Sim, um malware pode infectar seu computador se você estiver executando como usuário padrão com o UAC ativado.
Quando você executa qualquer ação em um computador - procura uma página da Web, executa um aplicativo, abre um arquivo - isso é feito no contexto de seu usuário ... o que significa que é feito nos limites dos direitos permitidos de seus usuários.
Como usuário não administrador normal (ou mesmo como usuário com direitos de administrador solicitados pelo UAC) - essas ações podem incluir:
- Copiando / substituindo certos arquivos de sistema (que serão executados como "sistema" em direitos elevados
- Implantando malware / spyware que simplesmente fica e observa o que você faz (como digitar senhas, entrar no banco on-line, etc.)
... basicamente qualquer coisa que o usuário possa fazer sem interação com o UAC, o malware pode fazer com os direitos de seus usuários
É muito importante notar que a internet é uma via de mão dupla. Se um usuário visita um site menos respeitável (ou até mesmo um comprometido) - Javascript, Flash, plugins, o próprio navegador pode ser explorado para executar remotamente o código em seu PC sem o seu conhecimento usando um número inteiro de métodos diferentes, como XSS (Cross Site Scripting).
Se um desses ataques for executado contra você - o código que está sendo executado será executado como o usuário que abriu o navegador (ou seja, como sua conta de usuário)
Quando isso acontece com um usuário, a única restrição real ao que pode ser executado são os direitos do usuário.
Uma conta de usuário não administrativa e restrita fornece alguma forma de limitação de danos - mas a quantidade de danos causados ainda pode ser muito grande e, quando a sua máquina é infectada, a única maneira real de garantir que você está completamente limpo é limpe sua máquina, restaure seus arquivos de backups e comece de novo .. não é legal.
É importante notar também que as infecções horríveis no estilo locker crypot que são tão desenfreadas no momento não requerem direitos de administrador para executar - mas ainda podem bloquear você de cada documento em seu PC (e discos externos conectados, unidades de rede e assim por diante)
Coisas que você pode fazer para se proteger:
- Executar como um usuário não administrador. Você diz que já está fazendo isso o que é bom e pelo menos fornece um pouco de limitação de danos.
- Firewall. Mesmo o firewall do Windows é melhor do que nada (embora não seja muito na minha opinião pessoal)
- Atualize regularmente. Cada sessão de atualizações do Windows incluirá correções de segurança. Novos bugs serão encontrados, mas pelo menos você só estará vulnerável a novidades e não a coisas antigas também
- AV, Anti-Spyware, Anti-Malware, etc. obtêm uma versão com alta classificação e mantêm-na atualizada. Concedido nenhum AV vai pegar tudo, mas um atualizado vai fazer muito mais do que um desatualizado um que vai fazer muito mais do que nada
- Backups regulares. Se você pegar uma infecção - um bom conjunto de backups regulares que são mantidos offline (por exemplo, disco externo desconectado do PC) será uma dádiva quando você precisar recuperar
- Não abra coisas das quais não tem certeza. Anexos de e-mail, mensagens no Facebook, sites com uma má reputação, etc., ficam livres deles se você estiver preocupado com a autenticidade deles.
Naturalmente, tudo isso não garante que você evite infecções - mas definitivamente reduzirá significativamente seu nível de risco.