1214821

Virenalarm am PC? Nur keine Panik!

27.03.2018 | 08:43 Uhr |

Antivirenprogramme erschrecken den Anwender oft mit drastisch klingend Warnungen. Dabei handelt es sich nur in seltenen Fällen um echte Virenmeldungen. Hier erfahren Sie, was hinter den meisten Meldungen wirklich steckt und wie Sie darauf regieren sollten.

Virenalarm! Dazu ertönt eine laute Sirene. Derart bedrohlich klingende Meldungen der Antivirensoftware können einem Nutzer schon den Blutdruck hochjagen. In anderen Fällen sind die Meldungen der Tools derart unverständlich, dass man schlichtweg nicht weiß, wie man reagieren soll. Für beide Fälle liefern wir hier konkrete Beispiele und sagen, wie Sie am besten reagieren können.Im

Dauertest: 39 Antiviren-Tools auf dem Prüfstand

Virus gefunden

Die Meldung: „Sicherheitshinweis. Echtzeit-Scanner erkannte 2 Viren oder unerwünschte Programme. Der Zugriff wurde verweigert. Bitte wählen Sie die weitere Aktion: Entfernen, Details“. So lautet eine eher neutral gehaltene Virenwarnung von Avira Free Antivirus .

Das steckt dahinter: Hier hat Ihr Antivirenprogramm zwei Viren gefunden und deren Verarbeitung gestoppt. Da sich der „Echtzeit-Scanner“ (Virenwächter) gemeldet hat, sind die beiden Virendateien gerade eben erst auf dem PC geschrieben worden. Vermutlich sind Sie gerade im Internet unterwegs oder haben Daten aus externen Quellen kopiert.

So reagieren Sie richtig: Grundsätzlich sollte Ihr System noch sicher sein, denn die Antivirensoftware ist ja aktiv geworden. Trotzdem sollten Sie sich jetzt etwas Zeit nehmen, offene Dokumente speichern und schließen und auf den angebotenen Knopf „Details“ klicken. Wenn Ihre Antivirensoftware keinen „Detail“-Knopf in einer vergleichbaren Meldung bietet, dann öffnen Sie das Programm und suchen Sie den Bereich mit den Log-Dateien. Oder Sie gehen zum Quarantäne-Bereiche der Antivirensoftware und sehen sich die gefundenen Dateien dort an. Notieren Sie sich alle Infos, die das Programm, die Log-Datei oder die Quarantäne bieten. Nur in den seltensten Fällen wird Ihnen Ihr Programm einen eindeutigen Virennamen wie Tesla-Crypt oder Autolocky melden. Meist erhalten Sie als Angabe eine Schädlingsklasse genannt, die an ihren grundsätzlichen Merkmalen erkannt wurde. Eine solche Meldung lautet von Kaspersky Internet Security beispielsweise „Heur:Trojan.Script. Generic“. Die Meldung besagt, dass die Heuristik des Programms einen Trojaner erkannt hat, der sich über eine Scriptdatei verbreiten möchte. Heuristik (Heur) bedeutet, dass die Antivirensoftware den Schädling an typtischen Code-Teilen erkannt hat. Damit Sie mehr Infos über den Schädling aus dem Internet einholen können, benötigen Sie zu diesem Namen möglichst viele weitere Angaben. Wie heißt die Datei, in der der Schädling steckt. In welchem Ordner wurde sie gefunden, welche anderen Dateien liegen in diesem Ordner. Woher stammt die Datei.

Es geht darum, die Quelle der Virendateien zu finden, damit Sie sich künftig davon fernhalten können. Sie können auf der Website Ihres Antivirenprogramms nach Zusatzinfos suchen. Dort steht allerdings oft auch nicht mehr, als im installierten Antivirenprogramm selber. Bleibt also noch Google, das oft zusätzliche Infos liefern kann.

