io non prenderei sottogamba quei tipi di programmi che avete elencato e non toglierei l'euristica che è la parte fondamentale di un antivirus.
ci sono molti programmi che in background possono avviare servizi sospetti per secondi scopi senza che un occhio esperto se ne accorga e sono proprio per questi secondi fini che un antivirus rileva che il programma è sospetto/infetto.
L'euristica serve anche per rilevare i nuovi virus e aiuta gli antivirus nella lotta contro i virus zero-day.
Per definizione un falso positivo non è infetto, ma bisogna vedere se lo è o non lo è; ci può aiutare virustotal: se si fa scansionare un file e si vede che ci sono 2-3 rilevazioni si potrebbe dire che potrebbe essere un falso positivo però potrebbe anche trattarsi di un nuovo virus che intanto è rilevato da quei 2-3 av più veloci magari perche hanno l'euristica più capace, allora in questo caso bisognerebbe riscansionare lo stesso file nei giorni successivi per vedere se le rilevazioni sono rimaste le stesse (falso positivo) oppure se sono aumentate (infetto). Ma viene da se che se le rilevazioni sono tante allora è proprio un virus conclamato.
oppure si può anche aprire il task manager e vedere se il programma lancia uno o più processi in memoria e se restano in esecuzione anche dopo la chiusura del programma...... senza dubbio questi processi sarebbero molto sospetti.