschutzadministrator legt fest, wie die Definitionen für Viren und Sicherheitsrisiken aktualisiert werden. Möglicherweise müssen Sie nichts tun, um neue Definitionen zu empfangen. Die LiveUpdate-Funktion in Symantec AntiVirus kann vom Administrator so eingerichtet werden, dass Ihr Computer stets vor Viren und anderen Sicherheitsrisiken geschützt wird. Über LiveUpdate stellt Symantec AntiVirus automatisch eine Verbindung mit einer speziellen Website her, ermittelt, ob Ihre Dateien aktualisiert werden müssen, lädt die benötigten Dateien herunter und installiert sie an der richtigen Stelle. Siehe "Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken" auf Seite 31.

19 Kapitel 2 Grundlagen von Symantec AntiVirus Dieses Kapitel enthält folgende Themen: Allgemeines zur Content-Lizenzierung Öffnen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Aktivieren und Deaktivieren von Auto-Protect Unterbrechung und Verzögerung von Prüfungen Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter Weitere Informationen Allgemeines zur Content-Lizenzierung Eine Content-Lizenz der Symantec Corporation berechtigt Sie zur Aktualisierung von Computern, auf denen Software von Symantec installiert ist. Die Content- Lizenzierung stellt sicher, dass Symantec-Produkte über einen bestimmten Zeitraum hinweg immer die neuesten Updates erhalten. Content-Updates enthalten Definitionen zu Viren und Sicherheitsrisiken.

20 20 Grundlagen von Symantec AntiVirus Allgemeines zur Content-Lizenzierung Eine Content-Lizenz muss jedem einzelnen Computer, auf dem Symantec AntiVirus ausgeführt wird, zugeteilt oder auf diesem installiert sein. Hinweis: In manchen Unternehmen werden Content-Updates von Symantec im Rahmen einer Site-Lizenz gewährt. In diesem Fall werden Content-Lizenzen nicht angewandt und Sie können diesen Abschnitt überspringen. Symantec-Clients können ein einziges Content-Update ohne Content-Lizenz erhalten. Dadurch ist sichergestellt, dass neu installierte Software den allerneuesten Schutz bietet, während Sie in Ruhe eine Content-Lizenz von Symantec anfordern können, um Anspruch auf zukünftige Updates zu erhalten. Anschließend können nur noch Computer mit einer gültigen Content-Lizenz Content- Updates erhalten. Content-Lizenzen werden folgendermaßen installiert: Clients, die mithilfe von Symantec System Center verwaltet werden, erhalten ihre Arbeitsplatzlizenz automatisch, wenn sie sich beim übergeordneten Server anmelden. In diesem Fall müssen Sie nichts unternehmen, um eine Content-Lizenz zu installieren. Bei Clients, die mithilfe von Verteilungs-Tools von Fremdherstellern verwaltet werden, stellt Ihr Administrator sicher, dass Ihr Client automatisch eine Lizenz erhält. In diesem Fall müssen Sie nichts unternehmen, um eine Content-Lizenz zu installieren. Bei nicht verwalteten Clients, für die Symantec System Center nicht verwendet wird, müssen Sie die Content-Lizenzdatei installieren. Ihr Administrator wird Ihnen entweder eine solche Content-Lizenzdatei zur Verfügung stellen oder Sie darüber informieren, wo die Content-Lizenzdatei zur Installation bereitliegt. Eine Content-Lizenz auf einem nicht verwalteten Client installieren Ihr Administrator stellt für Sie auf eine der folgenden Arten eine Content-Lizenzdatei bereit: Sie erhalten die Content-Lizenzdatei per . Er legt die Content-Lizenzdatei auf einem Netzlaufwerk ab und teilt Ihnen den Speicherort mit.

21 Grundlagen von Symantec AntiVirus Öffnen von Symantec AntiVirus 21 So installieren Sie eine Content-Lizenz auf einem nicht verwalteten Client 1 Klicken Sie in Symantec AntiVirus auf "Ansicht"> "Lizenz". 2 Klicken Sie im rechten Teilfenster auf "Lizenz installieren". 3 Klicken Sie in Schritt 1 des Lizenz-Installations-Assistenten auf "Durchsuchen", suchen Sie die Content-Lizenzdatei und klicken Sie auf "Weiter". 4 Bestätigen Sie in Schritt 2 des Lizenz-Installations-Assistenten die Lizenzinformationen und klicken Sie anschließend auf "Weiter". 5 Um den Lizenz-Installations-Assistenten zu schließen, klicken Sie auf "Fertig stellen". Öffnen von Symantec AntiVirus Sie haben mehrere Möglichkeiten, Symantec AntiVirus zu öffnen. So öffnen Sie Symantec AntiVirus Führen Sie einen der folgenden Schritte aus: Doppelklicken Sie in der Windows -Taskleiste auf das Symbol "Symantec AntiVirus". Ihr Administrator legt fest, ob das Symbol in der Taskleiste angezeigt wird. Klicken Sie in der Windows- oder Windows XP-Taskleiste auf "Start > Programme > Symantec Client Security > Symantec AntiVirus" oder "Start > Weitere Programme > Symantec Client Security > Symantec AntiVirus".

22 22 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Das Symantec AntiVirus-Hauptfenster ist in zwei Teilfenster eingeteilt. Im linken Teilfenster sind Aktivitäten nach bestimmten Kategorien gruppiert. "Diskette prüfen", "Benutzerdefinierte Prüfung", "Schnellprüfung" und "Vollständige Prüfung" sind beispielsweise Aktivitäten in der Kategorie "Prüfung". Jede Kategorie im linken Teilfenster wird durch ein eigenes Symbol dargestellt. Wenn Sie auf die Kategorien und andere Elemente im linken Teilfenster klicken, werden im rechten Fenster die Informationen angezeigt, die Sie zum Ausführen einer Aufgabe benötigen. So navigieren Sie im Hauptfenster von Symantec AntiVirus Führen Sie im linken Teilfenster eine der folgenden Aktionen durch: Klicken Sie auf ein Pluszeichen, um den zugehörigen Ordner zu öffnen. Klicken Sie auf ein Minuszeichen, um den zugehörigen Ordner zu schließen. Klicken Sie auf ein Objekt, um die Informationen im rechten Teilfenster anzuzeigen.

23 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 23 Kategorien von Symantec AntiVirus anzeigen Die Aktivitäten, die Sie mit Symantec AntiVirus ausführen können, sind in verschiedene Hauptkategorien unterteilt. In jeder Kategorie stehen verschiedene Optionen zur Auswahl. In den folgenden Tabellen werden nicht die einzelnen Optionen beschrieben, die Sie ändern können. Sie erhalten vielmehr einen Überblick darüber, was die Optionen bewirken und wo Sie sie finden. Detaillierte Informationen zu den einzelnen Optionen finden Sie in der Online-Hilfe. Kategorie "Ansicht" Mit der Kategorie "Ansicht" können Sie die Virenschutzaktivitäten und die Aktivitäten gegen Sicherheitsrisiken verfolgen. Tabelle 2-1 Option Auto-Protect- Prüfungsstatistik Kategorie "Ansicht" Beschreibung Statistiken zum Status der Auto-Protect-Prüfungen anzeigen, aus denen auch hervorgeht, welche Datei zuletzt geprüft wurde (auch wenn sie nicht infiziert war). Geplante Prüfungen Quarantäne Liste aller geplanten Prüfungen anzeigen, die zur Ausführung auf Ihrem Computer erstellt worden sind, einschließlich Prüfungsname, Ausführungstermin und Ersteller. Die geplanten Prüfungen können vom Administrator Ihres Unternehmens oder von Ihnen erstellt werden. Infizierte Dateien verwalten, die isoliert wurden, um eine Verbreitung der Viren oder die Nebeneffekte von Sicherheitsrisiken zu verhindern. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 82.

24 24 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Tabelle 2-1 Option Backup-Elemente Kategorie "Ansicht" Beschreibung Sicherungskopien infizierter Dateien löschen. Um einem Datenverlust vorzubeugen, erstellt Symantec AntiVirus vor dem Reparaturversuch eine Sicherungskopie von einem infizierten Element. Wenn Sie überprüft haben, dass Symantec AntiVirus ein infiziertes Element gesäubert hat, sollten Sie die Kopie im Ordner "Gesicherte Elemente" löschen. Symantec AntiVirus erstellt Sicherungskopien von Dateien, die Sicherheitsrisiken enthalten, wenn sie in den Quarantänebereich verschoben werden. Darüber hinaus erstellt es Sicherungskopien von Registrierungseinstellungen und Systemladepunkten, die Sicherheitsrisiken z. B. Spyware und Adware enthalten. Systemladepunkte sind Softwarebereiche, die besonders anfällig für Sicherheitsrisiken sind. Hinweis: In manchen Fällen kann das Löschen eines Sicherheitsrisikos dazu führen, dass Anwendungen ihre Funktionalität verlieren. Wenn Sie sicher sind, dass Sie eine Datei, die Sicherheitsrisiken enthält, nicht mehr benötigen, um ein Programm auszuführen, können Sie sie löschen, um Speicherplatz freizugeben. Siehe "Backup-Elemente löschen" auf Seite 85. Reparierte Elemente Elemente, die gesäubert oder repariert wurden und deren Original-Ablageort nicht mehr verfügbar ist, z. B. ein Netzwerklaufwerk. Ein infizierter Dateianhang beispielsweise kann von einer gelöst und im Quarantänebereich abgelegt worden sein. Nachdem die Datei gesäubert und in den Ordner "Reparierte Elemente" verschoben wurde, müssen Sie sie von dort aus wiederherstellen und ihren neuen Ablageort angeben. Lizenz Nur bei Content-Lizenzen; bei Verwendung einer Site-Lizenz wird die Option nicht im Menü angezeigt. Informationen zur aktuellen Lizenz anzeigen. Zu den Informationen zur aktuellen Lizenz gehören der Lizenzstatus, die Seriennummer sowie das Start- und Ablaufdatum. Sie können den Lizenz-Installations-Assistenten starten.

25 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 25 Kategorie "Prüfung" Mit der Kategorie "Prüfung" können Sie Ihren Computer manuell prüfen. Tabelle 2-2 Option Diskette prüfen Kategorie "Prüfung" Beschreibung Disketten und andere austauschbare Medien prüfen. Benutzerdefinierte Prüfung Schnellprüfung Vollständige Prüfung Datei, Ordner, Laufwerk oder einen ganzen Computer zu einem beliebigen Zeitpunkt manuell prüfen. Siehe "Manuelle Prüfungen starten" auf Seite 54. Arbeitsspeicher und andere Speicherorte, an denen Viren und Sicherheitsrisiken häufig auftreten, sehr schnell prüfen. Den gesamten Computer auf Viren und Sicherheitsrisiken prüfen, einschließlich Boot-Sektoren und Arbeitsspeicher. Bei der Prüfung von Netzlaufwerken müssen Sie möglicherweise ein Kennwort eingeben. Kategorie "Konfigurieren" Mit der Kategorie "Konfigurieren" können Sie Auto-Protect einrichten, um Ihre Dateien und -Anhänge (von unterstützten -Clients) zu überwachen. Außerdem können Sie den Manipulationsschutz konfigurieren, um Symantec- Anwendungen vor Manipulationen zu schützen. Tabelle 2-3 Option Kategorie "Konfigurieren" Beschreibung Dateisystem-Auto-Protect Wenn Sie auf eine Datei zugreifen, sie kopieren, speichern, verschieben oder öffnen, wird die Datei geprüft, um sicherzustellen, dass sie nicht infiziert ist. Auto-Protect verfügt über eine SmartScan-Funktion, mit der ein Dateityp selbst dann ermittelt werden kann, wenn ein Virus die Dateierweiterung geändert hat. Siehe "Verwenden von Auto-Protect" auf Seite 43.

26 26 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus Tabelle 2-3 Option Kategorie "Konfigurieren" Beschreibung Internet -Auto-Protect Lotus Notes Auto-Protect Microsoft Exchange Auto- Protect Manipulationsschutz Für Groupware- -Clients (Lotus Notes und Microsoft Exchange/Microsoft Outlook ) stellt Symantec AntiVirus einen zusätzlichen Schutz für -Anhänge bereit. Bei Internet- -Clients schützt Symantec AntiVirus eingehende und ausgehende -Nachrichten, die die Kommunikationsprotokolle POP3 oder SMTP verwenden. Der Manipulationsschutz schützt Symantec-Anwendungen vor der Manipulation durch unbefugte Quellen. Kategorie "Protokolle" Mit der Kategorie "Protokolle" können Sie Informationen zu den auf Ihrem Computer durchgeführten Prüfungen, zu gefundenen Viren und Sicherheitsrisiken erfassen. Tabelle 2-4 Option Risikoprotokoll Prüfprotokolle Ereignisprotokoll Kategorie "Protokolle" Beschreibung Zeigt eine Liste der folgenden Elemente an: Viren, die Ihren Computer infiziert haben, sowie relevante Zusatzinformationen über die jeweilige Infektion. Die Sicherheitsrisiken, z. B. Adware und Spyware, die von Symantec AntiVirus erkannt und protokolliert, isoliert und repariert oder vom Computer gelöscht wurden. Das Risikoprotokoll für Sicherheitsrisiken enthält einen Link auf die Symantec Security Response- Webseite, auf der weitere Informationen zur Verfügung gestellt werden. Enthält die Ergebnisse aller auf Ihrem Computer durchgeführten Prüfungen. Die einzelnen Prüfungen werden zusammen mit allen relevanten Zusatzinformationen angezeigt. Zeigt die Ereignisse an, die auf Ihrem Computer im Zusammenhang mit Viren und Sicherheitsrisiken stattgefunden haben. Hierzu gehören Konfigurationsänderungen, Fehler und Informationen zu Virendefinitionsdateien. Manipulationsprotokoll Enthält Informationen zu Manipulationsversuchen an Symantec-Anwendungen auf Ihrem Computer, die der Manipulationsschutz vereiteln konnte.