Grundsätzlich gilt: Schlägt ein Antivirenprogramm Alarm, ist es sehr zuverlässig beim Blockieren eines Schädlings und kann auch bereits geschehene Manipulationen am System gut rückgängig machen. Wer dennoch ein ungutes Gefühl nach einer Virenmeldung hat, kann sich auch für eine Neuinstallation von Windows entscheiden. Zuvor müssen Sie natürlich Ihre Daten sichern. Dabei hilft diese Checkliste .

Fehlalarm: Häufig melden Antivirenprogramme allerdings harmlose Dateien als Virus. Wenn Sie den Verdacht haben, das Ihr Sicherheitstool einen solchen Fehlalarm gebracht hat, dann sollten Sie die bemängelte Datei weiter untersuchen lassen. Dafür befreien Sie zunächst die Datei aus der Quarantäne der Antivirensoftware. Keine Sorge, solange Sie die Datei nicht per Doppelklick starten, kann nichts passieren. Rufen Sie dann die Website www.virustotal.com auf und klicken dort auf „Wählen Sie eine“ um die Datei auf die Website hochzuladen. Dort wird sie von rund 60 Antivirentools analysiert. So können Sie prüfen, ob eine Datei tatsächlich gefährlich ist. Am besten Sie wiederholen den Test nach einem Tag, für den Fall, dass Ihnen ein ganz neuer Virus ins Netz gegangen ist, der noch nicht von allen Tools erkannt wird. Einige Programme melden Dateien, die sie für möglicherweise gefährlich halten. Die Tools weisen dann darauf hin, dass Sie die Datei nur dann starten sollten, wenn Sie von ihrer Sicherheit überzeugt sind. Auch bei einem solchen Fall können Sie den Dienst www.virustotal.com nutzen.

Tipp: So schützen Sie Ihr Mobilgerät vor Viren und anderen Schädlingen

PUA oder PUP gefunden

Das Tools Adwcleaner kennt viele unerwünschte Programme und kann diese auch komplett beseitigen.
Vergrößern Das Tools Adwcleaner kennt viele unerwünschte Programme und kann diese auch komplett beseitigen.

Die Meldung: Norton Security meldet: „Auto-Protect verarbeitet Sicherheitsrisiko PUA.InstallCore“.

Das steckt dahinter: Der Virenwächter von Norton Security hat eine Adware gefunden und blockiert. PUA steht für „Potentially Unwanted Application“, also möglicherweise unerwünschte Anwendung. Eset und andere Antivirenhersteller nennen solche Programme „PUP“, was die Abkürzung von „potenziell unerwünschtes Programm ” ist und somit dasselbe bedeutet.

Es handelt sich also nicht um zerstörerische Programme oder Spionagetools, sondern um Code, der Werbung anzeigt. Diese Module kommen oft zusammen mit Freeware auf den Rechner oder sind Teil von Browser-Toolbars.

Eigentlich können Sie sich über die Meldung freuen, denn nicht alle Antivirenprogramme kümmern sich auch um Adware. Denn ein Adware-Programm ist zwar fast nie erwünscht, es ist aber meist auch kein eindeutig schädlicher Code. Denn oft hat die Software auch halbwegs nützliche Funktionen mit an Bord. Einige Anwender etwa schätzen die Möglichkeiten, die eine Browser-Toolbar bietet. Diese zusätzlichen Menüleisten für den Browser zeigen etwa das Wetter für einen bestimmten Ort an.

Bis vor einigen Jahren haben sich die meisten Antivirenprogramme kaum um Adware gekümmert. Der Grund waren die oft klagewilligen Verbreiter von Adware. Sie betonen, dass ihre Programme für manchen Nutzer auch erwünschte Funktionen haben. Wenn ein Antivirenprogramm eine Adware blockierte, wurde der Hersteller der Schutzsoftware deswegen oft verklagt.

