a-squared Hintergrundwächter - Alarm

Verhalten bei einem Malware Alarm

1. Keine Panik!

2. Lesen Sie sich die Alarm Meldung aufmerksam durch. Jede Alarm Meldung enthält den Dateipfad zur jeweiligen Programmdatei, in der eventuell schädliches Verhalten festgestellt wurde. Darunter sehen Sie die Diagnose, die dem entdeckten Verhaltensmuster entspricht. Die Alarm Meldung sagt explizit, dass ein 'möglicherweise' schädliches Verhalten entdeckt wurde. Eine hundertprozentige Garantie, dass das gemeldete Programm wirklich Malware ist, gibt es nicht, da sich die Verhaltensweisen von gutartigen Programmen oftmals mit denen von Malware überschneiden.

Ein Beispiel für eine Malware-IDS Alarm Meldung:

Erlauben oder Blockieren?

1. Wenn Sie das gemeldete Programm kennen:
   
   Auch gutartige Programme verhalten sich manchmal ähnlich wie Malware. So wird zum Beispiel das Senden oder Empfangen von Online Daten, ohne dass das Programm eine sichtbare Programmoberfläche zeigt, als Indiz auf Spyware Verhalten gewertet. Da manche Programme jedoch erst nach dem Laden von Daten die Oberfläche anzeigen, kann es zu einem Fehlalarm kommen. Wenn Sie also sicher sind, dass das gemeldete Programm von einer vertrauenswürdigen Quelle stammt und keinen schädlichen Code enthält, können Sie es erlauben.
   
   Erlauben
   Wählen Sie diese Option, um die weitere Ausführung des Programms zu erlauben. Zeigt das Programm erneut Malware Verhaltensweisen, werden diese erneut gemeldet.
   
   Programm immer erlauben
   Durch diese Option wird das Programm künftig immer erlaubt. Es wird dazu von der Überwachung komplett ausgenommen.
   
   Nur dieses Verhalten erlauben
   Wählen Sie diese Option, damit die gemeldete Verhaltensweise dieses Programms künftig nicht mehr gemeldet wird. Die Überwachung bleibt jedoch aufrecht und schlägt Alarm, sobald das Programm eine andere möglicherweise schädliche Verhaltensweise aufweist.
   
   
2. Wenn Sie das gemeldete Programm nicht kennen:
   
   Wenn der Malware Alarm ohne konkret ersichtliche Aktion Ihrerseits erscheint, ist Vorsicht geboten. Womöglich hat ein Angreifer schädlichen Code in Ihren PC eingeschleust, der nun aktiv geworden ist. Haben Sie zuvor einen E-Mail Anhang oder eine anderweitig zugeschickte Datei geöffnet? Wenn ja, handelt es sich mit großer Wahrscheinlichkeit wirklich um Malware.
   
   Blockieren
   Wählen Sie diese Option, wenn Sie die weitere Ausführung des Programms unterbinden möchten. Der Prozess wird dabei abgeschossen und gegebenenfalls nicht gespeicherte Daten der gemeldeten Software gehen verloren. Die Programmdatei bleibt jedoch erhalten und kann später noch einmal gestartet werden.
   
   Immer blockieren
   Durch diese Option wird die weitere Ausführung des Programms an der suspekten Stelle gestoppt und der Prozess abgeschossen. Zusätzlich wird eine Anwendungsregel erstellt, die dafür sorgt, dass dieses Programm künftig nicht mehr gestartet werden kann.
   
   Programm in Quarantäne geben
   Dies ist die sicherste Option. Dabei wird das gemeldete Programm abgeschlossen und die Programmdatei in die Quarantäne verschoben. Sollte das Entfernen des Programms unvorhersehbare Probleme mit sich bringen, können Sie die Datei im Notfall auch wiederherstellen.