Virenscanner schlägt Alarm: Falschmeldung oder Gefahr?
02.12.2025 - 12:15 Uhr
Ein Virenscanner muss nicht immer richtig liegen. Oftmals handelt es sich nur um eine Warnung, keine echte Bedrohung. Daher gilt: keine Panik, wenn der Virenschutz anschlägt.
Ein Vorfall in der Firma Procolored zeigt, wie wichtig die Warnungen von Virenscanner sind. Und warum man sie immer genau prüfen sollte. Das Unternehmen stellt Textildrucker her und auch die dazugehörige Software bereit. Als ein Druckertester bei einem Test der Software einen Virus meldete, protestierte Procolored gegen die Beschuldigungen. Jedoch schlugen bei dem Versuch sowohl Google Chrome als auch Microsoft Defender an, als das Unternehmen die Software einsetzen wollte. Das Porgramm wurde sofort in die Quarantäne verschoben.
Das Unternehmen behauptete weiterhin, mit der Software sei alles in Ordnung. Dennoch reichte der Tester die Software an das Security-Unternehmen G Data weiter. Hierbei handelt es sich um einen deutschen Softwareentwickler und Hersteller von Virenscannern. Und G Data fand heraus: In der Software war tatsächlich ein Virus versteckt. Dieser Virus mit Namen Xred hatte es sich in der Backdoor der Software gemütlich gemacht und wartete darauf, einem Trojaner Einlass in die Systeme des Testers zu gewähren. Procolored musste eingestehen, dass ein Virus in den Downloadbereich der Software eingedrungen war.
Darum geben Virenscanner falschen Alarm
Virenscanner sind nach dem Prinzip „Vorsicht ist besser als Nachsicht“ programmiert. In der Regel haben sie mit ihren Warnmeldungen recht. Verschiedene Langzeittests haben ergeben, dass nur weniger als ein Prozent aller Virenmeldungen lediglich falsche Alarme darstellen. Doch auch bei einer bloßen Warnung machen sich die Nutzer große Sorgen. Der Warnton und das Pop-up-Fenster reichen aus, dem Nutzer einen Schrecken einzujagen.
https://www.eset.com/de/home/online-scanner/ Blockt Windows Programme wegen des Verdachts auf Viren, dann lässt sich das mit der Onlinesandbox Any.run umgehen.
Falschmeldungen oder „False Positives“ haben ihre Ursache zumeist in der Programmierung der Software. Ihre Hersteller versorgen ihre Programme mit Virendefinitionen. Sobald eine Datei oder ein Programm dieser Definition gleicht, schlagen sie an. Allerdings sind die Cyberkriminellen immer einen Schritt voraus und entwickeln neue Malwares, die nicht diesen Definitionen entsprechen. Die Hersteller greifen deswegen auf heuristische Verfahrensweisen zurück, anhand derer die Antivirenprogramme verdächtiges Verhalten auch dann erkennen, wenn der Virus noch nicht identifiziert wurde.
Somit läuft eine ständige Verhaltensanalyse des PCs. Zeigt ein Programm oder eine Datei ein verdächtiges, einem Virus ähnelndes Verhalten, dann berechnet das Antivirenprogramm auf der Grundlage von Wahrscheinlichkeiten, ob eine Gefahr besteht. Da es sich jedoch um Wahrscheinlichkeiten handelt, trifft nicht jede Warnung automatisch zu.
Falschmeldungen bei Systemprogrammen
Fehlalarme betreffen besonders oft die Windows-Systemeinstellungen sowie für das Betriebssystem wichtige Dateien. Diese sind für Virenscanner besonders bedeutend und werden daher mit zusätzlicher Sorgsamkeit behandelt. Sobald ein Programm mit diesen Einstellungen oder Dateien interagiert, schlagen die Virenscanner Alarm.
Häufig betroffen sind etwa die Programme des Entwicklers Nirsoft. Dazu zählt unter anderem Produkey, welches Lizenzschlüssel von Windows und Office 2003/2007 ausliest und anzeigt. Dadurch kann an sich kein Schaden entstehen, dennoch halten viele Antivirenprogramme dieses Auslesen für verdächtiges Verhalten und schlagen dementsprechend Alarm.