So erging es etwa Kaspersky im Jahr 2007. Der russische Antivirenhersteller wurde in den USA von der Firma Zango verklagt, weil Kaspersky die Browser-Toolbar von Zango blockiert. Zwar gewann Kaspersky diesen Fall, doch das Interesse der meisten Antivirenhersteller an der Blockade von Adware blieb gering. In Deutschland spielte schließlich Avira eine Vorreiterrolle, indem die Avira-Software zunehmen Adware blockiert und die anschließenden Rechtsstreitigkeiten ausfocht. Das war etwa bei Adware-Programmen der Firma Freemium der Fall. Avira-Tools blockieret etwa die Downloader von Freemium. Daraufhin klagte Freemium vor Gericht mit dem Ziel, von Avira nicht mehr blockiert zu werden. Diesen Prozess gewann Avira im Juni 2015 vor dem Landgericht Berlin. Das machte es für Avira und andere Antivirenhersteller einfacher, Adware zu blockieren, denn sie müssen nun nicht mehr so schnell damit rechnen, von den Adware-Herstellern verklagt zu werden.

Die Software Norton Security bemängelt hier ein harmloses Bechnmark-Programm.
Vergrößern Die Software Norton Security bemängelt hier ein harmloses Bechnmark-Programm.

So reagieren Sie richtig: Wenn die Adware zusammen mit einer Freeware auf Ihren Rechner gekommen ist, sollten Sie prüfen, ob die Freeware nach der Bereinigung immer noch läuft. Falls nicht, müssen Sie sich nach einer alternativen Software umsehen. Möchten Sie sicher sein, dass Ihr System komplett frei von Adware ist, können Sie einen Spezial-Scanner nutzen. Empfehlenswert ist das kostenlose Tool Adwcleaner . Es kennt die meisten der gängigen Adware-Progamme und beseitigt diese gründlich. Das Tool läuft ohne Installation. Sie sollten aber vor dem Start alle offenen Programme schließen, denn der Adwcleaner schießt bei der Reinigung alle laufenden Programme kommentarlos ab. Klicken Sie auf „Suchlauf“; um den Adwcleaner nach unerwünschten Werbeprogrammen auf Ihren PC suchen zu lassen. Anschließend beseitigen Sie alle Funde über „Löschen“. Die Adware wird dann zunächst in den Quarantäne-Bereich geschoben, wo sie keinen Schaden mehr anrichten kann. Dort bleibt sie solange, bis Sie im Adwcleaner „Deinstallieren“ wählen.

Abo ist abgelaufen

Die Meldung: „Abonnement läuft in 30 Tagen ab. Verlängern“, meldet etwa Bitdefender Internet Security .

Eine tpyische Abo-Ablauf-Warnung.
Vergrößern Eine tpyische Abo-Ablauf-Warnung.

Das steckt dahinter: Kostenpflichtige Antivirenprogramme müssen in der Regel pro Jahr bezahlt werden. Gegen Ende des Lizenzzeitraums gibt das Antivirenprogramm meist eine Warnung aus, dass die Lizenz bald abläuft. Spätestens aber noch einem Jahr meldet es sich mit Pop-ups wie „Das Abo ist abgelaufen. Sie sind nicht mehr geschützt“.  Das Programm bekommt keine Updates mehr mit Infos zu neuen Viren und kann Ihren PC deshalb auch nicht mehr vor neuen Viren schützen.

So reagieren Sie: Für Nutzer von Windows 10 besteht kein Grund zur Eile. Denn das aktuelle Betriebssystem von Microsoft schaltet sein eigenes Antivirenprogramm, den Windows Defender, sofort aktiv, wenn Ihr installiertes Antivirenprogramm nicht mehr aktuell ist. Da der Windows Defender in aktuellen Tests eine gute Virenerkennung zeigte, sind Sie vorübergehend erst mal geschützt. Als wir diese Situation mit Norton Security durchspielten, meldet sich das abgelaufene Norton nach wenigen Tagen mit Sonderangeboten. An einem Tag bekamen wir 30 Tage geschenkt, wenn wir das Jahresabo verlängern würden, drei Tage später bekamen wir rund 30 Prozent Rabatt auf den jährlichen Abopreis angeboten.