27 Grundlagen von Symantec AntiVirus Navigation im Hauptfenster von Symantec AntiVirus 27 Kategorie "Startprüfungen" Mit der Kategorie "Startprüfungen" können Sie Prüfungen erstellen und konfigurieren, die beim Starten des Computers ausgeführt werden. Tabelle 2-5 Option Neue Startprüfung Kategorie "Startprüfungen" Beschreibung Einige Benutzer ergänzen eine geplante Prüfung durch eine automatische Prüfung bei jedem Start ihres Computers. Oft ist eine Startprüfung auf wichtige Ordner mit hohem Infektionsrisiko beschränkt, wie beispielsweise den Windows-Ordner und Ordner, die Microsoft Word- und Excel-Vorlagen enthalten. Siehe "Startprüfungen erstellen" auf Seite 59. Automatisch erstellte Schnellprüfung Bei dieser Prüfung werden jedes Mal, wenn ein Benutzer sich am Computer anmeldet, die Dateien im Arbeitsspeicher und andere gängige Infektionsorte auf dem Computer auf Viren und Sicherheitsrisiken überprüft. Sie können diese Prüfung auf dieselbe Weise wie eine manuelle Prüfung konfigurieren. Es ist jedoch nicht möglich, den Prüfvorgang der Dateien im Arbeitsspeicher und an anderen gängigen Infektionsorten zu stoppen. Hinweis: Diese Art von Prüfung ist nur auf nicht verwalteten Clients verfügbar. Kategorie "Benutzerdefinierte Prüfungen" Mit der Kategorie "Benutzerdefinierte Prüfungen" haben Sie die Möglichkeit, vorkonfigurierte Prüfungen zu erstellen, die Sie manuell ausführen können. Tabelle 2-6 Option Kategorie "Benutzerdefinierte Prüfungen" Beschreibung Neue benutzerdefinierte Prüfung Wenn Sie regelmäßig dieselben Dateien oder Ordner prüfen, können Sie eine Prüfung erstellen, in der nur diese Elemente geprüft werden. Somit können Sie jederzeit schnell prüfen, ob die betreffenden Dateien und Ordner frei von Viren und Sicherheitsrisiken sind. Siehe "Benutzerdefinierte Prüfungen erstellen" auf Seite 60.

28 28 Grundlagen von Symantec AntiVirus Aktivieren und Deaktivieren von Auto-Protect Kategorie "Geplante Prüfungen" Mit der Kategorie "Geplante Prüfungen" können Sie vorkonfigurierte Prüfungen erstellen, die zu den von Ihnen angegebenen Zeiten automatisch ausgeführt werden. Tabelle 2-7 Option Kategorie "Geplante Prüfungen" Beschreibung Neue geplante Prüfung Planen Sie eine Prüfung Ihrer Festplatten, die mindestens einmal wöchentlich ausgeführt werden sollte. Durch eine geplante Prüfung können Sie sicherstellen, dass Ihr Computer frei von Viren und Sicherheitsrisiken bleibt. Siehe "Geplante Prüfungen erstellen" auf Seite 56. Aktivieren und Deaktivieren von Auto-Protect Wenn Sie die Standardeinstellungen der Optionen nicht verändert haben, wird Auto-Protect beim Starten Ihres Computers automatisch geladen und schützt ihn vor Viren und Sicherheitsrisiken. Der Echtzeitschutz prüft Programme während der Ausführung auf Viren und Sicherheitsrisiken und überwacht Ihren Computer auf Aktivitäten, die auf einen Virus hindeuten könnten. Wenn ein Virus, eine virenähnliche Aktivität (ein Ereignis, das von einem Virus verursacht worden sein könnte) oder ein Sicherheitsrisiko erkannt wird, warnt Sie Auto-Protect. In einigen Fällen warnt Auto-Protect Sie vielleicht vor einer virusähnlichen Aktivität, von der Sie wissen, dass sie nicht durch einen Virus verursacht ist. Dies kann beispielsweise der Fall sein, wenn Sie neue Computerprogramme installieren. Wenn Sie eine solche Aktivität ausführen und keine Warnung dabei angezeigt werden soll, können Sie Auto-Protect vorübergehend deaktivieren. Denken Sie daran, Auto-Protect wieder zu aktivieren, wenn Sie Ihre Aktivität ausgeführt haben, damit Ihr Computer wieder geschützt ist. Der Administrator kann Auto-Protect sperren, so dass Sie es nicht deaktivieren können, oder festlegen, dass die Option vorübergehend deaktiviert werden kann und nach einer bestimmten Zeit automatisch wieder aktiviert wird. Den Auto-Protect-Dateisystemschutz aktivieren und deaktivieren Das Symbol von Symantec AntiVirus wird in der Taskleiste in der unteren rechten Ecke des Windows-Desktops angezeigt. Bei einigen Konfigurationen wird das Symbol nicht angezeigt.

29 Grundlagen von Symantec AntiVirus Unterbrechung und Verzögerung von Prüfungen 29 Das Symbol von Symantec AntiVirus wird als Schutzschild dargestellt. Wenn Sie mit der rechten Maustaste darauf klicken und der Auto-Protect-Dateisystemschutz aktiviert ist, wird neben "Auto-Protect aktivieren" ein Häkchen angezeigt. Wenn der Auto-Protect-Dateisystemschutz deaktiviert ist, erscheint über dem Symantec AntiVirus-Symbol ein roter Kreis mit einem Schrägstrich. So aktivieren und deaktivieren Sie den Auto-Protect-Dateisystemschutz in der Taskleiste Klicken Sie in der Taskleiste mit der rechten Maustaste auf das Symbol von Symantec AntiVirus und klicken Sie anschließend auf "Auto-Protect aktivieren". So aktivieren und deaktivieren Sie den Auto-Protect-Dateisystemschutz in Symantec AntiVirus 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Aktivieren bzw. deaktivieren Sie "Auto-Protect aktivieren". 4 Klicken Sie auf "OK". Der aktuelle Auto-Protect-Status für das Dateisystem wird rechts neben dem Kontrollkästchen dynamisch aktualisiert. Unterbrechung und Verzögerung von Prüfungen Die Option "Unterbrechen" bietet Ihnen die Möglichkeit, einen Prüfvorgang zu einem beliebigen Zeitpunkt zu unterbrechen und die Ausführung später fortzusetzen. Sie können alle Prüfvorgänge unterbrechen, die Sie selbst gestartet haben. Der Netzwerkadministrator legt fest, ob Sie von ihm geplante Prüfungen unterbrechen können. Der Netzwerkadministrator legt außerdem fest, ob Sie die Ausführung der von ihm geplanten Prüfungen hinausschieben können. Wenn eine der Verschiebungsfunktion aktiviert ist, haben Sie die Möglichkeit, den Ausführungsbeginn um eine vorgegebene Zeitspanne zu verzögern. Bei Wiederaufnahme des Prüfvorgangs beginnt die Prüfung von vorne. Unterbrechen Sie die Prüfung, wenn Sie vorhaben, sie nach einer kurzen Pause fortzusetzen. Verwenden Sie die Verschiebungsfunktion, um die Prüfung für eine längere Zeitspanne hinauszuschieben, in der Sie nicht gestört werden möchten, beispielsweise während einer Präsentation.

30 30 Grundlagen von Symantec AntiVirus Unterbrechung und Verzögerung von Prüfungen Prüfungen unterbrechen oder verzögern Wenn Sie eine von Ihnen gestartete Prüfung unterbrechen oder eine vom Administrator geplante Prüfung verzögern möchten, folgen Sie bitte den folgenden Anweisungen. Falls die Schaltfläche "Prüfung unterbrechen" nicht verfügbar ist, hat Ihr Netzwerkadministrator die Funktion deaktiviert. Hinweis: Wenn Sie den Vorgang unterbrechen, während Symantec AntiVirus eine komprimierte Datei prüft, kann es mehrere Minuten dauern, bis das Programm reagiert. So unterbrechen Sie eine Prüfung 1 Klicken Sie während des Prüfvorgangs im Dialogfeld "Prüfung" auf das Symbol "Unterbrechen". Prüfung starten Prüfung unterbrechen Prüfung anhalten Im Dialogfeld werden dieselben Schaltflächen angezeigt, unabhängig davon, ob die Prüfung von Ihnen oder vom Administrator gestartet wurde. Wenn die Prüfung von Ihnen gestartet wurde, wird der Vorgang sofort unterbrochen, und das Dialogfeld bleibt so lange geöffnet, bis Sie den Vorgang fortsetzen. Wenn es sich um eine vom Administrator geplante Prüfung handelt, wird das Dialogfeld "Unterbrechung einer geplanten Prüfung" angezeigt.

31 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 31 2 Klicken Sie im Dialogfeld "Unterbrechung einer geplanten Prüfung" auf "Unterbrechen". Der Prüfvorgang wird sofort unterbrochen und das Dialogfeld bleibt so lange geöffnet, bis Sie den Vorgang fortsetzen. 3 Klicken Sie auf die Schaltfläche "Fortfahren", um den Prüfvorgang fortzusetzen. So verzögern Sie eine vom Administrator geplante Prüfung 1 Klicken Sie während der Ausführung einer vom Administrator geplanten Prüfung im Prüfdialogfeld auf "Prüfung unterbrechen". 2 Klicken Sie im Dialogfeld "Unterbrechung einer geplanten Prüfung" auf "1 Stunde verschieben" oder "3 Stunden verschieben". Der Administrator legt fest, für wie lange Sie die Prüfung hinausschieben können. Nach Ablauf dieser Zeit beginnt die Prüfung von vorne. Der Administrator entscheidet außerdem, wie oft Sie die Prüfung verzögern können, bevor die Funktion deaktiviert wird. Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Damit Symantec AntiVirus Viren und Sicherheitsrisiken und deren Nebeneffekte erkennen und beseitigen kann, benötigt es stets die aktuellsten Informationen. Eine der häufigsten Ursachen für Vireninfektionen oder Sicherheitsrisiken besteht darin, dass die Definitionsdateien nach der Installation nicht mehr aktualisiert werden. Die Definitionsdateien enthalten alle Erkennungs- und Reparaturinformationen, um Ihren Computer vor neu entdeckten Viren und Sicherheitsrisiken zu schützen.

32 32 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken Aktualisierte Definitionsdateien werden einmal wöchentlich über LiveUpdate und täglich als Intelligent Updater-Dateien auf der Website von Symantec Security Response bereitgestellt. Aktualisierungen werden auch dann zur Verfügung gestellt, wenn ein neuer riskanter Virus entdeckt wird. Gewöhnen Sie sich an, die Definitionen wenigstens einmal pro Woche zu aktualisieren. Wenn Sie die automatische Ausführung von LiveUpdate planen, werden Sie die erforderlichen Aktualisierungen nicht vergessen. Sie sollten die Aktualisierung umgehend vornehmen, wenn Sie vor der Ausbreitung eines neuen Virus gewarnt werden. Mit der LiveUpdate-Funktion stellt Symantec AntiVirus automatisch eine Verbindung zu einer Symantec-Website her und stellt fest, ob die Definitionen für Viren und Sicherheitsrisiken aktualisiert werden müssen. Ist dies der Fall, lädt es die benötigten Dateien herunter und installiert sie am richtigen Ablageort. Normalerweise müssen Sie keine Konfigurationen an LiveUpdate vornehmen. Sie benötigen lediglich eine Internet-Verbindung. Hinweis: Ihr Administrator hat möglicherweise festgelegt, wie viele Tage die letzte Aktualisierung der Definitionen für Viren und Sicherheitsrisiken maximal zurückliegen darf. Nach Ablauf dieser Zeit startet Symantec AntiVirus automatisch LiveUpdate, sobald eine Internet-Verbindung verfügbar ist. Aktualisierungen mit LiveUpdate planen LiveUpdate wird standardmäßig jeden Freitag um 20 Uhr automatisch ausgeführt. Damit die geplante Aktualisierung ausgeführt werden kann, muss Ihr Computer eingeschaltet und mit dem Internet verbunden sein. Aktualisierungen mit LiveUpdate planen Sie können das Intervall sowie Datum und Uhrzeit ändern, zu der LiveUpdate ausgeführt werden soll. Hinweis: In einem zentral verwalteten Netzwerk verteilt möglicherweise Ihr Administrator die aktualisierten Definitionen zu Viren und Sicherheitsrisiken an die einzelnen Computer. In diesem Fall müssen Sie nichts unternehmen.

33 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 33 So aktivieren Sie geplante automatische Aktualisierungen 1 Klicken Sie in Symantec AntiVirus im Menü "Datei" auf "Aktualisierungen planen". 2 Aktivieren Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" die Option "Geplante automatische Aktualisierungen aktivieren". Hinweis: Es werden sowohl die Virendefinitionen als auch die Definitionen für Sicherheitsrisiken aktualisiert. 3 Klicken Sie auf "OK". So stellen Sie die Zeitplanoptionen für LiveUpdate ein 1 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Planen". 2 Legen Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" das Intervall sowie Datum und Uhrzeit fest, zu der LiveUpdate ausgeführt werden soll. 3 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. So stellen Sie die erweiterten Zeitplanoptionen für LiveUpdate ein 1 Klicken Sie in im Menü "Datei" auf "Aktualisierungen planen". 2 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Planen". 3 Klicken Sie im Dialogfeld "Virendefinitionsaktualisierungen planen" auf "Erweitert".

34 34 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 4 Führen Sie im Dialogfeld "Weitere Zeitplanoptionen" einen der folgenden Schritte aus: Wenn Sie AntiVirus so einrichten möchten, dass verpasste LiveUpdate- Ereignisse zu einem späteren Zeitpunkt ausgeführt werden, aktivieren Sie "Verpasste Ereignisse verarbeiten innerhalb von" und legen Sie die gewünschte Anzahl Tage fest. Wenn Sie Symantec AntiVirus so einrichten möchten, dass geplante LiveUpdate-Ereignisse innerhalb einer angegebenen Zeitspanne und nicht zu einem bestimmten Zeitpunkt ausgeführt werden, aktivieren Sie die gewünschte Option für die variable Ausführung und geben Sie die Minuten, den Wochentag oder den Tag des Monats ein. 5 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. Schutz sofort mit LiveUpdate aktualisieren Wenn Sie vor der Ausbreitung eines neuen Virus gewarnt werden, sollten Sie nicht auf die nächste geplante Aktualisierung warten, sondern den Schutz vor Viren und Sicherheitsrisiken sofort aktualisieren. So aktualisieren Sie den Virenschutz mit LiveUpdate sofort 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Symantec AntiVirus". 2 Klicken Sie im rechten Teilfenster auf "LiveUpdate".