Produkey erkennt die Lizenzschlüssel vieler Windows-Anwendungen und stellt diese dem Nutzer zur Verfügung. Für viele Virenscanner gilt das als verdächtiges Verhalten.
Für die heuristische Vorgehensweise der Virenscanner ist alles verdächtig, das Lizenzschlüssel, Passwörter oder Systemeinstellungen ausliest oder ändert. Das Vorgehen von Malware zeichnet sich häufig durch eine Kombination aus Verhaltensweisen und Verfahren aus, welche in diese Bereiche eingreifen. Die Antivirenprogramme sind so programmiert, auf solche Verfahren anzuschlagen.
So geben die Virenscanner auch dann Alarm, wenn der Nutzer selbst solche Verfahren einleitet. Wie etwa bei Hackertools, mit denen der Nutzer sich Zugang zu Dateien verschaffen will, für die er das Passwort vergessen hat. Für den Virenscanner spielt es keine Rolle, wer das Tool zu welchem Zweck verwendet. Das Verfahren an sich ist ausreichend, den Vorgang sofort zu stoppen.
Im Grunde ist das eine gute Sache, wenn auch nervig. Die Schutzprogramme dürfen keine Ausnahmen machen und müssen für die sich ständig wandelnde Welt der Schadsoftware gewappnet sein. Sie sollen zwischen „guter“ und „schlechter“ Software nicht unterscheiden, wenn sie dasselbe potenziell schädliche Verhalten an den Tag legen. Denn damit würden sie den Cyberkriminellen schnell in die Hände spielen.
Überprüfen, ob es sich wirklich um einen Fehlalarm handelt
Die Vorsicht der Virenscanner ist gut begründet. Auch wenn Du annimmst, dass es sich um einen Fehlalarm handelt, solltest Du die Meldung trotzdem ernst nehmen. Zudem könnte der Virenscanner das Programm von der Durchführung seiner eigentlichen Aufgabe abhalten und somit wichtige Vorgänge sperren. Zunächst solltest Du überprüfen, was überhaupt der Zweck des Programms ist. Bei den oben erwähnten Programmen zur Identifizierung von Schlüsseln und Passwörtern besteht zunächst kein Grund zur Sorge, solange Du es warst, der sie aktiviert und ausgeführt hast.
Schadsoftware kann sich als legitime Software tarnen. Daher solltest Du bei einem Verdacht überprüfen, wie es um die Reputation des Programms bestellt ist. Überprüfe zudem, von welcher Webseite Du es heruntergeladen hast. Der Ursprung der Ausführungsdatei lässt sich über den Windows Defender identifizieren.
Antivirenprogramme wie der Windows Defender legen Verzeichnisse der identifizierten Bedrohungen an. Hier kannst Du Dir unter anderem die Herkunft der Dateien anzeigen lassen.
Gehe dazu in die Einstellungen und von hier auf „Datenschutz und Sicherheit“. Navigiere anschließend zu „Windows-Sicherheit“, dann zu „Viren- und Bedrohungsschutz“, gefolgt von „Schutzverlauf“. Der Windows Defender legt hier ein Verzeichnis der als Schadsoftware registrierten Programme an. Suche dann nach dem Programm oder nach der Datei, welche den Alarm ausgelöst hat. Andere Antivirenprogramme sollten ebenfalls über solche Verzeichnisse verfügen.
In dem Verzeichnis lässt sich einsehen, von wo Du die Ausführungsdatei heruntergeladen hast und welche Reputation diese Webseite aufweist. Bei Webseiten mit einer guten Reputation ist die Wahrscheinlichkeit gering, dass Du Dir beim Download von Dateien Malware einfängst. Sollte der Virenscanner bei der Datei trotzdem anschlagen, dann handelt es sich wahrscheinlich um falschen Alarm.
