So sollten Sie bei einem Virenalarm reagieren
Antivirenprogramme verbreiten oft mit drastischen Meldungen Panik. Meistens liegt aber gar keine Virenattacke vor. Wir erklären Ihnen, was es damit auf sich hat.
Wenn das Antivirenprogramm einen Virenalarm auslöst und dies sogar noch akustisch unterstreicht, steigt bei den meisten Nutzern der Blutdruck. Doch gibt es auch andere Fälle, in denen Nutzer gar nicht genau wissen, was sie tun sollen, weil die Meldungen der Tools sind schlichtweg unverständlich sind. Wir zeigen Ihnen für beide Fälle anhand von Beispielen, wie Sie darauf am besten reagieren.
Virus gefunden? So sollten Sie reagieren
-
Ein Virus wurde gefunden
Wenn eine Meldung erscheint wie "Sicherheitshinweis. Echtzeit-Scanner hat zwei Viren oder unerwünschte Programme erkannt" und der Zugriff verweigert wurde, dann werden Sie aufgefordert, eine weitere Aktion wie "Entfernen, Details" auszuwählen. In diesem neutralen Stil sind Virenwarnungen von Avira Free Antivirus gehalten.
Das verbirgt sich dahinter: Ihr Antivirenprogramm hat zwei Viren gefunden und sie gestoppt. Da die Meldung vom "Echtzeit-Scanner", dem Virenwächter stammt, wurden die beiden Virendateien gerade erst auf Ihren PC geschrieben. Vielleicht waren Sie gerade im Internet beim Surfen oder haben Dateien von fremden Datenquellen kopiert.
Das ist die richtige Reaktion darauf: Prinzipiell müsste Ihr System noch ausreichend sicher sein, weil der Virenalarm durch die Antivirensoftware ausgelöst wurde. Dennoch sollten Sie sich etwas näher damit beschäftigen. Speichern und schließen Sie offene Dokumente und klicken Sie auf den Button "Details". Sollte Ihnen ein solcher in einer vergleichbaren Meldung nicht angeboten werden, dann durchsuchen Sie die Log-Dateien des Programms. Sie können auch den Quarantäne-Bereich aufsuchen, um sich dort die von der Antivirensoftware gefundenen Dateien anzusehen. Es empfiehlt sich, alle Infos zu notieren, die das Programm, die Quarantäne oder die Log-Datei bieten. Das Programm wird in den wenigsten Fällen den genauen Namen des Virus wie etwa Autolocky oder Tesla-Crypt nennen. In der Regel erfolgt die Angabe einer Schädlingsklasse, die das Programm anhand typischer Merkmale erkannt hat. Von Kaspersky Internet Security lautet eine Meldung zum Beispiel so: "Heur:Trojan.Script. Generic". Hier hat die Programmheuristik einen Trojaner erkannt, der eine Scriptdatei nutzen will, um sich zu verbreiten. Wenn das Antivirenprogramm einen Virus oder Trojaner an typischen Codeteilen erkennt, so ist die Heuristik (Heur) hierfür zuständig. Wollen Sie weitere Informationen über den Schädling erhalten, müssen Sie im Internet danach suchen. Hierzu sind weitere Angaben erforderlich wie etwa der Name der Datei, in der sich der Schädling versteckt hat. Zudem sollten Sie den Ordner wissen, in dem diese Datei gefunden wurde. Ebenfalls ist die Kenntnis über die anderen Dateien in dem Ordner wichtig und woher die Datei stammt.
Ziel ist es, die Quelle der Virendateien ausfindig zu machen, damit Sie künftig auf Abstand gehen können. Suchen Sie auch nach Zusatzinfos auf der Website des Antivirenprogramms. Meistens finden Sie dort auch nicht mehr Informationen als in Ihrem installierten Antivirenprogramm. Zu guter Letzt sollten Sie auch Google nutzen, um zusätzliche Infos zu den Virendateien zu finden.
Grundsätzlich gilt Folgendes: Wenn ein Antivirenprogramm Alarm schlägt, blockiert es den Schädling zuverlässig und macht Manipulationen, die bereits am System erfolgt sind, wieder rückgängig. Wenn Sie sich dennoch nicht darauf verlassen möchten, können Sie Windows auch neu installieren. Ihre Daten müssen Sie natürlich zuvor sichern.
Fehlalarm: Oftmals lösen Antivirenprogramme schon bei harmlosen Dateien einen Virenalarm aus. Wenn Sie vermuten, dass Ihr Tool einen Fehlalarm ausgelöst hat, dann empfehlen wir, die betreffende Datei weiter zu untersuchen. Hierfür muss diese die Quarantäne der Antivirensoftware verlassen. Sie brauchen hiervor keine Angst zu haben, denn nur durch einen Doppelklick kann die Datei starten und Schaden anrichten. Auf der Website www.virustotal.com können Sie über "Wählen Sie eine", die Datei hochladen. 60 Antivirentools analysieren daraufhin die Datei. So können Sie herausfinden, ob es sich wirklich um eine gefährliche Datei handelt. Wiederholen Sie am nächsten Tag den Test mit einem neu eingefangenen Virus, den wahrscheinlich noch nicht jedes Antivirenprogramm kennt. Manche Tools schlagen bei Dateien Alarm, die möglicherweise gefährlich sein könnten. Sie werden darauf hingewiesen, dass die Datei nur gestartet werden sollte, wenn diese wirklich unbedenklich erscheint. Wenn Sie unsicher sind, können Sie auch diese Datei mit www.virustotal.com untersuchen lassen. Gerade in diesen Zweifelsfällen erweist sich das Tool als recht nützlich. -
PUA oder PUP entdeckt
Norton Security gibt die Meldung aus, dass Auto-Protect das Sicherheitsrisiko PUA.InstallCore verarbeitet.