35 Grundlagen von Symantec AntiVirus Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken 35 3 Klicken Sie bei Bedarf im Dialogfeld "LiveUpdate" auf "Optionen > Konfigurieren", um die Internet-Verbindung für LiveUpdate zu konfigurieren. Sie können die Verbindung zu Ihrem Internet Service Provider oder die Proxy-Server-Einstellungen für die Internet-Verbindung ändern. Weitere Informationen finden Sie in der Online-Hilfe für LiveUpdate. 4 Klicken Sie auf "Weiter", um die automatische Aktualisierung zu starten. Virenschutz ohne LiveUpdate aktualisieren Symantec bietet für den Fall, dass Sie LiveUpdate nicht einsetzen können, ein spezielles Programm namens "Intelligent Updater", mit dem Sie die Aktualisierungen von der Website von Symantec Security Response herunterladen können. Siehe "Auf die Website von Symantec Security Response zugreifen" auf Seite 37. So aktualisieren Sie ohne LiveUpdate 1 Laden Sie das Programm "Intelligent Updater" in einen beliebigen Ordner auf Ihrem Computer herunter. 2 Suchen Sie das Programm "Intelligent Updater" im Fenster "Arbeitsplatz" oder im Windows-Explorer und doppelklicken Sie darauf. 3 Befolgen Sie die Anweisungen des Programms. Intelligent Updater durchsucht Ihren Computer nach Symantec AntiVirus und installiert anschließend die neuen Definitionsdateien für Viren und Sicherheitsrisiken automatisch im richtigen Ordner. 4 Prüfen Sie Ihre Laufwerke, um nach neu entdeckten Viren und Sicherheitsrisiken zu suchen.

36 36 Grundlagen von Symantec AntiVirus Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter Verwenden von Symantec AntiVirus zusammen mit dem Windows-Sicherheitscenter Wenn Sie das Windows-Sicherheitscenter (WSC) von Windows XP Service Pack 2 zum Überwachen des Sicherheitsstatus verwenden, wird der Status von Symantec AntiVirus im Windows-Sicherheitscenter angezeigt. In Tabelle 2-8 wird der im WSC angezeigte Schutzstatus beschrieben. Tabelle 2-8 Status des Schutzes im WSC Status des Symantec-Produkts Status des Schutzes Symantec AntiVirus ist nicht installiert Symantec AntiVirus ist mit vollem Schutz installiert Symantec AntiVirus ist installiert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Symantec AntiVirus ist installiert und Dateisystem- Auto-Protect ist deaktiviert Symantec AntiVirus ist installiert, Dateisystem-Auto- Protect ist deaktiviert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Symantec AntiVirus ist installiert und RTVscan wurde manuell ausgeschaltet NICHT GEFUNDEN (rot) AKTIV (grün) VERALTET (rot) INAKTIV (rot) INAKTIV (rot) INAKTIV (rot) Weitere Informationen Weitere Informationen zu Symantec AntiVirus erhalten Sie in der Online-Hilfe. Informationen über Viren und Sicherheitsrisiken finden Sie außerdem auf der Symantec-Website. Auf die Online-Hilfe zugreifen Das Online-Hilfesystem von Symantec AntiVirus enthält allgemeine Informationen und detaillierte Anleitungen, die Sie dabei unterstützen, Ihren Computer frei von Viren und Sicherheitsrisiken zu halten. Hinweis: Ihr Administrator hat unter Umständen entschieden, die Hilfedateien nicht zu installieren.

37 Grundlagen von Symantec AntiVirus Weitere Informationen 37 So verwenden Sie die Hilfe von Symantec AntiVirus Führen Sie in Symantec AntiVirus einen der folgenden Schritte aus: Klicken Sie auf "Hilfethemen" im Menü "Hilfe". Klicken Sie im rechten Teilfenster auf "Hilfe". Die kontextbezogene Hilfe steht nur in Fenstern zur Verfügung, in denen Sie Aktionen ausführen können. Auf die Website von Symantec Security Response zugreifen Wenn Sie mit dem Internet verbunden sind, besuchen Sie die Website von Symantec Security Response, um Folgendes anzuzeigen: Die Virenenzyklopädie, die Informationen zu allen bekannten Viren enthält Informationen zu Scherzviren (Hoaxes) White Papers zu Viren und Virenbedrohungen im Allgemeinen Allgemeine und detaillierte Informationen zu Sicherheitsrisiken So greifen Sie auf die Website von Symantec Security Response zu Geben Sie in Ihrem Internet-Browser folgende Web-Adresse ein:

38

39 Kapitel 3 Schutz des Computers vor Viren und Sicherheitsrisiken Dieses Kapitel enthält folgende Themen: Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Verwenden von Auto-Protect Verwenden des Manipulationsschutzes Prüfung auf Viren und andere Sicherheitsrisiken Konfigurieren der Prüfung Interpretieren von Prüfergebnissen Ausschluss von Dateien von der Prüfung Allgemeines zur Virenschutz- und Sicherheitsrisiko- Richtlinie Die in Symantec AntiVirus vordefinierten Einstellungen für Virenschutz und Sicherheitsrisiken entsprechen den Anforderungen der meisten Benutzer. Sie können die Einstellungen je nach Bedarf anpassen und eigene Richtlinien für Auto-Protect sowie für manuelle, geplante, benutzerdefinierte und Startprüfungen festlegen. Mit der Virenschutz- und Sicherheitsrisiko-Richtlinie wird Folgendes festgelegt: Was geprüft werden soll Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken

40 40 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Was geprüft werden soll Symantec AntiVirus Auto-Protect überprüft standardmäßig alle Dateitypen. Auch bei manuellen, geplanten, benutzerdefinierten und Startprüfungen werden alle Dateitypen untersucht. Auto-Protect beinhaltet SmartScan, ein Programm, das Dateien mit Erweiterungen überprüft, die in der Liste der Programmdateierweiterungen enthalten sind. SmartScan überprüft darüber hinaus alle Programmdateien und Microsoft Office-Dokumente, unabhängig davon, ob ihre Erweiterungen in der Liste der Dateierweiterungen aufgeführt sind. Siehe "Auto-Protect ändern und SmartScan verwenden" auf Seite 46. Sie können festlegen, dass nur Dateien mit bestimmten Erweiterungen oder eines bestimmten Typs (Dokumente und Programme) geprüft werden. Es ist allerdings zu beachten, dass dadurch der Schutz vor Viren und Sicherheitsrisiken eingeschränkt wird. Sie haben außerdem die Möglichkeit, bestimmte Dateien von der Prüfung auszuschließen. Wenn beispielsweise eine nicht infizierte Datei einen Virenalarm auslöst, können Sie die Datei von der Prüfung ausschließen, damit zukünftig keine Warnmeldungen angezeigt werden. Anhand von Dateitypen oder -erweiterungen prüfen Symantec AntiVirus kann Ihren Computer anhand von Dateitypen oder -erweiterungen überprüfen. Bei der Prüfung anhand von Dateitypen stellt Symantec AntiVirus automatisch den Dateityp fest, auch wenn die Erweiterung nicht dem Dateityp entspricht. Da Viren im Allgemeinen nur bestimmte Dateitypen infizieren, ist bei dieser Prüfmethode sichergestellt, dass alle infizierbaren Dateien geprüft werden. Bei der Prüfung anhand von Dateitypen berücksichtigt Symantec AntiVirus auch solche Dateien, die von einem Virus umbenannt wurden. Diese Option ist jedoch langsamer als die Prüfung nach Erweiterungen. Sie können zwischen den folgenden Dateitypen wählen: Dokumentdateien: Dazu gehören Microsoft Word- und Excel-Dokumente und Vorlagendateien, die mit diesen Dokumenten verknüpft sind. Symantec AntiVirus durchsucht Dokumentdateien nach Infektionen durch Makroviren. Programmdateien: Dazu gehören Dynamic Link Libraries (.dll), Stapeldateien (.bat), ausführbare Dateien (.exe) und andere Programmdateien. Symantec AntiVirus prüft Programmdateien auf Dateivireninfektionen.

41 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie 41 Anhand von Dateitypen oder -erweiterungen prüfen Symantec AntiVirus kann Ihren Computer anhand von Dateitypen oder -erweiterungen überprüfen. So wählen Sie die Dateitypen aus, die geprüft werden sollen 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie ändern möchten. Wenn Sie eine Prüfung ausgewählt haben, klicken Sie auf "Optionen". Wenn Sie eine Prüfung beim Systemstart, eine benutzerdefinierte oder eine geplante Prüfung gewählt haben, klicken Sie auf die entsprechende Prüfung und anschließend auf "Bearbeiten". Klicken Sie danach auf "Optionen". Änderungen gelten nur für den von Ihnen ausgewählten Prüfungstyp. 2 Klicken Sie auf "Ausgewählte Dateitypen" und anschließend auf "Typen". 3 Wählen Sie einen oder beide der folgenden Dateitypen aus: Dokumentdateien: Dazu gehören Word- und Excel-Dokumente und Vorlagendateien, die mit diesen Dokumenten verknüpft sind. Programmdateien: Dazu gehören Dynamic Link Libraries (.dll), Stapeldateien (.bat), ausführbare Dateien (.exe) und andere Programmdateien. 4 Wenn Sie diese Aktionen für alle nachfolgenden Prüfungen verwenden möchten, klicken Sie auf "Einstellungen speichern". 5 Klicken Sie auf "OK". So fügen Sie Dateinamenerweiterungen zur Prüfliste hinzu 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie ändern möchten. Wenn Sie eine Prüfung ausgewählt haben, klicken Sie auf "Optionen". Wenn Sie eine Prüfung beim Systemstart, eine benutzerdefinierte oder eine geplante Prüfung gewählt haben, klicken Sie auf die Prüfung, die Sie ändern möchten, und anschließend auf "Bearbeiten". Klicken Sie danach auf "Optionen". Änderungen gelten nur für den von Ihnen ausgewählten Prüfungstyp. Wenn Sie "Auto-Protect" ausgewählt haben, fahren Sie mit Schritt 2 fort. 2 Klicken Sie auf "Ausgewählte Dateierweiterungen" und anschließend auf "Erweiterungen". 3 Geben Sie die hinzuzufügende Erweiterung ein und klicken Sie anschließend auf "Hinzufügen". 4 Wiederholen Sie gegebenenfalls Schritt 3. 5 Klicken Sie auf "OK".

42 42 Schutz des Computers vor Viren und Sicherheitsrisiken Allgemeines zur Virenschutz- und Sicherheitsrisiko-Richtlinie Alle Dateitypen überprüfen Symantec AntiVirus kann alle Dateien auf Ihrem Computer prüfen, ungeachtet der Dateinamenerweiterung oder des Dateityps. Bei der Prüfung aller Dateitypen erfolgt die Überprüfung am gründlichsten, weil Symantec AntiVirus auf diese Weise Viren und Sicherheitsrisiken auch in solchen Dateien finden kann, die üblicherweise nicht geprüft werden. Die Prüfung nach allen Dateitypen ist zeitaufwändiger als die Prüfung nach ausgewählten Dateitypen oder nach Dateinamenerweiterungen, doch sie ist auch gründlicher. Wenn Sie Wert auf eine möglichst schnelle Prüfung legen, sollten Sie Auto- Protect-Prüfungen oder Leerlaufprüfungen (falls verfügbar) nach Dateinamenerweiterungen einrichten und mindestens eine wöchentliche Prüfung planen, um Ihren Computer gründlich zu prüfen. Infektionen durch Makroviren verhindern Symantec AntiVirus prüft und entfernt automatisch die meisten Makroviren in Microsoft Word und Excel. Wenn Sie geplante Prüfungen, Startprüfungen, Leerlaufprüfungen oder Auto-Protect regelmäßig anwenden, können Sie Ihren Computer wirksam vor Infektionen durch Makroviren schützen. Symantec AntiVirus sucht regelmäßig nach Makroviren und entfernt die gefundenen Makroviren automatisch. Am zuverlässigsten verhindern Sie Infektionen durch Makroviren folgendermaßen: Auto-Protect aktivieren. Auto-Protect überprüft alle Dateien fortlaufend, auf die ein Zugriff erfolgt ist (z.b. durch Ausführen oder Öffnen) oder die in irgendeiner Weise (z.b. durch Umbenennen, Bearbeiten, Erstellen, Kopieren oder Verschieben) geändert wurden. Aktivieren Sie Auto-Protect auch für Ihr -System, falls vorhanden. Wählen Sie für alle Prüfoptionen die Prüfung nach Dateityp. Schützen Sie Ihre globalen Vorlagendateien, indem Sie die Funktion zum automatischen Ausführen von Makros deaktivieren. Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Symantec AntiVirus führt bei mit Viren oder Sicherheitsrisiken infizierten Dateien eine erste und eine zweite Aktion aus. Wird durch Auto-Protect oder während einer Prüfung ein Virus gefunden, versucht Symantec AntiVirus automatisch, die infizierte Datei vom Virus zu säubern. Gelingt dies nicht, führt Symantec AntiVirus die Ersatzaktion durch: Es protokolliert den fehlgeschlagenen Versuch und verschiebt die infizierte Datei in den Quarantänebereich, damit sich der Virus nicht ausbreiten kann. Sie haben dann keinen Zugriff mehr auf die Datei.

43 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect 43 Abhängig von Ihrer Virenschutzrichtlinie können Sie diese Einstellungen in "Infizierte Datei löschen" oder "Nichts unternehmen (nur protokollieren)" ändern. Auto-Protect bietet Ihnen außerdem eine Option, mit der Sie den Zugriff auf die Datei verhindern können. Ferner können Sie für Makro- und Nicht- Makroviren unterschiedliche Aktionen für jeden Prüfungstyp festlegen. Wird durch Auto-Protect oder während einer Prüfung ein Sicherheitsrisiko gefunden, isoliert Symantec AntiVirus die infizierte Datei und versucht automatisch, die durch das Sicherheitsrisiko auf Ihrem Computer verursachten Änderungen zu beheben. Durch das Verschieben des Sicherheitsrisikos in den Quarantänebereich wird sichergestellt, dass das Sicherheitsrisiko auf Ihrem Computer nicht mehr aktiv ist, und dass Symantec AntiVirus die Änderungen bei Bedarf rückgängig machen kann. Falls Symantec AntiVirus die Änderungen nicht rückgängig machen kann, wird die Ersatzaktion ausgeführt, d. h. das Risiko wird protokolliert und die Datei bleibt im Quarantänebereich. Sie können diese Einstellungen für jeden Prüfungstyp ändern und andere Aktionen für Sicherheitsrisikokategorien und einzelne Sicherheitsrisiken festlegen. Hinweis: Es kann vorkommen, dass Sie unwissentlich eine Anwendung installieren, die ein Sicherheitsrisiko, z. B. Adware oder Spyware, enthält. Um einen instabilen Zustand des Computers zu verhindern, wartet Symantec AntiVirus, bis die Installation der Anwendung abgeschlossen ist, bevor es das Risiko in den Quarantänebereich verschiebt. Anschließend entfernt oder repariert es die Nebeneffekte des Risikos. Verwenden von Auto-Protect Auto-Protect ist die beste Verteidigung gegen Virenangriffe. Wenn Sie auf eine Datei zugreifen, sie kopieren, speichern, verschieben oder öffnen, wird die Datei durch Auto-Protect geprüft, um sicherzustellen, dass sie nicht infiziert ist. Auto-Protect beinhaltet SmartScan, ein Produkt, das Dateierweiterungen, die Dateien mit ausführbarem Code bezeichnen, und alle.exe- und.doc-dateien prüft. SmartScan kann den Dateityp selbst dann ermitteln, wenn ein Virus die Dateierweiterung geändert hat. Es prüft beispielsweise.doc-dateien auch dann, wenn die Dateierweiterung von einem Virus in eine andere Erweiterung geändert wurde, die nicht in der Liste der von SmartScan zu prüfenden Dateierweiterungen steht.

