ThreatFire erkennt einen Schädling nicht anhand einer Signatur, sondern an verdächtigen Aktivitäten. ThreatFire überwacht dazu unter anderem die Systemaufrufe eines Programms und schlägt Alarm, wenn es suspekte Handlungen bemerkt. Die Echtzeit-Analyse nimmt kaum Ressourcen in Anspruch, sodass man ruhigen Gewissens zwei Antivirenlösungen parallel laufen lassen kann. Im Testbetrieb mit den kostenlosen AVG Anti-Virus Free 
und Avira AntiVir Personal 
traten bei uns keine Probleme auf, wobei wir zur fehlerfreien Installation des Verhaltenserkenners jedoch den Virenwächter von AVG kurzzeitig abschalten mussten. Allerdings kann es auf einigen Systemen in bestimmten Kombinationen trotzdem zu Unverträglichkeiten kommen. Dann hilft nur probieren und die Recherche im ThreatFire-Forum.
Zudem schleift ThreatFire zur Überwachung auf verdächtiges Verhalten des Rechners eigene Monitortreiber für das Dateisystem (TfFsMon.sys), die Tastatur (TfKbMon.sys), das Netzwerk (TfNetMon.sys) und das System (TfSysMon.sys) ein. In einigen Fällen kann dies zu Problemen führen, etwa einer funktionslosen Tastatur bis hin reproduzierbaren Abstürzen. Allerdings haben uns bislang nur vereinzelte Hinweise über derartige Probleme erreicht.
AVG und Threatfire schützen nicht nur vor Viren, sondern auch vor Spyware. Wer die Installation von ThreatFire aufgrund der Eingriffe ins System scheut, kann auch auf Spybot Search & Destroy als alternativen Spyware-Schutz zurückgreifen. (dab)
Mitunter schafft es ein Schädling trotz Virenscanner ins System und entzieht sich dort mittels Rootkit vor weiteren Zugriffen durch den Anwender oder durch Schutzsoftware. Rootkit-Detektoren wie Blacklight von F-Secure und RootkitRevealer von Microsoft spüren sie auf. Beide Tools bekommt man jeweils in der neuesten Version über den c’t Helper . Blacklight verlangt keine Vorkenntnisse und startet ohne vorherige Konfiguration. Entdeckte Rootkits kann es löschen. RootkitRevealer hingegen warnt nur vor Anomalien, entfernt aber nichts.
