Sicherheit auf dem eigenen Rechner beginnt im Kopf. Man sollte sich ein paar Dinge verdeutlichen:

Absolute Sicherheit ist Illusion.

Egal, was Antivirenprogramme versprechen: Aktive Virenscanner allein sind kein Garant für Sicherheit. Neue Virenepidemien sind mitunter schneller als die Signaturupdates der AV-Hersteller. AV-Software, andere Programme und Windows selbst können Sicherheitslücken enthalten, die ein Umgehen des Schutzes ermöglichen.

Die Verantwortung für die Sicherheit des Rechners sollte niemals allein einem Programm zugeschoben werden. Man ist durch die Installation von Sicherheits-Software nicht davon freigestellt, wach und aufmerksam im Umgang mit Mails und dem Internet zu sein und auf die Symptome seines Rechners zu achten.
Vorsicht: Aktuelle Viren und Trojaner verfügen meist über keine direkte Schadensfunktion mehr und fallen dadurch nicht sofort durch ihre Verhaltensweisen auf, wie es in der Vergangenheit noch der Fall war. Oft können sie monatelang "schlummern", ohne bemerkt zu werden.

Relative Sicherheit ist einfach zu ereichen.

Ungeachtet der allgegenwärtigen Unsicherheit ist das relativ gründliche Absichern eines PCs nicht allzu
schwer oder zeitaufwändig und erfordert keine spezielle PC-Experten-Kenntnis. Nach der Installation der Software gilt es nur noch, ein paar allgemeine Einstellungen zu tätigen, die Software up to date zu halten und sonst die Augen offen zu halten.

Bevor wir zu konkreten Maßnahmen zur Absicherung des Rechners kommen, machen wir uns erstmal klar, womit wir es überhaupt zu tun haben.

Typen von Schädlingen

- Viren, die andere ausführbare Dateien infizieren, indem sie sich in diese einnisten. Das als Wirt missbrauchte infizierte Programm kann weiterhin funktionieren. Vorsicht: Bei der Beseitigung des Virus kann das Wirtsprogramm beschädigt werden. Reine Viren sind akut vom Aussterben bedroht. Dafür ist der Begriff "Virus" längst zu einem Synonym für Schädlinge allgemein geworden.

- Würmer, die ohne Wirt daherkommen und über eigene Verbreitungsroutinen verfügen - aktiv über Mailanhänge, Tauschbörsen, herunterladbare Dateien im Web, passiv durch das Ausnützen von Sicherheitslücken in populärer Software oder dem Betriebsystem. Bei der "aktiven" Sorte ist mindestens ein Mausklick des Users nötig, damit der Wurm ins System gelangt. Deshalb sind Mails und Beschreibungen im Netz oft kreative Meisterleistungen und Hoaxes, die den User dazu zu animieren versuchen, den ausführbaren Dateianhang (.exe, .dll, .com, .pif, .scr etc) zu speichern / zu öffnen. Bei der "passiven" Sorte ist kein Bestätigungsklick des Users nötig. Ist die Sicherheitslücke vorhanden und von aussen zugänglich, kann sie, ohne dass es der User mitbekommt ausgenützt werden.
Würmer haben den Viren heute längst den Rang abgelaufen.

- Trojanische Pferde (kurz Trojaner), die Huckepack mit anderer Software ins System kommen. Die eigentliche Software kann etwas augenscheinlich nützliches tun und dennoch den Trojaner versteckt mitliefern

- Backdoor-Programme, die als Trojaner daherkommen. Sie installieren sich versteckt und versuchen, unentdeckt zu bleiben, während sie eine Verbindung (Port) nach aussen öffnen und auf Anweisungen warten. Über Backdoorprogramme ist eine gezielte Ausspionierung und sogar Fernsteuerung des eigenen Rechners von außen möglich.

- Spyware, die wenn sie "gutartig" ist, "nur" Surfgewohnheiten überwacht und zielgerichtete Werbung einblendet. Solche Spyware kommt im Bundle mit "freier" Software (DivX, Kazaa...) und wird in deren Lizenzvereinbarungen explizit erwähnt. Ein Entfernen der Spyware ist oft möglich, macht aber die Lizenz ungültig. Bösartige Spyware zeichnet zusätzlich Tastaturanschläge auf, späht Kreditkartennummern aus, öffnet Backdoors (siehe oben) etc.
Spyware, besonders "gutartige", wird oft von AV-Programmen nicht erkannt!

- Dialer sind Einwahlprogramme, die kostenpflichtige Nummern zur Einwahl ins Internet wählen. Die meisten versuchen das über ISDN / Modem, es gibt aber auch DSL-Dialer. Dialer müssen dem User ihre AGB zur Bestätigung präsentieren, vor der Einwahl deutlich den Minutenpreis anzeigen und bei der Registrierungsbehörde gemeldet sein, sonst sind sie illegal. Dialer werden von AV-Programmen meistens nicht erkannt.

Absicherung des Systems - Vorbeugen einer Infektion

Kommen wir endlich zu etwas konkretem.
Zwar sind wir eine Gesellschaft, die allgemein lieber Symptome bekämpft, statt von vornherein vorzubeugen. Zu Verhindern, dass überhaupt Schädlinge ins System kommen, ist aber hier doch das allerwichtigste und macht im Erfolgsfall eine intensivere Beschäftigung mit dem nächsten und abschliessenden Punkt überflüssig.