44 44 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect Allgemeines zu Auto-Protect und Sicherheitsrisiken Auto-Protect prüft standardmäßig auf Sicherheitsrisiken, z. B. Adware und Spyware, isoliert die infizierten Dateien und versucht, die Nebeneffekte des Sicherheitsrisikos zu entfernen bzw. zu reparieren. Sie können die Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren. Siehe "Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren" auf Seite 47. Auto-Protect und -Prüfung Wenn Sie einen unterstützten Groupware- -Client verwenden, erkennt Symantec AntiVirus diesen bei der Installation und ergänzt Auto-Protect durch Auto-Protect für -Anhänge. Der Echtzeitschutz ist für folgende - Clients verfügbar: Lotus Notes 4.5x, 4.6, 5.0 und 6.x Microsoft Outlook 98/2000/2002/2003 (MAPI und Internet) Microsoft Exchange 5.0 und 5.5 (Client-Version) Hinweis: Die Auto-Protect-Funktion für gilt nur für den unterstützten -Client. -Server werden nicht vor Viren geschützt. Symantec AntiVirus bietet zudem die Auto-Protect-Prüfung für zusätzliche Internet- -Programme, indem es jeglichen Datenverkehr, der die Kommunikationsprotokolle POP3 oder SMTP verwendet, überprüft. Sie können Symantec AntiVirus so konfigurieren, dass es eingehende Nachrichten auf Bedrohungen und Sicherheitsrisiken sowie ausgehende Nachrichten mithilfe der heuristischen Bloodhound-Virenerkennung überprüft. Durch die Prüfung von ausgehenden -Nachrichten wird die Verbreitung von Bedrohungen, z.b. Würmern, verhindert, die sich mithilfe von -Clients replizieren und über ein Netzwerk verteilen. Hinweis: Die -Prüfung wird auf 64-Bit-Computern nicht unterstützt. Bei der -Überprüfung für Lotus Notes und Microsoft Exchange überprüft Symantec AntiVirus nur die -Anhänge. Bei der -Überprüfung von Internet-Nachrichten, die die Protokolle POP3 oder SMTP verwenden, prüft Symantec AntiVirus sowohl den Nachrichtentext als auch alle vorhandenen Anhänge.

45 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect 45 Wenn Auto-Protect für einen unterstützten -Client aktiviert ist und Sie eine Nachricht mit einem Anhang öffnen, wird der Anhang direkt auf Ihren Computer heruntergeladen und geprüft. Das Herunterladen von Nachrichten mit großen Anhängen wirkt sich bei einer langsamen Verbindung negativ auf die Leistung der Mail-Verarbeitung aus. Sie können diese Funktion deaktivieren, wenn Sie regelmäßig große Anhänge erhalten. Bei einigen Aktionen, beispielsweise bei der Installation neuer Software, müssen Sie den Echtzeitschutz vorübergehend deaktivieren. Siehe "Aktivieren und Deaktivieren von Auto-Protect" auf Seite 28. Hinweis: Wenn beim Öffnen Ihrer s ein Virus erkannt wird, kann es einige Sekunden dauern, bis die -Nachricht geöffnet wird, da Symantec AntiVirus erst die Prüfung abschließt. Die -Prüfung unterstützt die folgenden -Clients nicht: IMAP-Clients AOL -Clients POP3-Clients mit SSL (Secure Sockets Layer) Web-basierte , z. B. Hotmail - und Yahoo! -Mail -Prüfung für SSL-Verbindungen deaktivieren Wenn Ihr Internet-Dienstanbieter das SSL-Protokoll verwendet, können beim Senden Ihrer -Nachrichten Probleme auftreten, wenn die -Prüfung von Symantec AntiVirus aktiviert ist. Deaktivieren Sie in diesem Fall die - Prüfung von Symantec AntiVirus. Der Auto-Protect-Dateisystemschutz schützt Computer weiterhin vor Viren und Sicherheitsrisiken in Anhängen, auch wenn die Prüfung des Internet-E- Mail-Clients deaktiviert wurde. Er prüft -Anhänge, wenn Sie diese auf der Festplatte speichern. Stellen Sie sicher, dass Auto-Protect aktiviert ist, nachdem Sie das -Prüfprogramm deaktiviert haben, und führen Sie LiveUpdate regelmäßig aus, um sicherzugehen, dass Auto-Protect optimal konfiguriert ist. Auto-Protect ermöglicht den Echtzeit-Virenschutz für beliebige Quellen, einschließlich Internet, und prüft -Anhänge bei jedem Zugriff automatisch.

46 46 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden von Auto-Protect So deaktivieren Sie die -Prüfung 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "< > Auto-Protect". 3 Deaktivieren Sie "< >-Auto-Protect aktivieren". 4 Klicken Sie auf "OK". Anzeigen der Auto-Protect-Prüfungsstatistik Die Auto-Protect-Prüfungstatistik zeigt den Status der letzen Auto-Protect- Prüfung, die zuletzt geprüfte Datei und Informationen zu Vireninfektionen und Sicherheitsrisiken an. So zeigen Sie die Auto-Protect-Prüfungsstatistik an Klicken Sie in Symantec AntiVirus im Menü "Ansicht" auf "Auto-Protect- Prüfstatistik". Auto-Protect ändern und SmartScan verwenden Auto-Protect prüft laut Voreinstellung alle Dateien. Die Überprüfung aller Dateien und die Verwendung von SmartScan gewährleistet maximalen Schutz vor Viren und Sicherheitsrisiken. SmartScan ist standardmäßig aktiviert. Die Prüfung mit Symantec AntiVirus ist schneller, wenn sie auf Dateien mit bestimmten Erweiterungen wie.exe,.com,.dll,.doc und.xls beschränkt ist. Diese Prüfmethode bietet zwar weniger Schutz, ist aber besonders effizient für die Suche nach Viren, da manche Viren nur bestimmte Dateitypen infizieren. Die Standardliste mit den Dateierweiterungen enthält die Dateitypen, die am häufigsten von Infektionen durch Viren betroffen sind. So ändern Sie Auto-Protect und verwenden SmartScan 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Führen Sie im Gruppenfeld "Dateitypen" einen der folgenden Schritte aus: Klicken Sie auf "Alle Typen", wenn Symantec AntiVirus alle Dateien prüfen soll. Klicken Sie auf "Ausgewählte ", damit Symantec AntiVirus nur die Dateien mit den ausgewählten Erweiterungen überprüft, und anschließend auf "Erweiterungen", um die Liste der Dateierweiterungen zu ändern. Stellen Sie sicher, dass SmartScan für Symantec AntiVirus aktiviert ist, damit die Prüfung mithilfe dieser Funktion ausgeführt werden kann. 4 Klicken Sie auf "OK", um Ihre Einstellungen zu speichern.

47 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes 47 Prüfung auf Sicherheitsrisiken in Auto-Protect deaktivieren und aktivieren Auto-Protect prüft standardmäßig auf Sicherheitsrisiken, z. B. Adware und Spyware, isoliert die infizierten Dateien und versucht, die Nebeneffekte des Sicherheitsrisikos zu entfernen bzw. zu reparieren. Manchmal kann es jedoch sinnvoll sein, die Prüfung auf Sicherheitsrisiken im Auto-Protect-Dateisystemschutz vorübergehend zu deaktivieren. Hinweis: Möglicherweise hat Ihr Administrator diese Einstellung gesperrt. So deaktivieren bzw. aktivieren Sie die Prüfung auf Sicherheitsrisiken in Auto-Protect 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Konfigurieren". 2 Klicken Sie im rechten Teilfenster auf "Dateisystem-Auto-Protect". 3 Deaktivieren oder aktivieren Sie unter "Optionen" die Option "Prüfen auf Sicherheitsrisiken". 4 Klicken Sie auf "OK". Verwenden des Manipulationsschutzes Der Manipulationsschutz schützt Symantec-Anwendungen vor der Manipulation durch Würmer, Trojanische Pferde, Viren und Sicherheitsrisiken. Manipulationsschutz aktivieren, deaktivieren und konfigurieren Wenn der Manipulationsschutz aktiviert ist, können Sie Symantec AntiVirus so konfigurieren, dass Änderungsversuche an Symantec-Anwendungen blockiert bzw. protokolliert werden. Ferner können Sie eine Meldung erstellen, die auf Ihrem Computer angezeigt wird, wenn Symantec AntiVirus einen Manipulationsversuch erkennt. Hinweis: Wenn Ihr Computer von einem Administrator verwaltet und für die Option "Manipulationsschutz" ein Sicherheitsschloss angezeigt wird, können Sie diese Optionen nicht ändern, da sie durch Ihren Administrator gesperrt wurden.

48 48 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes So aktivieren, deaktivieren und konfigurieren Sie den Manipulationsschutz 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Manipulationsschutz". 2 Aktivieren oder deaktivieren Sie im rechten Fenster die Option "Manipulationsschutz aktivieren". 3 Wenn Sie den Manipulationsschutz aktiviert haben, führen Sie unter "Schutz" in der Dropdown-Liste einen der folgenden Schritte aus: Um eine unbefugte Aktivität zu blockieren, klicken Sie auf "Blockieren". Um eine unbefugte Aktivität zu protokollieren, deren Ausführung jedoch zuzulassen, klicken Sie auf "Nur protokollieren". 4 Aktivieren oder deaktivieren Sie "Manipulationsschutz aktiviert lassen, auch wenn Symantec AntiVirus beendet wird". 5 Aktivieren oder deaktivieren Sie unter "Benachrichtigungen" die Option "Meldung auf betroffenem Computer anzeigen". 6 Klicken Sie auf "OK".

49 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes 49 Meldungen für den Manipulationsschutz erstellen Der Manipulationsschutz ermöglicht das Erstellen von Meldungen, die angezeigt werden, wenn ein Angriff auf Symantec-Prozesse erkannt wird. Die von Ihnen erstellte Meldung kann aus Text und ausgewählten Feldern bestehen. Die ausgewählten Felder bestehen aus Variablen, die mit Werten gefüllt werden, die die Merkmale des Angriffs beschreiben. In Tabelle 3-1 werden die Felder beschrieben, die Sie auswählen können. Tabelle 3-1 Feld Dateiname Feldnamen und -beschreibungen für Meldungen des Manipulationsschutzes Beschreibung Der Name der Datei, die den Angriff auf geschützte Prozesse verübt hat. Pfad und Dateiname Ablageort Computer Benutzer Gefunden am Durchgeführte Aktion Systemereignis Entitätstyp ID des angreifenden Prozesses Name des angreifenden Prozesses Zielpfadname Ziel-Prozess-ID Ziel-Terminal-Sitzungs-ID Der vollständige Dateipfad und der Name der Datei, die den Angriff auf geschützte Prozesse verübt hat. Der Bereich der Computerhardware oder -Software, der vor Manipulation geschützt ist. Für Meldungen des Manipulationsschutzes sind dies Symantec-Anwendungen. Der Name des Computers, auf den der Angriff verübt wurde. Der Name des Benutzers, der während des Angriffs angemeldet war. Das Datum, an dem der Angriff stattgefunden hat. Die Reaktion des Manipulationsschutzes auf den Angriff. Die Art der Manipulation. Die Art des Ziels, das vom Prozess angegriffen wurde. Die ID des Prozesses, von dem der Angriff ausgegangen ist. Der Name des Prozesses, der den Angriff auf eine Symantec-Anwendung verübt hat. Der Speicherort des Ziels, das vom Prozess angegriffen wurde. Die Prozess-ID des Ziels, das vom Prozess angegriffen wurde. Die ID der Terminal-Sitzung, bei der das Ereignis aufgetreten ist.

50 50 Schutz des Computers vor Viren und Sicherheitsrisiken Verwenden des Manipulationsschutzes Erstellen Sie die Meldungen entsprechend des folgenden Formats: Von Ihnen eingegebener Text: [Feldname 1] [Feldname 2] (optionaler und zusätzlicher Text, den Sie eingeben [Feldname x]) Das folgende Beispiel zeigt eine Meldung, die angibt, welcher Prozess welche Aktion wann auszuführen versucht hat: Datum: [Gefunden am] Prozess gefunden unter: [Pfad und Dateiname] (Name: [Name des angreifenden Prozesses) Angriffsziel: [Zielpfadname] [Ziel-Prozess-ID] So erstellen Sie Meldungen für den Manipulationsschutz 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Manipulationsschutz". 2 Stellen Sie im rechten Fenster unter "Benachrichtigungen" sicher, dass die Option "Meldung auf betroffenem Computer anzeigen" aktiviert ist, und klicken Sie anschließend auf "Meldung". 3 Setzen Sie den Cursor in das Meldungsfeld. 4 Verwenden Sie die Tastatur, um den Cursor zu bewegen, Zeilen einzufügen und Text einzugeben oder zu löschen. 5 Platzieren Sie den Cursor an einer Position, an der ein Feld eingefügt werden soll, klicken Sie mit der rechten Maustaste, wählen Sie "Feld einfügen" und wählen Sie dann das einzufügende Feld aus. Siehe "Feldnamen und -beschreibungen für Meldungen des Manipulationsschutzes" auf Seite Wiederholen Sie gegebenenfalls die Schritte 4 und 5. 7 Klicken Sie mit der rechten Maustaste in das Feld und wählen Sie "Ausschneiden", "Kopieren", "Einfügen", "Löschen" oder "Rückgängig". 8 Klicken Sie auf "OK".