Grundsätzlich gilt: Es ist sehr bequem, die Lizenz für die Antivirensoftware über die Software selber zu verlängern. Allerdings finden Sie in Online-Shops oder im Elektromarkt um die Ecke oft deutlich günstigere Angebote. Diese können Sie bedenkenlos kaufen. Sie erhalten einen Lizenzschlüssel, den Sie dann in Ihr installiertes Antivirenprogramm eingeben und die Vollversion dann entsprechend freischalten.

Wenn Sie das nötige Eingabefenster für den Lizenzschlüssel in der Software nicht finden können, googeln Sie danach. Es findet sich ganz sicher eine Anleitung dazu im Internet, da auch schon anderer Nutzer vor diesem Problem standen.

Malware-Guide: Diese Gefahren bedrohen Ihren PC

Der Browser-Warnung

Die Meldung: „Google Chrome – Schutzwarnung. Die Chrome Erweiterungen von Norton sind nicht aktiviert“, meldet Norton Security kurz nach seiner Installation.

Die meisten Hersteller von Antivirentools wollen unbedingt eine Erweiterung im Browser platzieren.
Vergrößern Die meisten Hersteller von Antivirentools wollen unbedingt eine Erweiterung im Browser platzieren.

Das steckt dahinter: Die Meldung soll so klingen, als ob sich Ihr Browser Google Chrome darüber beschwert, dass hier ein Schutztool fehlt. Dabei stammt die Meldung von Norton Security selber. Wie die meisten Internetsicherheitsprogramme will Norton hier eine Browser-Erweiterung installieren. Die Erweiterung hilft dabei, feindlichen Code schneller zu entdecken, gefährliche Websites zu blockieren und auf die Nützlichkeit des Internetsicherheitsprogramms hinzuweisen. Letzteres geschieht etwa dadurch, dass alle harmlosen Suchergebnisse bei Google mit einem Norton-Check-Haken versehen werden. Das ist für den Anwender hilfreich, soll aber zeigen, wie fleißig die Schutzsoftware ist. Norton und die meisten anderen Schutztools bieten ihre Erweiterungen nicht nur für Chrome, sondern auch für Firefox und den IE an. So reagieren Sie: Wenn Sie den maximale Schutz aus Ihrem Internetsicherheitsprogramm nutzen möchten, dann sollten Sie die Browser-Erweiterung installieren. Ein Großteil der Viren kommt über den Browser. Je näher ihr Antivirentool an diesen rankommt, desto besser.

Diese Domain ist unsicher

Die Meldung: „Die Authentizität der Domain, mit der eine verschlüsselte Verbindung erfolgt, kann nicht mit Sicherheit festgestellt werden“. Die Meldung erscheint typischerweise, wenn Sie eine neue Website öffnen. Das Pop-up nennt darüber hinaus das verursachende Programm, etwa Chrome, die Domain und den Grund. Als Grund lesen Sie etwa „Ungültiger Name des Zertifikats“. Die Meldung erscheint auch auf verschlüsselten Websites. Der Name gehört nicht zur Zulassungsliste oder ist explizit aus der Liste ausgeschlossen. Als Reaktionsmöglichkeit bietet das Pop-up „Verbindung trennen“ oder „Fortsetzen“ an.

Die Lizenz für diese Norton-Installation war schon abgelaufen, als sie 30 Tage Schutz verschenkt.
Vergrößern Die Lizenz für diese Norton-Installation war schon abgelaufen, als sie 30 Tage Schutz verschenkt.