Thema Firewall: Eine Firewall zu installieren ist imo das beste, was man zur Prävention tun kann. Firewalls gibts hauptsächlich in zwei Geschmacksrichtungen. Hardware-Firewalls sitzen meistens im Router bzw. im zum Router erklärten Rechner und lassen Anfragen von aussen auf irgendwelchen Ports kategorisch nicht durch, solange nicht vorher nach ihnen verlangt wurde. Personal Firewalls sitzen auf dem Surf-Rechner, was zum einen selbst ein kleines Sicherheitsrisiko darstellt, wenn der eigene Rechner bereits kompromittiert ist, zum anderen aber leichteres und direkteres Handlung und meistens auch viel mehr Optionen zur Verfügung bietet. Beide Typen verhindern effektiv, dass sich "passive" Würmer im System einnisten können, wenn sie dies über eine Win-XP-Sicherheitslücke mit einem direkten Angriff versuchen. (wie z.b. die Massenwürmer MS-Blaster und Sasser). Mein Personal Firewall Favorit Kerio kann neben dem normalen Firewalljob z.b. auch noch aufpassen, dass Programme nicht ungefragt andere Programme ausführen. Mehr zur Kerio und Firewalls allgemein in diesem Thread: http://forum.spacepub.net/index.php?showtopic=3507

Tipp bei Windows-XP-Neuinstallation: Vor dem ersten Netzzugang sollte unbedingt die Windows-eigene Firewall aktiviert werden, da sonst bereits nach wenigen Augenblicken der Rechner automatisch durch MS-Blaster, Sasser und Konsorten infiziert werden kann - noch bevor man dazu kommt, eine Personal Firewall oder Sicherheitspatches herunterzuladen.

Nachdem die Firewall steht, sollte man sich seine Softwarekonfiguration etwas näher ansehen.

Im Windows sollte man in den Ordnereinstellungen des Explorers "Erweiterungen bekannter Dateitypen ausblenden" DEAKTIVIEREN. Diese völlig idiotische Standardeinstellungen hat in der Vergangenheit schon zu viel Irritation geführt, wenn Viren mit Doppelendungen (*.jpg.exe, im explorer wird nur .jpg angezeigt) erfolgreich die User übers Ohr gehauen haben.

Als nächstes sollte man überlegen, ob man sich mit dem unsicheren Gespann Internet Explorer und Outlook Express ins Internet traut oder lieber auf Alternativen setzt, was dringend zu empfehlen ist. Mailalternativen werden hier besprochen: http://forum.spacepub.net/index.php?showtopic=3856
Über Browseralternativen wird im Forum immer mal wieder gesprochen. Meistens in irgendwelchen Threads über neue IE-Sicherheitslücken, z.b. hier oder hier.
Sollte man aus Bequemlichkeitsgründen (was mir unverständlich ist, da Browseralternativen wesentlich bequemeres Surfen ermöglichen) beim IE bleiben wollen, sollte man wenigstens "Active Scripting" deaktivieren. Damit kastriert man zwar neben dem sinnlosen, unsicheren und proprietären Active-X auch die Javascript-Fähigkeiten des IE, aber man ist wenigstens *etwas* sicherer unterwegs.

Ansonsten gilt: regelmäßig updaten. Unbedarften und/oder bequemen Anwendern mit schneller Internet-Verbindung sei das Windows-Auto-Update empfohlen, das das Betriebsystem (zu dem MS auch den IE und Outlook zählt) auf dem aktuellen Stand hält und selbsttätig nötige Sicherheitspatches einspielt. Wer gern selbst den Überblick über sein System behält, patcht kritische Sicherheitslücken manuell.
Thread zur RPC-Sicherheitslücke
Patch gegen LSASS-Sicherheitslücke

Wenn man eine gute Firewall laufen hat, alternative Software im Umgang mit dem Internet einsetzt und ansonsten sein System immer aktuell hält und allgemein wachsam ist, haben Viren fast keine Chance mehr, das System zu befallen. Speicherresidente Virenscanner (siehe nächster Punkt) sind dann unnötig und nerven nur, ein gelegentlicher manueller Scan zur Überprüfung tuts auch.

Was tun wenn's brennt? Schädlingsbeseitigung

Hier möchte ich noch kurz auf Virenscanner und Spyware-Entferner eingehen, ein wenig über speicherresidente Scanner und aufgeblähte alles-wird-gut-Produkte mit eigenen Sicherheitslücken wie NAV lästern und ein paar Notfallszenarien durchgehen - am Rande auch noch Knoppix erwähnen. Dazu habe ich hoffentlich ein anderes Mal Lust..

P.S.: ich entschuldige mich für die uneindeutige und unsachgemässe Benutzung der Worte "aktiv" und "passiv". Genaugenommen sind die "passiven" Angriffe genauso aktiv wie die "aktiven", "aktiv" und "passiv" sehe ich hier eben aus Sicht des Users heraus und nicht aus Sicht des Wurmes selbst. Eine andere Begrifflichkeit habe ich nicht gefunden, also habe ich mir gesagt: Was solls. Mir doch egal.