51 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 51 Prüfung auf Viren und andere Sicherheitsrisiken Neben Auto-Protect, dem effektivsten Schutz gegen Vireninfektionen und Sicherheitsrisiken, bietet Symantec AntiVirus weitere Prüfungstypen. Die folgenden Prüfungen stehen zur Verfügung: Benutzerdefinierte Prüfung: Datei, Ordner, Laufwerk oder den gesamten Computer zu einem beliebigen Zeitpunkt prüfen. Sie wählen aus, welche Teile des Computers geprüft werden sollen. Schnellprüfung: Arbeitsspeicher und Speicherorte, die am häufigsten von Infektionen durch Viren und Sicherheitsrisiken betroffen sind, schnell prüfen. Vollständige Prüfung: Gesamten Computer prüfen, einschließlich Boot- Sektor und Arbeitsspeicher. Bei der Prüfung von Netzlaufwerken müssen Sie möglicherweise ein Kennwort eingeben. Geplante Prüfungen: Prüfungen unbeaufsichtigt in bestimmten Abständen ausführen. Startprüfungen: Bei jedem Start des Computers nach Viren suchen. Benutzerdefinierte Prüfungen: Bestimmte Dateien zu beliebiger Zeit prüfen. In der Regel genügt eine Schnellprüfung eine wöchentliche geplante Prüfung aller Dateien, solange Auto-Protect ständig aktiv ist. Wenn Ihr Computer häufig von Viren befallen wird, empfiehlt es sich, eine vollständige Prüfung beim Start oder eine tägliche geplante Prüfung einzurichten. Gewöhnen Sie sich an, Disketten stets vor dem ersten Gebrauch zu prüfen, insbesondere dann, wenn sie bereits in Umlauf waren. Erkennung von Viren und Sicherheitsrisiken durch Symantec AntiVirus Symantec AntiVirus verhindert Vireninfektionen, indem es den Boot-Sektor, den Arbeitsspeicher und die Dateien des Computers auf Viren und Sicherheitsrisiken prüft. Die Prüf-Engine von Symantec AntiVirus verwendet die in Definitionsdateien gespeicherten Signaturen für Viren und Sicherheitsrisiken, um ausführbare Dateien umfassend auf bekannte Viren zu prüfen. Symantec AntiVirus prüft außerdem die ausführbaren Teile von Dokumentdateien, um Makroviren zu finden. Sie können eine Prüfung in Ihrer Anwesenheit ausführen oder während Sie abwesend sind.

52 52 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken Was passiert bei einer Prüfung Während einer Prüfung durchsucht Symantec AntiVirus den Arbeitsspeicher des Computers, den Boot-Sektor und ausgewählte Laufwerke nach Mustern für Viren und Sicherheitsrisiken oder Signaturen, die auf ein Risiko schließen lassen. Arbeitsspeicher des Computers Symantec AntiVirus prüft den Arbeitsspeicher des Computers. Dateiviren, Boot- Sektor-Viren und Makroviren können speicherresident sein. Speicherresidente Viren kopieren sich selbst in den Arbeitsspeicher des Computers. Dort bleibt der Virus verborgen, bis er durch ein bestimmtes Ereignis aktiviert wird. Danach kann der Virus eine im Diskettenlaufwerk befindliche Diskette oder die Festplatte infizieren. Wenn ein Virus in den Arbeitsspeicher gelangt ist, ist eine direkte Säuberung nicht möglich. Um den Virus aus dem Arbeitsspeicher zu entfernen, müssen Sie den Computer neu starten, wenn Sie dazu aufgefordert werden. Boot-Sektor Symantec AntiVirus prüft den Boot-Sektor des Computers auf Boot-Sektor- Viren. Es werden zwei Bereiche geprüft: Die Partitionstabellen und der Master- Boot-Sektor. Diskettenlaufwerk Häufig verbreiten sich Viren über Disketten, die sich beim Ein- oder Ausschalten des Computers im Diskettenlaufwerk befinden. Befindet sich zu Beginn einer Prüfung eine Diskette im Laufwerk, prüft Symantec AntiVirus den Boot-Sektor und die Partitionstabellen der Diskette. Wenn sich beim Herunterfahren Ihres Computers eine Diskette im Laufwerk befindet, werden Sie aufgefordert, die Diskette aus dem Laufwerk zu nehmen, um einer möglichen Infektion vorzubeugen. Ausgewählte Dateien Symantec AntiVirus prüft einzelne Dateien. Bei den meisten Prüfungen können Sie entscheiden, welche Dateien geprüft werden sollen. Bei einer Prüfung prüft Symantec AntiVirus die Dateien auf bestimmte "Virusspuren", die als Muster oder Signaturen bezeichnet werden. Die einzelnen Dateien werden mit den Mustern verglichen, die zur Identifizierung möglicher Viren in völlig ungefährlicher Form in der Definitionsdatei enthalten sind. Wenn ein Virus gefunden wird, versucht Symantec AntiVirus, diesen aus der infizierten Datei zu entfernen. Wenn die Datei nicht gesäubert werden kann, isoliert Symantec AntiVirus die Datei, um weitere Infektionen auf Ihrem Computer zu verhindern.

53 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 53 Symantec AntiVirus verwendet die Prüfung auf bestimmte Muster auch für die Erkennung von Sicherheitsrisiken in Dateien und Registrierungsschlüsseln. Wenn ein Sicherheitsrisiko gefunden wird, isoliert Symantec AntiVirus die infizierten Dateien und versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind. Falls eine Reparatur nicht möglich ist, wird der Angriffsversuch protokolliert. Nach Beendigung der Prüfung werden die Ergebnisse angezeigt. Allgemeines zu Definitionsdateien Viren bestehen aus einem Softwarecode, der bei genauer Betrachtung bestimmte Muster (so genannte Signaturen) aufweist. Diese Virenmuster können in infizierten Dateien aufgespürt werden. Sicherheitsrisiken, wie Adware und Spyware, weisen ebenfalls Muster oder Signaturen auf. Die Definitionsdatei enthält die Signaturen der bekannten Viren, nicht jedoch den schädlichen Virencode. Außerdem enthält sie Signaturen bekannter Sicherheitsrisiken. Das Prüfprogramm sucht in Ihren Dateien nach den in der Definitionsdatei enthaltenen Mustern. Wenn er eine Übereinstimmung mit einem Virus findet, ist die Datei infiziert. Symantec AntiVirus ermittelt mithilfe der Definitionsdatei, welcher Virus die Infektion verursacht hat, und um dessen Nebeneffekte zu reparieren. Wenn ein Sicherheitsrisiko gefunden wird, verwendet Symantec AntiVirus die Definitionsdatei, um den Virus zu isolieren und um dessen Nebeneffekte zu reparieren. Da im Computerbereich beinahe täglich neue Viren und Sicherheitsrisiken auftauchen, müssen die Definitionsdateien regelmäßig aktualisiert werden, damit Symantec AntiVirus auch die neuesten Viren und Sicherheitsrisiken zuverlässig erkennen und entfernen kann. Prüfung von komprimierten und kodierten Dateien Symantec AntiVirus prüft komprimierte und codierte Dateien, z. B. ZIP-Dateien. Ihr Administrator kann festlegen, dass bis zu 10 Ebenen der komprimierten Dateien, die weitere komprimierte Dateien enthalten, geprüft werden. Wenden Sie sich bitte an Ihren Administrator, wenn Sie wissen möchten, welche Arten von komprimierten Dateien geprüft werden können. Wenn Auto-Protect aktiviert ist, werden alle Dateien geprüft, die aus einer komprimierten Datei extrahiert werden.

54 54 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken Manuelle Prüfungen starten Sie können Prüfungen auf Viren und Sicherheitsrisiken, z.b. Spyware und Adware, jederzeit starten. Wählen Sie hierzu eine einzelne Datei, eine Diskette oder Ihren gesamten Computer aus. Die Schnellprüfung und die vollständige Prüfung sind ebenfalls Bestandteil der manuellen Prüfung. Manuelle Prüfungen starten Manuelle Prüfungen können im Fenster "Arbeitsplatz", in Windows Explorer oder im Hauptfenster von Symantec AntiVirus gestartet werden. So starten Sie eine manuelle Prüfung in Windows Klicken Sie im Fenster "Arbeitsplatz" oder in Windows Explorer mit der rechten Maustaste auf eine Datei, einen Ordner oder ein Laufwerk und wählen Sie "Suche nach Viren". Hinweis: Diese Funktion wird von 64-Bit-Betriebssystemen nicht unterstützt. So starten Sie eine manuelle Prüfung in Symantec AntiVirus 1 Erweitern Sie in Symantec AntiVirus im linken Teilfenster die Option "Prüfen". 2 Wählen Sie im linken Teilfenster eine der folgenden Optionen: Diskette prüfen Diese Option ist nur verfügbar, wenn ein Diskettenlaufwerk vorhanden ist. Benutzerdefinierte Prüfung Schnellprüfung Vollständige Prüfung

55 Schutz des Computers vor Viren und Sicherheitsrisiken Prüfung auf Viren und andere Sicherheitsrisiken 55 3 Wenn Sie "Diskette prüfen" oder "Benutzerdefinierte Prüfung" im rechten Teilfenster ausgewählt haben, führen Sie die folgenden Schritte aus: Doppelklicken Sie auf ein Laufwerk oder einen Ordner, um es bzw. ihn zu öffnen oder zu schließen. Aktivieren Sie die Elemente, die geprüft werden sollen. Die Symbole haben folgende Bedeutung: Die Datei, das Laufwerk oder der Ordner ist nicht ausgewählt. Wenn es sich bei dem Element um ein Laufwerk oder einen Ordner handelt, sind die darin enthaltenen Ordner bzw. Dateien ebenfalls nicht ausgewählt. Die einzelne Datei oder der einzelne Ordner ist ausgewählt. Der einzelne Ordner oder das Laufwerk ist ausgewählt. Alle Elemente innerhalb des Ordners oder Laufwerks sind ebenfalls ausgewählt. Der einzelne Ordner oder das Laufwerk ist nicht ausgewählt, dafür sind jedoch ein oder mehrere Elemente innerhalb des Ordners oder Laufwerks ausgewählt.

56 56 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 4 Klicken Sie bei allen manuellen Prüfungen auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 5 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird. 6 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 7 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 8 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Prüfen". Symantec AntiVirus startet die Prüfung und zeigt die Ergebnisse an. Konfigurieren der Prüfung Sie können mehrere unterschiedliche Prüfungen konfigurieren, um Ihren Computer vor Viren und Sicherheitsrisiken zu schützen. Geplante Prüfungen erstellen Eine geplante Prüfung ist eine wichtige Komponente beim Schutz vor Bedrohungen und Sicherheitsrisiken. Planen Sie eine Prüfung so, dass sie mindestens einmal pro Woche ausgeführt wird, um sicherzustellen, dass Ihr Computer frei von Viren und Sicherheitsrisiken, z.b. Adware und Spyware, bleibt. Hinweis: Vom Netzwerkadministrator geplante Prüfungen werden im Bereich "Geplante Prüfungen" des Ordners "Ansicht" angezeigt und nicht im Ordner "Geplante Prüfungen". Der Ordner "Geplante Prüfungen" enthält nur die von Ihnen geplanten Prüfungen.

57 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 57 So erstellen Sie eine geplante Prüfung 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Geplante Prüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue geplante Prüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. Nennen Sie die Prüfung beispielsweise "Freitag, um 16 Uhr". 6 Klicken Sie auf "Weiter". 7 Geben Sie die Häufigkeit und den Zeitpunkt der Prüfung ein und klicken Sie auf "Weiter". 8 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite 54.

58 58 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 9 Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 10 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird. 11 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 12 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 13 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". Zum Zeitpunkt der Prüfung muss der Computer eingeschaltet und die Symantec AntiVirus-Dienste müssen geladen sein. Die Symantec AntiVirus- Dienste werden standardmäßig beim Systemstart geladen. Die neue Prüfung wird zur Liste im Ordner "Geplante Prüfungen" hinzugefügt. Mehrere geplante Prüfungen erstellen Wenn Sie für einen Computer mehrere Prüfungen planen, die zur gleichen Zeit starten, kann dies zu einer übermäßig starken CPU-Auslastung führen, oder eine oder mehrere der geplanten Prüfungen werden nicht gestartet. Wenn Sie z.b. drei verschiedene Prüfungen für die Laufwerke C, D und E Ihres Computers planen, die alle um Uhr starten sollen, können eine oder mehrere der Prüfungen möglicherweise nicht gestartet werden. Für dieses Beispiel bietet es sich an, eine gemeinsame Prüfung für die Laufwerke C, D und E zu planen.

59 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 59 Startprüfungen erstellen Einige Benutzer ergänzen eine geplante Prüfung durch eine automatische Prüfung bei jedem Start ihres Computers. Oft ist eine Startprüfung auf wichtige Ordner mit hohem Infektionsrisiko beschränkt, wie beispielsweise den Windows- Ordner und Ordner, die Microsoft Word- und Excel-Vorlagen enthalten. Hinweis: Wenn Sie mehrere Startprüfungen erstellen, werden sie nacheinander in der Reihenfolge ausgeführt, in der sie erstellt wurden. Symantec AntiVirus unterstützt für nicht verwaltete Clients auch eine Prüfung beim Systemstart, "Autom. erstellte Schnellprüfung" genannt. Bei dieser Prüfung werden jedes Mal, wenn ein Benutzer sich am Computer anmeldet, die Dateien im Arbeitsspeicher und andere gängige Infektionsorte auf dem Computer auf Viren und Sicherheitsrisiken überprüft. Sie können diese Prüfung auf dieselbe Weise wie eine manuelle Prüfung konfigurieren. Es ist jedoch nicht möglich, den Prüfvorgang der Dateien im Arbeitsspeicher und an anderen gängigen Infektionsorten zu stoppen. So erstellen Sie eine Prüfung beim Systemstart 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Startprüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue Startprüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. 6 Klicken Sie auf "Weiter". 7 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite 54.

60 60 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 8 Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 9 Klicken Sie auf "Erweitert", um einzurichten, dass während der Prüfung beim Systemstart ein Statusfeld angezeigt wird. 10 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 11 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 12 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". Die Prüfung wird ausgeführt, wenn Sie Ihren Computer starten und Windows geladen wird. Benutzerdefinierte Prüfungen erstellen Wenn Sie regelmäßig dieselben Dateien oder Ordner prüfen, können Sie eine benutzerdefinierte Prüfung erstellen, in der nur diese Elemente geprüft werden. Somit können Sie jederzeit schnell prüfen, ob die betreffenden Dateien und Ordner frei von Viren und Sicherheitsrisiken sind. Benutzerdefinierte Prüfungen erstellen Sie haben die Möglichkeit, benutzerdefinierte Prüfungen zu erstellen, die jederzeit manuell ausgeführt werden können.