Das steckt dahinter: Die Meldung stammt konkret von Kaspersky Free Antivirus , der kostenlosen Version des Virenschutzes von Kaspersky. Das Tool enthält auch eine Komponente für den Browserschutz. Wenn Sie eine solche Meldung erhalten, sehen Sie sich die bemängelte Domain (Website) an. Sie wird sehr wahrscheinlich nicht zu der Website passen, die Sie gerade aufgerufen haben. Entsprechend handelt sich bei der bemängelten Website wahrscheinlich um ein Iframe (Inline Frame) innerhalb der geöffneten Website. Das ist ein eigener Bereich auf einer Webseite, der seine Daten meist von einem anderen Server bezieht als die Webseite, die oben in der Browser-Adressleiste angezeigt wird. Sehr häufig ist das bei Webseiten mit Werbungen der Fall. Die Meldung erscheint, auf verschlüsselten Websites. Die Verschlüsselung verfolgt über https und jede Webseite verschlüsselt und identifiziert sich über ein Zertifikat. Damit die Verschlüsselung einer Website tatsächlich durchgängig, muss auch die Werbung auf der Website über verschlüsselte und signierte Kanäle geliefert werden. Und hier fängt das Problem an.

Viele Werbetreibende verschlüsseln ihre Werbeseiten nicht zuverlässig. Am häufigsten laufen die zeitlich befristeten Zertifikate für eine Werbeseite ab, ohne das die Werbetreibende an die Verlängerung oder den Austausch des Zertifikats denken. Doch sobald aber ein Zertifikat abgelaufen ist oder nicht mehr auf dem richtigen Server liegt, ist das verdächtig und wird von einem Antivirenprogramm oder einer Firewall gemeldet. Denn schließlich versuchen auch Hacker, ihren gefährlichen Code etwa per Iframe auf einer eigentlich harmlosen Website einzuschleusen.

Die Sicherheits-Software Kaspersky Free Antivirus bemängelt auf vielen Websites fehlerhafte Zertifikate.
Vergrößern Die Sicherheits-Software Kaspersky Free Antivirus bemängelt auf vielen Websites fehlerhafte Zertifikate.

So reagieren Sie richtig: Am schlechten Management der Zertifikate der Werbetreibenden können Sie nichts ändern. Sie können sich aber durch die Meldung nicht aus der Ruhe bringen lassen und sie mit einem Klick auf „Verbindung trennen“ beseitigen. Diese Vorgehensweise ist eigentlich immer empfehlenswert. Sie trennt nur die Verbindung im iFrame, nicht die Verdingung zur Website. Sollte danach eine Website nicht richtig laden, können Sie sie über die Tastenkombination Strg-F5 neu laden.

Exkurs: Der Browser Google Chrome wird voraussichtlich ab Ende April 2018 vor einigen Websites mit SSL-Verschlüsslung warnen. Es geht dabei um Websites, die Zertifikate von Symantec nutzen. Symantec bietet nicht nur das Antivirenprogramm Norton Security an, sondern auch SSL-Zertifikate für Websites. Die beiden Geschäftsbereiche laufen allerdings vollkommen getrennt. Google und der Zertifikatsbereich von Symantec liegen schon seit Längerem im Clinch. Google wirft Symantec vor, bei der Vergabe von Zertifikaten nicht gründlich zu prüfen. Ein Zertifikat verschlüsselt nicht nur den Datentransfer vom Server zum Browser auf dem PC, sondern soll auch die Echtheit der Domain (Website) garantieren. Hier soll Symantec nicht gut genug geprüft haben. Sollte Sie Chrome nutzen und beim Surfen eine Warnung wegen eines nicht vertrauenswürdigem Zertifikats erhalten, kann das an einem Symantec-Zertifikat liegen. Es bleibt zu hoffen, dass Chrome mit einer aussagekräftigen Meldung warnt, damit man als Nutzer die Warnung richtig einschätzen kann.

