Weil diese Scans vom infizierten Betriebssystem aus keine "Stealth Viren" finden können.
Viren die sich so tief im Windows eingenistet haben dass sie einen Scan erkennen und sich dann verstecken, z.B. bei Zugriff auf die Plattenblocks bei denen sie liegen Daten zurückspielen die harmlos aussehen. Desgleichen wenn der Ram - Bereich gescant wird in dem sie liegen.
Meine eigene Erfahrung mit solchen Dingern war die als wir mal den Windows-Rechner meines Bruders mit der damaligen Knoppicillin gescant haben: einer der Knoppicillin Scanner fand eine verdächtige Datei, ich nannte sie unter Linux um, und als wir dann Windows starteten (da wollte ich sie dann zum Online Scan hochladen) erkannte sie der bordeigene Scanner und verschob sie in Quarantäne.
Vorher muss der Virus sich ca. ein Jahr lang vor dem Scanner versteckt haben. Ob ein
Malwarebytes o.ä. Scan ihn entdeckt hätte weiß ich nicht, Avira schaffte das damals jedenfalls nicht.
Ich vermute dass der Befall stattfand bevor Avira die Signatur des Schädlings hatte, und dass er sich danach so versteckte dass er nicht mehr gefunden wurde.
Einem Scan von einem externen Bootmedium aus war er dann hilflos ausgesetzt. (Das würde natürlich auch auf den Fall zutreffen in dem sich jemand mit einer Bart-PE eine externe Windows Boot CD mit Virenscanner zusammenbastelt. Der Grund dass die meisten dieser Rescue CDs unter Linux laufen liegt einfach an der Lizenzfrage.)
Edit: ich sehe gerade einen Parallelthread: ClamAV ist leider ein relativ schlechter Scanner. Er hat relativ viele Fehlmeldungen und findet auch relativ viele echte Viren nicht, wenn man von Linux aus scant, dann am besten mit den Linux Versionen bekannter AV Hersteller.
23.07.2014, 21:55
ClamAv mit Lubuntu 14.04 LTS
Hybrid-Darstellung