61 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 61 So erstellen Sie eine benutzerdefinierte Prüfung 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Benutzerdefinierte Prüfungen". 2 Klicken Sie im rechten Teilfenster auf "Neue benutzerdefinierte Prüfung". 3 Wählen Sie einen der folgenden Prüfungstypen aus: Schnellprüfung Vollständige Prüfung Benutzerdefinierte Prüfung 4 Klicken Sie auf "Weiter". 5 Geben Sie einen Namen und eine Beschreibung für die Prüfung ein. 6 Klicken Sie auf "Weiter". 7 Wenn Sie "Benutzerdefinierte Prüfung" ausgewählt haben, markieren Sie die entsprechenden Kontrollkästchen im rechten Teilfenster, um festzulegen, wo geprüft werden soll. Sie können alles von einer einzelnen Datei bis hin zum gesamten Computer auswählen. Siehe "Manuelle Prüfungen starten" auf Seite Klicken Sie auf "Optionen", um die Standardeinstellungen zu ändern. Sie können dann festlegen, was geprüft und wie auf einen Virus oder ein Sicherheitsrisiko reagiert werden soll. Es stehen folgende Standardeinstellungen zur Verfügung: Standardmäßig werden alle Dateien geprüft. Bei einer Vireninfektion sind die Optionen so voreingestellt, dass versucht wird, die infizierte Datei vom Virus zu säubern und dessen Nebeneffekte zu entfernen bzw. zu reparieren, oder, falls dies nicht möglich ist, die infizierte Datei zu isolieren. Bei Sicherheitsrisiken werden standardmäßig das Sicherheitsrisiko isoliert und es wird versucht, dessen Nebeneffekte zu entfernen bzw. zu reparieren. Falls dies nicht möglich ist, wird das Risiko protokolliert. Wenn die geänderten Einstellungen nur für die aktuelle Prüfung gelten sollen, klicken Sie auf "OK". Wenn die geänderten Einstellungen auf alle künftigen Prüfungen angewendet werden sollen, klicken Sie auf "Einstellungen speichern". 9 Klicken Sie auf "Erweitert", um einzurichten, dass während der geplanten Prüfung ein Statusfeld angezeigt wird.

62 62 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 10 Klicken Sie im Dialogfeld "Erweiterte Prüfoptionen" in der Dropdown-Liste unter "Dialogfeldoptionen" auf "Prüfstatus anzeigen" und anschließend auf "OK". 11 Klicken Sie im Dialogfeld "Prüfoptionen" auf "OK". 12 Klicken Sie im Hauptfenster von Symantec AntiVirus auf "Speichern". So führen Sie eine benutzerdefinierte Prüfung aus 1 Klicken Sie im linken Teilfenster von Symantec AntiVirus auf "Benutzerdefinierte Prüfungen". 2 Doppelklicken Sie auf eine benutzerdefinierte Prüfung. Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen Sie können vorhandene Prüfungen jederzeit neu konfigurieren. Bei Bedarf können Prüfungen auch gelöscht werden. Prüfungen bearbeiten und löschen Sie können Startprüfungen, benutzerdefinierte Prüfungen und geplante Prüfungen bearbeiten und löschen. Optionen, die für einen Prüfungstyp nicht zur Verfügung stehen, werden grau dargestellt. So bearbeiten Sie eine Prüfung 1 Wählen Sie im linken Teilfenster von Symantec AntiVirus die Prüfung aus, die Sie bearbeiten möchten. 2 Klicken Sie auf "Bearbeiten". 3 Führen Sie einen der folgenden Schritte aus: Wenn Sie eine benutzerdefinierte Prüfung ausgewählt haben, wählen Sie die zu prüfenden Dateien, Ordner oder Laufwerke in der Registerkarte "Dateien" aus. Wenn Sie eine geplante Prüfung ausgewählt haben, wählen Sie ein neues Prüfintervall sowie ein Datum und eine Uhrzeit für die Prüfung in der Registerkarte "Zeitplan" aus. Geben Sie in der Registerkarte "Namen/Beschreibung" den Namen und eine Beschreibung der Prüfung ein.

63 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 63 4 Klicken Sie ggf. auf "Optionen", um eine der folgende Prüfoptionen zu ändern: Dateitypen: Nach Dateierweiterungen oder -typen prüfen Prüfungsoptimierung: Die in den Arbeitsspeicher geladenen Programme und häufig infizierte Speicherorte prüfen und vor der Prüfung von ausgewählten Dateien und Ordnern nach Spuren von bekannten Viren und Sicherheitsrisiken suchen Dateien und Ordner ausschließen Erweiterte Prüfoptionen: Komprimierte Dateien, Speichermigration, usw. Aktionen, die ausgeführt werden, wenn ein Virus oder ein Sicherheitsrisiko gefunden wurde Begrenzungsoptionen Benachrichtigungen: Mithilfe der Erkennungsoptionen können Sie eine Meldung erstellen, die angezeigt werden soll, wenn ein Virus oder ein Sicherheitsrisiko gefunden wurde. Mithilfe der Fehlerbehebungsoptionen können Sie konfigurieren, ob Sie vor Ausführung der Fehlerbehebungsaktionen, z. B. vor dem Stoppen eines Dienstes, benachrichtigt werden. 5 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. So löschen Sie eine Prüfung Klicken Sie im linken Teilfenster von Symantec AntiVirus mit der rechten Maustaste auf die zu löschende Prüfung und klicken Sie anschließend auf "Löschen". Aktionen für Viren und Sicherheitsrisiken konfigurieren Die Konfiguration von Aktionen, die Symantec AntiVirus bei Erkennung eines Virus oder Sicherheitsrisikos ausführen soll, ist ein wichtiger Bestandteil der Prüfung auf Viren und Sicherheitsrisiken. Sie können angeben, welche Aktion zuerst ausgeführt werden soll, und eine Ersatzaktion, falls die erste Aktion fehlschlägt. Hinweis: Wenn Ihr Computer von einem Administrator verwaltet und bei diesen Optionen ein Sicherheitsschloss angezeigt wird, können Sie diese Optionen nicht ändern, da sie durch Ihren Administrator gesperrt wurden.

64 64 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Im folgenden Beispiel werden Aktionen für eine vollständige Prüfung eingerichtet. Für andere Prüfungstypen können Sie auf die gleiche Weise Aktionen für Kategorien und für einzelne Viren und Sicherheitsrisiken festlegen. So konfigurieren Sie Aktionen für Viren und Sicherheitsrisiken 1 Erweitern Sie im linken Teilfenster die Option "Prüfen" und klicken Sie auf "Vollständige Prüfung". 2 Klicken Sie im rechten Teilfenster auf "Optionen". 3 Klicken Sie im Fenster "Prüfoptionen" auf "Aktionen". 4 Wählen Sie in der Verzeichnisstruktur des Dialogfelds "Aktionen" einen Viren- oder Sicherheitsrisikotyp aus. Standardmäßig werden für jede einzelne Sicherheitsrisiko-Unterkategorie, z. B. Spyware, automatisch die Aktionen übernommen, die auf der obersten Ebene der Kategorie "Sicherheitsrisiken" festgelegt wurden. Wenn Sie für eine Instanz oder Unterkategorie unterschiedliche Aktionen verwenden möchten, aktivieren Sie die Option "Für Sicherheitsrisiken konfigurierte Aktionen überschreiben" und legen Sie dann die Aktionen für diese Unterkategorie bzw. Instanz fest.

65 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 65 5 Wählen Sie die erste und zweite Aktion aus den folgenden Optionen aus: Bedrohung säubern Entfernt den Virus aus der infizierten Datei. Dies ist die Vorgabe für die erste Aktion bei einer Vireninfektion. Hinweis: Diese Aktion ist für Sicherheitsrisiken nicht verfügbar. Das Säubern von Dateien sollte immer Ihre primäre Aktion sein. Wenn Symantec AntiVirus einen Virus erfolgreich aus einer Datei entfernt, müssen Sie keine weiteren Aktionen mehr unternehmen. Ihr Computer ist dann virenfrei und es besteht somit nicht mehr die Gefahr der Verbreitung dieses Virus auf andere Bereiche des Computers. Wenn Symantec AntiVirus eine Datei säubert, entfernt es den Virus aus der infizierten Datei, dem Boot-Sektor oder den Partitionstabellen, wodurch eine Ausbreitung des Virus verhindert wird. Er kann normalerweise von Symantec AntiVirus entfernt werden, bevor er weiteren Schaden auf Ihrem Computer verursacht. In bestimmten Fällen jedoch kann es, je nach Umfang des bereits verursachten Schadens, vorkommen, dass die gesäuberte Datei nicht mehr verwendet werden kann. Dies ist auf die Vireninfektion und nicht auf die Säuberungsaktion zurückzuführen. Einige infizierte Dateien können nicht gesäubert werden. Bedrohung isolieren Es wird eine der folgenden Aktionen ausgeführt: Wenn es sich um einen Virus handelt, wird die infizierte Datei von ihrem ursprünglichen Ablageort in den Quarantänebereich verschoben. Infizierte Dateien innerhalb des Quarantänebereichs können keine Viren verbreiten. Dies ist die Vorgabe für die zweite Aktion bei einer Vireninfektion. Bei Sicherheitsrisiken werden alle infizierten Dateien von ihrem ursprünglichen Ablageort in den Quarantänebereich des infizierten Computers verschoben und es wird versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind. Dies ist die Vorgabe für die erste Aktion bei einer Infektion durch Sicherheitsrisiken. Der Quarantänebereich enthält Informationen zu allen ausgeführten Aktionen, so dass der Computer bei Bedarf in den Zustand zurückgesetzt werden kann, den er hatte, bevor Symantec AntiVirus das Risiko entfernt hat.

66 66 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Bedrohung löschen Löscht die infizierte Datei zusammen mit dem Virus von der Festplatte. Wenn Symantec AntiVirus die Datei nicht löschen kann, werden zusätzliche Informationen über die von Symantec AntiVirus durchgeführte Aktion im Dialogfeld "Benachrichtigung" angezeigt und im Ereignisprotokoll gespeichert. Wählen Sie diese Aktion nur, wenn Sie die Datei durch eine Sicherungskopie ersetzen können, die frei von Viren und Sicherheitsrisiken ist, da die Datei endgültig gelöscht wird und nicht vom Papierkorb wiederhergestellt werden kann. Hinweis: Verwenden Sie diese Aktion bei der Konfiguration von Aktionen für Sicherheitsrisiken mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. Nichts unternehmen (nur protokollieren) Es wird eine der folgenden Aktionen ausgeführt: Wenn es sich um einen Virus handelt, wird die infizierte Datei nicht geändert. Der Virus bleibt in der Datei und kann die Infektion auf andere Bereiche Ihres Computers übertragen. Es wird ein entsprechender Eintrag in das Risikoprotokoll eingefügt, um die infizierte Datei zu erfassen. Sie können die Option "Nichts unternehmen (nur protokollieren)" als zweite Aktion sowohl für Makro- als auch für Nicht-Makro-Viren verwenden. Wählen Sie diese Aktion für umfangreiche automatisierte Prüfungen, z. B. geplante Prüfungen, nur dann, wenn Sie zuerst die Prüfergebnisse der Prüfung anzeigen und erst später eine weitere Aktion durchführen möchten, beispielsweise die Datei in den Quarantänebereich verschieben. Bei Sicherheitsrisiken werden die betroffenen Dateien nicht geändert und ein entsprechender Eintrag in das Risikoprotokoll eingefügt, um das Risiko zu erfassen. Mit dieser Option können Sie manuell steuern, wie Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko handhabt. Dies ist die Vorgabe für die zweite Aktion bei einer Infektion durch Sicherheitsrisiken. Ihr Systemadministrator kann Ihnen in einer Nachricht mitteilen, wie Sie reagieren sollen. Siehe "Tipps für die Auswahl von Ersatzaktionen für Viren" auf Seite 68. Siehe "Tipps für die Auswahl von Ersatzaktionen für Sicherheitsrisiken" auf Seite Wiederholen Sie die Schritte 4 bis 5 für jede einzelne Kategorie, für die spezielle Aktionen eingerichtet werden sollen.

67 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 67 7 Wenn Sie in der Verzeichnisstruktur ein Sicherheitsrisiko ausgewählt haben, können Sie über die Registerkarte "Ausnahmen" benutzerdefinierte Aktionen für bestimmte Instanzen dieses Sicherheitsrisikos konfigurieren. 8 Klicken Sie auf "Hinzufügen". 9 Wählen Sie im Dialogfeld "Risiken auswählen" die Risiken aus, für die Sie benutzerdefinierte Aktionen definieren möchten, und klicken Sie auf "Weiter".

68 68 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 10 Wählen Sie im Dialogfeld "Risiken konfigurieren" die erste Aktion und die Ersatzaktion aus, die Symantec AntiVirus ausführen soll, wenn die von Ihnen angegebenen Risiken erkannt werden. Klicken Sie anschließend auf "Fertig stellen". 11 Wiederholen Sie die Schritte 8 bis 10 für jedes Sicherheitsrisiko, für das spezielle Aktionen eingerichtet werden sollen. 12 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren. Tipps für die Auswahl von Ersatzaktionen für Viren Wenn Sie eine zweite Aktion für Viren auswählen, ziehen Sie Folgendes in Betracht: Grad der Kontrolle, die Sie über Ihre Dateien benötigen Wenn Sie wichtige Dateien auf Ihrem Computer speichern, ohne Sicherungskopien zu erstellen, sollten Sie keine Aktionen wie z.b. "Bedrohung löschen" durchführen. Zwar können Sie auf diese Art einen Virus möglicherweise löschen, Sie können aber andererseits auch wichtige Daten verlieren. Eine weitere Überlegung gilt Ihren Systemdateien. Da einige Ihrer Systemdateien ausführbare Erweiterungen besitzen, können sie potentiell von Dateiviren angegriffen werden. Auch wenn dies unbequem sein mag, ist zu empfehlen, die Aktion "Nichts unternehmen (Nur protokollieren)" oder "Bedrohung isolieren" zu verwenden, so dass Sie überprüfen können, welche Dateien infiziert wurden. Wenn beispielsweise die Datei COMMAND.COM mit einem Dateivirus infiziert ist und Symantec AntiVirus den Virus nicht säubern kann, kann die Datei möglicherweise nicht wiederhergestellt werden. Der Befehl "Nichts unternehmen (nur protokollieren)" könnte Ihnen zusätzliche Probleme ersparen, die dadurch hervorgerufen werden, dass die Datei COMMAND.COM nicht wiederhergestellt würde, bevor Sie Ihren Computer ausschalten. Virustyp, der Ihren Computer infiziert hat Unterschiedliche Virustypen zielen auf unterschiedliche Bereiche Ihres Computers ab. Boot-Sektor-Viren infizieren Boot-Sektoren, Partitionstabellen, Master-Boot-Sektoren und manchmal auch den Arbeitsspeicher. Wenn Boot-Sektor-Viren hybrid sind, können sie auch ausführbare Dateien infizieren, und die Infektion kann ähnlich wie ein Dateivirus behandelt werden. Dateiviren infizieren in der Regel Programmdateien, die die Erweiterung.exe,.com oder.dll haben. Makroviren infizieren Dokumentdateien einschließlich der mit diesen Dokumenten verknüpften Makros. Wählen Sie die Aktionen basierend auf den Dateitypen aus, die Sie möglicherweise wiederherstellen müssen.

