¿Qué pasa si el archivo es un archivo del sistema?
Antes de publicar las firmas en público, los proveedores de antivirus las probarían en diferentes máquinas con diferentes sistemas operativos y programas instalados. Si las firmas contienen un hash que detecta un archivo del sistema, y es un falso positivo, las arreglarán, las volverán a probar y luego se lanzarán al público.
¿O si los archivos son EXE / DLL requeridos por el sistema para funcionar normalmente?
La razón por la que un archivo detectado se pone en cuarentena es que si es un falso positivo, se puede restaurar a donde estaba. Casi todos los proveedores de antivirus proporcionan una función a los usuarios para informar sobre posibles falsos positivos. Si se descubre que es un error legítimo, lo arreglarían en la próxima actualización, y ese archivo no se informará en la próxima iteración de actualizaciones.
¿Cómo decide una suite de antivirus si un archivo es seguro para ponerlo en cuarentena?
Si la suite detecta que es malicioso por cualquier medio (hash de firma, heurística, etc.), pone el archivo en cuarentena. Ahora la decisión se deja al usuario si desea revertirla o no.