Doch auch bei einer schlechten Reputation der Webseite muss die Datei nicht automatisch schädlich sein. Manche Webseiten bieten etwa geknackte Programme und Games an. Oder Programme, mit denen sich Lizenzabfragen umgehen lassen. Diese Programme schaden zwar dem Nutzer nicht, doch die Webseite wird trotzdem mit einer schlechter Reputation abgestraft. Dazu zählen auch Webseiten mit einem Angebot an illegal herunterladbaren Filmen und Videos.
Verdächtig ist jede Software, die Anzeichen von Social Engineering aufweist. Das beschreibt ein Verfahren, bei dem der Nutzer zu bestimmten Handlungen verleitet wird, welche eigentlich nicht in seinem Sinne und potenziell schädlich sind.
Das Social Engineering soll zum Beispiel Nutzer dazu verleiten, ihre privaten Daten preiszugeben. Man spricht auch vom Phishing. Diese Methoden können Nutzer ebenfalls dazu verleiten, den Viren Zutritt zum System zu verschaffen. Zu den Phishing-Methoden gehören etwa E-Mails oder SMS mit der Nachricht, ein Paket sei auf dem Postweg stecken geblieben. Nur die Installation eines Programms kann bei der Zustellung helfen.
Windows Defender und andere Virenscanner erlauben die Definition von Ausnahmen. Bestimmte Ordner oder Dateien werden dann nicht mehr überprüft.
Ein Antivirenprogramm sollte bei solchen Dateien sofort anschlagen und den Schädling melden. Selbst wenn es nur vor einer potenziellen Gefahr warnt, wird es sich voraussichtlich auch um eine handeln. Social Engineering-Methoden dieser Art drängen häufig mit dem schnellen, sofortigen Handeln, damit dem Betroffenen erst gar keine Zeit bleibt, über potenzielle Phishing-Attacken nachzudenken.
Zwielichtige Angebote sollten ohnehin zur Vorsicht mahnen. Denn im Internet gibt es selten etwas umsonst, günstiger oder exklusiv. Eine E-Mail, die Dir viel Geld oder tolle Waren umsonst verspricht, ist in den allermeisten Fällen ein Betrugsversuch. Sobald die Virenscanner bei solchen Nachrichten anschlagen, dürfte es sich um echte Gefahren handeln.
Schritte bei einem falschen Alarm
Oftmals interessiert es den Virenscanner wenig, dass es sich bei einer vermeintlichen Bedrohung gar nicht um einen Virus handelt. Er stellt sich dennoch quer und blockiert die Interaktion mit der Datei. Damit Du sie dennoch nutzen kannst, lassen sich Ausnahmen definieren. Jedes Antivirenprogramm sollte über solche Funktionen verfügen.
Das können Virenscanner-Alternativen
Bei Zweifeln können zweite Meinungen Abhilfe schaffen. Sollte das Antivirenprogramm bei einer möglichen Bedrohung anschlagen, dann konsultiere ein zweites Programm. Schlägt das ebenfalls Alarm, dann handelt es sich wahrscheinlich um eine echte Bedrohung. Bei der Installation von zwei Antivirenprogrammen gibt es jedoch häufig Probleme. Vor allem der Windows Defender meckert dann schnell herum. Eine Deinstallation ist jedoch nicht notwendig.
Zur Überprüfung einer Datei kannst Du auch auf einen Onlinescanner zurückgreifen. Viele Hersteller bieten solche Onlinescanner kostenlos auf ihren Webseiten an. Die Datei lädst Du hier hoch und anschließend erhältst Du ein Urteil. Empfehlenswerte Onlinescanner dieser Art wären unter anderem Eset, F-Secure oder Trend Micro.
Ein Onlinescanner wie Trend Micro überprüft Dateien auf schädliche Viren, ohne dass eine lokale Installation des Programms notwendig wäre
Einen umfassenden Dienst dieser Art bietet der Onlinescanner von Google, Virustotal. Dieser überprüft die Datei nicht selbst, sondern sendet sie an gleich mehrere Onlinescanner weiter. Nach der Analyse zeigt er Dir die unterschiedlichen Meinungen der einzelnen Scanner an.