69 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 69 Durchgeführter Prüfungstyp Bei allen Prüfungen werden Aktionen ohne Ihre Nachfrage automatisch durchgeführt. Wenn Sie die Aktionen vor einer Prüfung nicht ändern, werden die Standardaktionen verwendet. Daher zielen die Standard-Ersatzaktionen darauf ab, Vireninfektionen in den Griff bekommen. Für Prüfungen, die automatisch ablaufen, wie z.b. geplante Prüfungen, Leerlaufprüfungen (auf 32-Bit-Computern) und Auto-Protect-Prüfungen, sollten Sie keine Ersatzaktionen mit dauerhafter Wirkung festlegen. Verwenden Sie beispielsweise die Aktionen "Bedrohung löschen" und "Bedrohung säubern" nur bei manuellen Prüfungen, die Sie nur dann ausführen, wenn Sie bereits wissen, dass eine Datei infiziert ist. Tipps für die Auswahl von Ersatzaktionen für Sicherheitsrisiken Wenn Sie eine zweite Aktion für Sicherheitsrisiken auswählen, berücksichtigen Sie den Grad der Kontrolle, die Sie über Ihre Dateien benötigen. Wenn Sie wichtige Dateien auf Ihrem Computer speichern, ohne Sicherungskopien zu erstellen, sollten Sie keine Aktionen wie z.b. "Bedrohung löschen" durchführen. Das Löschen von Sicherheitsrisiken kann dazu führen, dass andere Anwendungen auf Ihrem Computer nicht mehr ausgeführt werden können. Verwenden Sie stattdessen die Aktion "Bedrohung isolieren", damit Sie gegebenenfalls die Änderungen, die Symantec AntiVirus vorgenommen hat, rückgängig machen können. Benachrichtigungen für Viren und Sicherheitsrisiken konfigurieren Sie werden standardmäßig benachrichtigt, wenn Symantec AntiVirus während einer Prüfung einen Virus oder ein Sicherheitsrisiko findet. Ebenso werden Sie benachrichtigt, wenn Symantec AntiVirus Dienste beenden oder Prozesse stoppen muss, um die Nebeneffekte von Viren oder Sicherheitsrisiken zu entfernen bzw. die betroffenen Dateien zu reparieren. Sie können die folgenden Benachrichtigungen für Prüfungen konfigurieren: Erkennungsoptionen Fehlerbehebungsoptionen Erstellen Sie die Meldung, die auf Ihrem Computer angezeigt werden soll, wenn Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko auf Ihrem Computer findet. Bei der Konfiguration von Auto-Protect für das Dateisystem können Sie eine zusätzliche Option wählen, um ein Dialogfeld anzuzeigen, das die Ergebnisse enthält, wenn Auto-Protect Viren und Sicherheitsrisiken auf Ihrem Computer findet. Legen Sie fest, ob Sie benachrichtigt werden möchten, wenn Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko findet und einen Prozess beenden oder einen Dienst stoppen muss, um ein Risiko zu entfernen oder zu reparieren.

70 70 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung Sie können die Erkennungsmeldung erstellen, indem Sie eigenen Text direkt in das Meldungsfeld eingeben oder mit der rechten Maustaste in das Meldungsfeld klicken und bestimmte Variablen auswählen. In Tabelle 3-2 werden die variablen Felder beschrieben, die für Erkennungsmeldungen verfügbar sind. Tabelle 3-2 Variable Felder für Benachrichtigungsmeldungen Feld Virusname Aktion Status Dateiname Pfad und Dateiname Speicherort Computer Benutzer Ereignis Protokolliert von Gefunden am Name des Speichers Aktionsbeschreibung Beschreibung Der Name des gefundenen Virus oder Sicherheitsrisikos. Die Aktion, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurde. Dabei kann es sich um eine der Aktionen halten, die als erste bzw. als zweite Aktion konfiguriert wurden. Der Status der Datei: "Infiziert", "Nicht infiziert" oder "Gelöscht". Diese Meldungsvariable wird nicht standardmäßig verwendet. Wenn Sie diese Informationen anzeigen möchten, müssen Sie die Variable manuell zur Warnmeldung hinzufügen. Der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko infiziert wurde. Der vollständige Pfad und der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko betroffen ist. Das Computerlaufwerk, auf dem sich der Virus oder das Sicherheitsrisiko befindet. Der Name des Computers, auf dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der Name des Benutzers, der bei Auftreten des Virus oder Sicherheitsrisikos angemeldet war. Ereignistyp, beispielsweise "Sicherheitsrisiko gefunden". Der Prüfungstyp, bei dem der Virus oder das Sicherheitsrisiko erkannt wurde: "Manuell", "Geplant" usw. Das Datum, an dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der betroffene Bereich der Anwendung, z. B. Dateisystem-Auto- Protect oder Lotus Notes-Auto-Protect. Eine vollständige Beschreibung der Aktionen, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurden.

71 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 71 Im folgenden Beispiel werden Aktionen für eine vollständige Prüfung eingerichtet. Für andere Prüfungstypen können Sie auf die gleiche Weise Benachrichtigungen festlegen. So konfigurieren Sie Benachrichtigungen für Viren und Sicherheitsrisiken 1 Erweitern Sie im linken Teilfenster die Option "Prüfen" und klicken Sie auf "Vollständige Prüfung". 2 Klicken Sie im rechten Teilfenster auf "Optionen". 3 Klicken Sie im Fenster "Prüfoptionen" auf "Benachrichtigungen". 4 Aktivieren Sie unter "Erkennungsoptionen" im Dialogfeld "Benachrichtigungsoptionen" die Option "Benachrichtigungsmeldung auf infiziertem Computer anzeigen", um eine Meldung auf dem infizierten Computer anzuzeigen, wenn ein Virus oder Sicherheitsrisiko gefunden wird. 5 Führen Sie im Meldungsfeld einen oder alle der folgenden Schritte aus, um die gewünschte Meldung zu erstellen: Klicken Sie in das Meldungsfeld, um den Text einzugeben oder zu bearbeiten. Klicken Sie mit der rechten Maustaste, wählen Sie "Feld einfügen" und wählen Sie das Variablenfeld aus, das Sie einfügen möchten. Klicken Sie mit der rechten Maustaste und wählen Sie anschließend "Ausschneiden", "Kopieren", "Einfügen", "Löschen" oder "Rückgängig".

72 72 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 6 Wenn Sie Benachrichtigungen für Dateisystem-Auto-Protect konfigurieren, befindet sich unterhalb des Meldungsfelds eine zusätzliche Option. Deaktivieren Sie die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen", wenn das Dialogfeld mit den Ergebnissen zu gefundenen Viren und Sicherheitsrisiken nicht angezeigt werden soll. 7 Aktivieren Sie unter "Fehlerbehebungsoptionen" die gewünschte Option. Es stehen folgende Optionen zur Verfügung: Prozesse automatisch beenden Dienste automatisch anhalten Wenn diese Option aktiviert ist, beendet Symantec AntiVirus automatisch Prozesse, wenn es einen Virus oder ein Sicherheitsrisiko entfernen oder eine Datei reparieren muss. Sie werden nicht aufgefordert, die Daten zu speichern, bevor Symantec AntiVirus die Prozesse beendet. Wenn diese Option aktiviert ist, stoppt Symantec AntiVirus automatisch alle Dienste, um einen Virus oder ein Sicherheitsrisiko zu entfernen oder eine Datei zu reparieren. Sie werden nicht aufgefordert, die Daten zu speichern, bevor Symantec AntiVirus die Dienste anhält. 8 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren, und klicken Sie anschließend auf "Prüfen". Interaktion mit Benachrichtigungen Wenn Sie die Standardwerte beibehalten, werden Sie benachrichtigt, wenn Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko findet. Das Dialogfeld "Auto-Protect-Ergebnisse" wird angezeigt:

73 Schutz des Computers vor Viren und Sicherheitsrisiken Konfigurieren der Prüfung 73 Wenn Symantec AntiVirus einen Prozess oder eine Anwendung beenden oder einen Dienst anhalten muss, ist die Schaltfläche "Risiko entfernen" aktiviert. Wenn Sie auf die Schaltfläche "Risiko entfernen" klicken, wird folgende Meldung angezeigt: Dies gibt Ihnen die Möglichkeit, Ihre Arbeit zu speichern und geöffnete Anwendungen zu schließen, sofern dies nicht bereits erfolgt ist. Nach dem Speichern Ihrer Daten können Sie in dieses Meldungsfeld zurückkehren und auf "Ja" klicken, um das Entfernen oder Reparieren abzuschließen. Wenn Symantec AntiVirus den Computer neu starten muss, um das Entfernen oder Reparieren abzuschließen, ist die Schaltfläche "Neu starten" aktiviert. Wenn Sie auf "Neu starten" klicken, wird folgende Meldung angezeigt: Dies gibt Ihnen die Möglichkeit, Ihre Arbeit zu speichern und geöffnete Anwendungen zu schließen, sofern dies nicht bereits erfolgt ist. Nach dem Speichern Ihrer Daten können Sie in dieses Meldungsfeld zurückkehren und auf "Ja" klicken, um den Computer neu zu starten. Wenn Sie auf "Nein" klicken und das Meldungsfeld ohne einen Neustart schließen, wird das Entfernen bzw. Reparieren erst beim nächsten Neustart des Computers ausgeführt. Wenn Sie das Meldungsfeld schließen, ohne eine Aktion zu wählen, die erforderlich ist, um das Entfernen bzw. Reparieren des Virus oder des Sicherheitsrisikos abzuschließen, wird die folgende Meldung angezeigt:

74 74 Schutz des Computers vor Viren und Sicherheitsrisiken Interpretieren von Prüfergebnissen Wenn Sie auf "Ja" klicken und das Dialogfeld schließen, ohne eine Aktion auszuführen, kann das Risiko auf folgende Weise zu einem späteren Zeitpunkt entfernt bzw. repariert werden: Sie können das Dialogfeld "Risikoprotokoll" öffnen, mit der rechten Maustaste auf das Risiko klicken und eine Aktion wählen. Sie können eine Prüfung ausführen, um das Risiko erneut zu ermitteln und das Dialogfeld "Ergebnisse" zu öffnen. Welche Aktionen verfügbar sind, ist abhängig von den Aktionen, die für den entsprechenden Viren- oder Sicherheitsrisikotyp konfiguriert wurden. Wenn Sie auf "Nein" klicken, wird das Dialogfeld "Ergebnisse" angezeigt, in dem Sie die gewünschte Aktion auswählen können. Interpretieren von Prüfergebnissen Jedes Mal, wenn eine manuelle, geplante, benutzerdefinierte oder Startprüfung ausgeführt wird, können Sie sich von Symantec AntiVirus ein Dialogfeld mit dem Status der Prüfung anzeigen lassen. Sie müssen dieses Dialogfeld jedoch entsprechend konfigurieren. Siehe "Manuelle Prüfungen starten" auf Seite 54. Siehe "Geplante Prüfungen erstellen" auf Seite 56. Siehe "Startprüfungen erstellen" auf Seite 59. Siehe "Benutzerdefinierte Prüfungen erstellen" auf Seite 60. Wenn Sie Symantec AntiVirus so eingerichtet haben, dass ein Dialogfeld mit dem Status der Prüfung angezeigt wird, können Sie die Prüfung unterbrechen, neu starten oder beenden. Nach Abschluss der Prüfung werden die Ergebnisse in der Liste angezeigt. Wenn keine Viren oder Sicherheitsrisiken gefunden wurden, bleibt die Liste leer und der Status lautet "Abgeschlossen".

75 Schutz des Computers vor Viren und Sicherheitsrisiken Ausschluss von Dateien von der Prüfung 75 Wenn bei der Prüfung Viren oder Sicherheitsrisiken ermittelt wurden, enthält das Dialogfeld den Namen der infizierten Dateien, den Namen des Virus oder Sicherheitsrisikos und die durchgeführten Aktionen. Sie werden standardmäßig benachrichtigt, wenn Symantec AntiVirus während einer Prüfung einen Virus oder ein Sicherheitsrisiko findet. Siehe "Aktionen zur Behandlung infizierter Dateien" auf Seite 77. Hinweis: In einem zentral verwalteten Netzwerk wird das Dialogfeld mit dem Prüfstatus bei einer von einem Administrator geplanten Prüfung möglicherweise nicht angezeigt. Der Administrator kann auch festlegen, dass keine Warnungen ausgegeben werden, wenn ein Virus oder ein Sicherheitsrisiko ermittelt wird. Ausschluss von Dateien von der Prüfung In seltenen Fällen wird eine Datei, die keinen Virus enthält, als infiziert erkannt. Dies kann beispielsweise vorkommen, wenn eine bestimmte Virendefinition so programmiert ist, dass alle möglichen Varianten eines Virus erkannt werden. Da eine solche Virendefinition sehr weit gefasst ist, zeigt Symantec AntiVirus manchmal eine Warnmeldung für eine Datei an, die nicht infiziert ist. Wenn Symantec AntiVirus eine virenfreie Datei weiterhin als infiziert anzeigt, können Sie die Datei von den Prüfungen ausschließen. Ausschlüsse sind Elemente, die Sie bei einer Prüfung nicht einbeziehen möchten oder müssen. Sie können auch Ordner ausschließen, wenn diese Software enthalten, die möglicherweise als Sicherheitsrisiko erkannt wird, z. B Adware, die Sicherheitsrichtlinien Ihres Unternehmens die Ausführung dieser Software jedoch zulassen. Siehe "Allgemeines zu Sicherheitsrisiken" auf Seite 12.