Websites ohne Verschlüsselung wird Chrome ab voraussichtlich Juni als unsicher markieren. Vermutlich wird die Warnung aber nur aus den Worten „Nicht sicher“ vor der Webadresse im Browser bestehen. Auf diese Weise warnt Chrome schon einige Zeit vor Sites ohne Verschlüsslung, aber mit Log-in-Feldern.

Mehr Infos, weniger Geschrei bitte

Ein Internet-Sicherheitspaket soll Sie vor Viren und Internetangriffen schützen, Datendiebstahl verhindern und für die Sicherheit des Systems sorgen. Das ist eigentlich eine ganz schön große Aufgabe. Auf der anderen Seite gibt es viele Nutzer, die kaum mit PC-Viren in Kontakt kommen. Wer nur auf sicheren Websites surft und Downloads nur aus gut geprüften Quellen zieht, der kann leicht ein Jahr ohne einen Virenangriff überstehen.

Das kann aber zu einem Problem für die Antivirenhersteller werden. Denn sie verlangen von ihren Kunden nicht gerade wenig Geld pro Jahr Virenschutz. Wenn ihr Tool sich dann das ganze Jahr über nicht melden musste, ist der Anwender vielleicht nicht mehr motiviert genug, erneut 30, 40 oder gar 60 Euro für ein weiteres Jahr zu zahlen.

Darum machen manche Schutztools mit besonders alarmierenden Meldungen auf sich aufmerksam, andere melden sich häufiger als nötig. Legendär ist etwa der laute Schrei, den die Kaspersky Internet Security Suite von sich gab, wenn ein relativ harmloser Netzwerkscan auf den PC traf. Tools von Norton geben routinemäßige Systemoptimierungen bekannt. Unserer Meinung nach können sich die Tools das alles sparen. Wichtiger wäre es, bei Meldungen zum Virenfund mehr Informationen bereitzustellen: Woher kommt ein Schädling, welche Änderungen nimmt er am System vor? Warum gilt eine Website als schädlich? Stiehlt sie Daten oder schleust sie Code aufs System? Darauf würden wir uns fundierte Antworten wünschen.

Die Themen in Tech-up Weekly #85: +++ AMD Threadripper: Neue CPU mit 16 Kernen +++ Wana Crypt0r 2.0: Erpresser-Virus verbreitet sich rasant +++ Google I/O mit Google Lens, Android Go, neue VR-Brille +++ Quick-News der Woche +++ Kommentar der Woche +++ Fail der Woche: United Airlines: Cockpit-Codes im Internet geleaked

------

►AMD Threadripper: Neue CPU mit 16 Kernen für Desktop-PCs (0:24):
www.pcwelt.de/2273949
►Intel: Skylake-X könnte als Core i9 in den Handel kommen:
www.pcwelt.de/2273426

►Wana Crypt0r 2.0: Erpresser-Virus verbreitet sich rasant - so schützen Sie sich! (2:08):
www.pcwelt.de/2273169

►Google I/O mit Google Lens, Android Go, neue VR-Brille – Neues von Google (5:13):
www.pcwelt.de/2274258
►Android 8 / O: Diese Geräte erhalten das Update:
www.pcwelt.de/2273697

------

Quick-News (7:58):

►Windows 10 Fall Creators Update - alle Neuerungen:
www.pcwelt.de/2264171

►GeForce GTR 1030: Billig-Grafikkarte von Nvidia:
www.pcwelt.de/2273694

►Phantom Dust gratis für Win10 & Xbox One:
www.pcwelt.de/2273652

►EU-Kommission: 110 Millionen Euro Strafe für Facebook:
www.pcwelt.de/2274489

►Humble Indie Bundle 18: 7 Top-Spiele fast geschenkt:
www.pcwelt.de/2274289

►The Witcher: TV-Serie erscheint exklusiv bei Netflix:
www.pcwelt.de/2274168

------

Fail der Woche (10:27):

►United Airlines: Cockpit-Codes im Internet geleaked:
www.pcwelt.de/2273775

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

1214821