Ganz 100%ig sicher ist Virustotal nicht. Es kam in der Vergangenheit bereits vor, dass auch der Google-Dienst einen Virus nicht identifizieren konnte. Dennoch ist Virustotal sehr hilfreich. Mehrere Meinungen sind oftmals besser, als sich auf nur eine zu verlassen. Zudem ist Google nicht der einzige Anbieter dieser Art. Metadefender Cloud, Hybrid Analysis sowie Jotti's Malware Scan leiten ebenfalls verdächtige Dateien an mehrere Scanner weiter.
Offline Dateien mit bootfähigen USB-Sticks und DVDs scannen
Wer mit unterschiedlichen Rechnern arbeitet, kennt das Problem: Auf jedem sind andere Programme installiert. Mit einer DVD oder einem bootfähigen USB-Stick kannst Du jedoch Deinen eigenen Virenscanner überallhin mitnehmen. Wie genau Du ein solches Medium vorbereitest, ist je nach Hersteller unterschiedlich.
Bei einigen Virenschutzprogrammen lässt sich eine solche portable Variante des Programms direkt im Assistenten auf dem Speichermedium installieren. Bei den Herstellern Avast und AVG verfügt der portable Virenscanner über die gleichen Funktionen wie die installierte Variante. Zudem sind diese Scanner kostenlos. Norton Antivirus bietet ebenfalls eine portable Installation, ist allerdings kostenpflichtig. Das Antivirenprogramm muss für die Installation auf das Bootmedium bereits installiert sein. Hersteller wie Avira oder Kaspersky liefern dagegen Rescue Disks, welche Du lediglich herunterladen musst. Hierbei handelt es sich zumeist um Linux-Livesysteme mit einem zusätzlichen Virenscanner.
Sardu ist ein weiteres nützliches Tool, und kostenlos erhältlich. Damit kannst Du jeden Virenscanner auf einem bootfähigen USB-Stick oder einer DVD installieren. Dafür erstellt Sardu Links zu den Rettungssystemen der Hersteller. Im Anschluss ermöglicht Sardu die Installation der Programme auf dem USB-Stick oder der DVD.
Vermeintliche Viren in einer gesicherten Umgebung ausführen
Was, wenn wir das Virus am Verhalten erkennen wollen? Jedoch sollte das nur in einer gesicherten Umgebung stattfinden, in der das Virus keinen Schaden anrichten kann. Virtuelle Maschinen wurden unter anderem für solche Zwecke geschaffen. Eine Virtual Machine kannst Du auf Windows installieren und in ihr die Datei oder das Programm starten.
Hier kann die Schadsoftware noch so sehr ihr Unwesen treiben, den eigentlichen Rechner wird sie nicht infizieren. Wie in einem Reagenzglas kannst Du dann beobachten, wie das Programm agiert. So könnte es versuchen, wie eine Ransomware Teile der Festplatte zu verschlüsseln. Eine Sandbox kann einen ähnlichen Zweck erfüllen. Diese bildet einen vom Rest des Systems getrennten Bereich, in dem sich der Virus austoben kann, ohne sich ausbreiten zu können. Nützlich sind etwa Onlinesandboxen wie Any.run. Bevorzugst Du eine lokale Sandbox, dann kannst Du Sandboxie installieren.
Pass jedoch auf, manche Malwares legen sich bewusst auf die Lauer und warten Stunden, Tage oder ganze Wochen, bevor sie aktiv werden. Eine Malware in einer Sandbox oder einer virtuellen Maschine mag harmlos wirken. Ihr schädliches Treiben beginnt sie allerdings erst, nachdem einige Zeit verstrichen ist.
Vorsicht vor falschen Virenmeldungen
Auf manchen Webseiten tauchen gelegentlich Pop-up-Fenster auf, welche einen Virusbefall melden. Das geschieht häufig auf eher verruchten Webseiten. Das Pop-up-Fenster warnt und drängelt auf eine sofortige Entfernung des Virus. Allerdings handelt es sich hierbei um einen Scam-Versuch. Die Betrüger wollen Dich dazu bringen, Malware, getarnt als Antivirenprogramm, herunterzuladen und zu installieren.