76 76 Schutz des Computers vor Viren und Sicherheitsrisiken Ausschluss von Dateien von der Prüfung Sie können Ausschlüsse individuell für jeden Prüfungstyp festlegen: "Auto- Protect", "Systemstart", "Benutzerdefiniert", "Geplant" oder "Manuell", einschließlich "Benutzerdefinierte Prüfung", "Schnellprüfung" oder eine "Vollständige Prüfung". Die Vorgehensweise ist bei jedem Prüfungstyp dieselbe. Warnung: Setzen Sie diese Funktion vorsichtig ein. Wenn Sie eine Datei von einer Prüfung ausschließen, wird nichts unternommen, falls diese Datei später infiziert wird. Dies stellt ein potentielles Risiko für die Sicherheit Ihres Computers dar. So schließen Sie eine Datei von der Prüfung aus 1 Führen Sie in Symantec AntiVirus einen der folgenden Schritte aus: Um Auto-Protect für das Dateisystem zu aktivieren, klicken Sie im linken Teilfenster auf "Konfigurieren" und anschließend im rechten Teilfenster auf "Dateisystem-Auto-Protect". Bei allen anderen Prüfungstypen klicken Sie auf "Optionen" in dem Fenster, in dem Sie die zu prüfenden Elemente auswählen. 2 Aktivieren Sie im rechten Fenster oder im Dialogfeld "Prüfoptionen" die Option "Dateien und Ordner ausschließen". 3 Klicken Sie auf "Ausnahmen" und anschließend auf "Dateien/Ordner", um die Datei auszuwählen, die Sie ausschließen möchten. 4 Klicken Sie auf "OK". 5 Klicken Sie auf "Erweiterungen". 6 Geben Sie die auszuschließenden Dateierweiterungen an und klicken Sie anschließend auf "OK". Verwenden Sie das Platzhalterzeichen "?", um ein beliebiges Zeichen anzugeben. "XL?" schließt beispielsweise alle.xls,.xlt,.xlw und.xla-dateien aus. 7 Klicken Sie mehrmals auf "OK", bis Sie zum Hauptfenster von Symantec AntiVirus zurückkehren.

77 Kapitel 4 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Dieses Kapitel enthält folgende Themen: Aktionen zur Behandlung infizierter Dateien Allgemeines zum Quarantänebereich Umgang mit isolierten Dokumenten Anzeigen des Ereignisprotokolls Aktionen zur Behandlung infizierter Dateien Die Symantec AntiVirus-Optionen für Auto-Protect und alle Prüfungstypen sind so voreingestellt, dass Viren aus infizierten Dateien gesäubert oder, falls dies nicht möglich ist, die Dateien in den Quarantänebereich verschoben werden. Bei Sicherheitsrisiken werden die infizierten Dateien isoliert und es wird versucht, die Nebeneffekte zu entfernen oder zu reparieren. Falls die Reparatur nicht möglich ist, wird das erkannte Risiko protokolliert. Wenn die vireninfizierte Datei repariert wurde, müssen Sie nichts weiter unternehmen. Wenn eine durch ein Sicherheitsrisiko infizierte Datei isoliert, entfernt oder repariert wurde, müssen Sie nichts weiter unternehmen. Im Dialogfeld "Status der Prüfung" können Sie sofort nach Abschluss einer Prüfung eine Aktion für eine infizierte Datei ausführen und beispielsweise die gesäuberte Datei löschen, um sie durch die ursprüngliche, nicht infizierte Version zu ersetzen.

78 78 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Aktionen zur Behandlung infizierter Dateien Sie können die durch einen Virus oder ein Sicherheitsrisiko infizierte Datei auch zu einem späteren Zeitpunkt vom Risikoprotokoll oder vom Quarantänebereich aus behandeln. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 82. Hinweis: In einem zentral verwalteten Netzwerk wird das Dialogfeld mit dem Prüfstatus bei einer von einem Administrator geplanten Prüfung möglicherweise nicht angezeigt. Der Administrator kann auch festlegen, dass keine Warnungen ausgegeben werden, wenn ein Virus oder ein Sicherheitsrisiko ermittelt wird. So führen Sie eine Aktion für eine infizierte Datei aus 1 Führen Sie einen der folgenden Schritte aus: Wählen Sie im Dialogfeld "Status der Prüfung" die Dateien aus, die nach Abschluss der Prüfung angezeigt werden sollen. Erweitern Sie im linken Teilfenster von Symantec AntiVirus den Eintrag "Protokolle", klicken Sie auf "Risikoprotokoll" und wählen Sie anschließend im rechten Teilfenster die gewünschten Dateien aus. 2 Klicken Sie mit der rechten Maustaste auf die Dateien und wählen Sie eine der folgenden Optionen: Durchgeführte Aktion rückgängig machen: Macht die voreingestellte Aktion rückgängig, falls dies möglich ist. Säubern (nur Viren): Entfernt den Virus aus der Datei. Dauerhaft löschen: Löscht die infizierte Datei und alle anderen betroffenen Elemente. Verwenden Sie diese Aktion bei Sicherheitsrisiken mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. In Quarantäne: Verschiebt die infizierten Dateien in den Quarantänebereich und versucht, die Nebeneffekte von Sicherheitsrisiken zu entfernen bzw. zu reparieren. Eigenschaften: Zeigt Informationen über den Virus bzw. das Sicherheitsrisiko an.

79 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Allgemeines zum Quarantänebereich 79 Es kann vorkommen, dass Symantec AntiVirus die Aktion, die für den Fall der Erkennung eines Sicherheitsrisikos voreingestellt wurde, nicht ausführen kann. Durch Viren verursachte Schäden Wird der Virus unmittelbar nach Eintritt der Infektion gefunden, ist die gesäuberte Datei normalerweise völlig intakt. Gelegentlich säubert Symantec AntiVirus jedoch infizierte Dateien, die durch den Virus beschädigt wurden. Wenn Symantec AntiVirus beispielsweise den Makrovirus "Word.Wazzu" in einem infizierten Dokument findet, entfernt Symantec AntiVirus zwar den Virus, nicht jedoch das Wort "wazzu", das der Virus im infizierten Dokument hinterlassen hat. In diesem Fall kann Symantec AntiVirus den an der infizierten Datei entstandenen Schaden nicht beseitigen. Allgemeines zum Quarantänebereich Es kann vorkommen, dass Symantec AntiVirus einen unbekannten Virus entdeckt, der mit den aktuellen Virendefinitionen nicht entfernt werden kann. Oder Sie vermuten, dass eine Datei infiziert ist, obwohl kein Virus ermittelt wurde. Im Quarantänebereich werden potentiell infizierte Dateien auf Ihrem Computer isoliert. Ein Virus in einer isolierten Datei kann sich nicht verbreiten. Vireninfizierte Dateien in den Quarantänebereich verschieben Durch das Verschieben vireninfizierter Dateien in den Quarantänebereich wird die Gefahr drastisch verringert, dass sich der Virus selbst kopiert und weitere Dateien infiziert. Diese zweite Aktion wird sowohl für Makro- als auch für Nicht- Makrovirusinfektionen empfohlen.

80 80 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Allgemeines zum Quarantänebereich Das Verschieben einer vireninfizierten Datei in den Quarantänebereich verhindert die Ausbreitung des Virus. Der Virus wird dadurch jedoch nicht entfernt, sondern bleibt auf Ihrem Computer, bis er entfernt oder bis die Datei gelöscht wird. Das Verschieben der infizierten Datei in den Quarantänebereich eignet sich für Dateien, die von Datei- und Makroviren infiziert sind, jedoch nicht für Boot- Sektor-Virusinfektionen. Normalerweise befinden sich Boot-Sektor-Viren im Boot-Sektor oder in den Partitionstabellen eines Computers. Diese Elemente können nicht in den Quarantänebereich verschoben werden Siehe "Allgemeines zum Master-Boot-Sektor" auf Seite 12. Siehe "Boot-Sektor-Viren" auf Seite 10. Nachdem eine Datei in den Quarantänebereich verschoben wurde, können Sie versuchen, die Datei zu säubern, sie dauerhaft zu löschen oder sie an ihrem ursprünglichen Speicherort wiederherzustellen. Sie können auch die Eigenschaften einer infizierten Datei anzeigen. Nach dem Aktualisieren der Virendefinitionsdateien können Sie die isolierte Datei erneut prüfen. Siehe "Dateien im Quarantänebereich erneut auf Viren prüfen" auf Seite 82. Durch Sicherheitsrisiken infizierte Dateien im Quarantänebereich belassen Wenn Sie Dateien isoliert haben, die durch Sicherheitsrisiken infiziert wurden, können Sie diese entweder löschen oder weiter im Quarantänebereich belassen. Sie sollten die Dateien erst dann aus dem Quarantänebereich löschen, wenn Sie sicher sind, dass dadurch keine Funktionalität in Anwendungen verloren geht. Vireninfizierte Dateien im Quarantänebereich löschen Wenn Sie eine Datei löschen, die im Quarantänebereich gespeichert ist, wird sie von Symantec AntiVirus dauerhaft von der Festplatte Ihres Computers entfernt. Durch diese Aktion wird die Gefahr verringert, dass sich der Virus weiter ausbreiten kann. Das Löschen infizierter Dateien eignet sich für Datei- und Makroviren. Da Viren Teile einer Datei beschädigen können, ist es besser, eine infizierte Datei zu löschen und sie durch eine virenfreie Backup-Datei zu ersetzen, statt die infizierte Datei nur zu säubern. Sie können diese Aktion manuell durchführen, nachdem eine infizierte Datei in den Quarantänebereich verschoben wurde. Wenn eine Datei im Quarantänebereich nicht gesäubert werden kann und Sie die Datei nicht mehr benötigen, löschen Sie sie, um den Virus zu entfernen.

81 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 81 Warnung: Verwenden Sie diese Option nur, wenn Sie virenfreie Sicherungskopien der Dateien haben, die Sie löschen möchten. Sie sollten sie nicht als primäre Aktion für Dateien verwenden, die von Auto-Protect oder bei geplanten Prüfungen geprüft werden. Durch Sicherheitsrisiken infizierte Dateien aus dem Quarantänebereich löschen Wenn Sie Dateien löschen, die mit einem Sicherheitsrisiko in Verbindung steht, kann es vorkommen, dass eine Anwendung auf Ihrem Computer nicht mehr ordnungsgemäß funktioniert, wenn die Anwendung von den gelöschten Dateien abhängig ist. Das Isolieren im Quarantänebereich ist hier die sichere Lösung, da es rückgängig gemacht werden kann. Sie können die Originaldateien wiederherstellen, wenn Sie feststellen, dass Anwendungen auf Ihrem Computer nicht mehr ordnungsgemäß funktionieren, nachdem Sie die Dateien isoliert haben. Hinweis: Sobald Sie die Anwendung gestartet haben, mit der ein Sicherheitsrisiko verbunden war, und sicher sind, dass sie ordnungsgemäß funktioniert, können Sie die Dateien löschen, um Speicherplatz freizugeben. Umgang mit isolierten Dokumenten Sie können die durch Viren oder Sicherheitsrisiken infizierten Dateien in den Quarantänebereich verschieben. Es gibt zwei Möglichkeiten, Dateien zu isolieren: Symantec AntiVirus verschiebt infizierte Dateien, die bei Auto-Protect oder einer anderen Prüfung ermittelt wurden, in den Quarantänebereich. Sie wählen eine Datei manuell aus und verschieben sie in den Quarantänebereich. Die Symantec AntiVirus-Optionen für Auto-Protect und alle Prüfungstypen sind so voreingestellt, dass Viren aus infizierten Dateien gesäubert oder, falls dies nicht möglich ist, die Dateien in den Quarantänebereich verschoben werden. Bei Sicherheitsrisiken verschiebt Symantec AntiVirus standardmäßig alle infizierten Dateien in den Quarantänebereich und versucht, die Probleme zu beseitigen, die auf das Sicherheitsrisiko zurückzuführen sind.

82 82 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten So fügen Sie eine Datei manuell zum Quarantänebereich hinzu 1 Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 2 Klicken Sie im rechten Fenster auf "Quarantäne". 3 Klicken Sie in der Symbolleiste auf "Neues Element in Quarantäne hinzufügen". 4 Suchen Sie die Datei und klicken Sie anschließend auf "Hinzufügen". 5 Klicken Sie auf "Schließen". Dateien und Dateiinformationen im Quarantänebereich anzeigen Sie können Dateien anzeigen, die in den Quarantänebereich verschoben wurden. Darüber hinaus können Details zu diesen Dateien angezeigt werden, z. B. der Virenname, der Name des Computers, auf dem die Datei gefunden wurde, usw. So zeigen Sie Dateien und Dateiinformationen im Quarantänebereich an 1 Klicken Sie in Symantec AntiVirus im Menü "Ansicht" auf "Quarantäne". 2 Klicken Sie mit der rechten Maustaste auf die anzuzeigende Datei und klicken Sie anschließend auf "Eigenschaften". Dateien im Quarantänebereich erneut auf Viren prüfen Wenn eine Datei in den Quarantänebereich verschoben wird, sollten Sie Ihre Definitionen aktualisieren. Je nachdem, wie Ihr Administrator den Quarantänebereich eingerichtet hat, werden die isolierten Dateien nach der Aktualisierung der Definitionen automatisch geprüft, gesäubert und wiederhergestellt oder es wird der Reparaturassistent angezeigt, mit dem Sie die Dateien neu prüfen können. Wenn Symantec AntiVirus den Virus nach der erneuten Prüfung immer noch nicht entfernen kann, senden Sie die infizierte Datei zur Analyse an Symantec Security Response. Siehe "Potenziell infizierte Dateien an Symantec Security Response senden" auf Seite 87.

83 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 83 So prüfen Sie die isolierten Dateien mit dem Reparaturassistenten 1 Wenn der Reparaturassistent angezeigt wird, klicken Sie auf "Ja". 2 Klicken Sie auf "Weiter" und befolgen Sie die Anweisungen am Bildschirm, um die Dateien im Quarantänebereich erneut zu prüfen. Dateien manuell neu prüfen Sie können eine isolierte Datei manuell auf Viren, aber nicht auf Sicherheitsrisiken prüfen. So prüfen Sie eine Datei im Quarantänebereich manuell erneut auf Viren 1 Aktualisieren Sie Ihre Definitionen. Siehe "Aktualisieren des Schutzes vor Viren und Sicherheitsrisiken" auf Seite Klicken Sie in Symantec AntiVirus im linken Teilfenster auf "Ansicht". 3 Klicken Sie im rechten Fenster auf "Quarantäne".

84 84 Vorgehensweise bei der Erkennung von Viren oder Sicherheitsrisiken Umgang mit isolierten Dokumenten 4 Wählen Sie die Datei im Quarantänebereich aus. 5 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Säubern". Klicken Sie im rechten Bereich in der Symbolleiste auf "Säubern". 6 Klicken Sie auf "Säubern starten". Die Datei wird anhand der neuen Definitionen erneut geprüft und am ursprünglichen Ablageort wiederhergestellt. Wiederherstellen von Dateien ist am ursprünglichen Ablageort nicht möglich Manchmal gibt es für eine gesäuberte Datei keinen Ablageort, an dem sie wiederhergestellt werden kann. Ein infizierter Dateianhang beispielsweise kann von einer gelöst und im Quarantänebereich abgelegt worden sein. In diesen Fällen wird die gesäuberte Datei stattdessen in den Ordner "Reparierte Elemente" verschoben. Sie müssen dann einen Ablageort angeben und die Datei manuell wiederherstellen.