Das verbirgt sich dahinter: Nortons Virenwächter fand eine Adware und blockierte sie. Das Akronym PUA bedeutet "Potentially Unwanted Application". Man vermutet also, dass die Anwendung unerwünscht ist. Andere Virenhersteller wie Eset bezeichnen solche Programme mit "PUP". Die Abkürzung steht für "potenziell unerwünschtes Programm", also dasselbe wie PUA.
Es sind also keine Spionagetools oder zerstörerischen Programme am Werk, sondern es geht um Code, der Werbung einblendet. Oftmals sind solche Module in Browser-Toolbars enthalten oder über Freeware auf dem PC gelandet.
Im Prinzip eine erfreuliche Meldung, zumal viele andere Antivirenprogramme sich überhaupt nicht mit Adware befassen. Das Problem: Keiner wünscht sich Adware auf seinem Rechner. Bei Adware-Programmen handelt es sich aber auch nicht um schädlichen Code. Oftmals sind in der Software sogar nützliche Funktionen enthalten, die von vielen Anwendern geschätzt werden. So zum Beispiel bei Browser-Toolbars. Die zusätzlichen Menüleisten enthalten häufig Anzeigen für das Wetter an einem bestimmten Ort.
Erst seit einigen Jahren kümmern sich die meisten Antivirenprogramme um Adware. Früher hatten sie die Klagebereitschaft der Adware-Verbreiter gescheut. Diese unterstreichen immer wieder, dass ihre Programme Funktionen enthalten, die sich viele Anwender wünschen. Wenn früher eine Adware von einem Antivirenprogramm blockiert wurde, kam es oft zu Klagen gegen den Hersteller des Antivirentools durch den Adware-Verbreiter.
Kaspersky widerfuhr dies im Jahr 2007. Die Firma Zango verklagte in den USA den russischen Antivirenhersteller, weil dieser die Zango-Browser-Toolbar blockierte. Auch wenn Kaspersky den Fall für sich entscheiden konnte, hielten sich die meisten anderen Antivirenhersteller damit zurück, Adware zu blockieren. In Deutschland war Avira der Pionier auf dem Gebiet der Adwareblockade. Adware-Programme wurden nicht nur zunehmend blockiert, sondern die Blockaden auch Gegenstand von Rechtsstreitigkeiten. So zum Beispiel bei Freemium, bei dem die Downloader durch Avira-Tools blockiert wurden. Dagegen ist Freemium gerichtlich vorgegangen. Avira gewann jedoch im Juni 2015 den Prozess vor dem Landgericht Berlin. Für andere Hersteller von Antiviren-Programmen sank infolgedessen die Hemmschwelle für eine Blockade von Adware. Hersteller von Antiviren-Programmen mussten nun nicht mehr befürchten, dass andere Hersteller von Adware sie verklagen.
So sollten Sie reagieren: Wenn eine Freeware die Adware quasi mitbringt und auf Ihrem PC installiert, müssen Sie nach der Bereinigung prüfen, ob die Freeware dann noch einwandfrei läuft. Falls das nicht der Falls ist, sollten Sie nach Software-Alternativen Ausschau halten. Um ganz sicher zu gehen, dass sich keinerlei Adware mehr auf Ihrem System befindet, empfiehlt sich der Einsatz eines Spezial-Scanners wie beispielsweise Adwcleaner. Dem kostenlosen Tool sind die meisten Adware-Programme bekannt. Sobald Adwcleaner eine Adware entdeckt, sorgt das Tool für deren gründliche Beseitigung. Das Tool muss nicht installiert werden. Alle offenen Programme sollten Sie jedoch vor dem Start schließen, weil Adwcleaner bei der Reinigung sämtliche laufenden Programme ohne weiteren Kommentar abschießt. Damit der Adwcleaner mit der Suche nach unerwünschten Adware-Programmen auf Ihrem Rechner beginnen kann, müssen Sie auf "Suchlauf" klicken. Alle gefundenen Werbeprogramme können Sie anschließend über "Löschen" beseitigen. Die Adware landet dann erst einmal im Quarantäne-Bereich. Schaden kann Sie dort nicht mehr. Sie verbleibt dort, bis Sie die Deinstallation im Adwcleaner über "Deinstallieren" starten. -
Abgelaufenes Abo
Es kommt eine Meldung, dass das Abo in 30 Tagen abläuft und fordert Sie zur Verlängerung auf. So beispielsweise Bitdefender Internet Security.
Das verbirgt sich dahinter: Antivirenprogramm-Abos laufen normalerweise ein Jahr und sind einmal im Jahr zu bezahlen. Kurz vor dem Ende eines Lizenzierungszeitraums wird eine entsprechende Warnung ausgegeben. Spätestens nach einem Jahr teilt ein Pop-up mit, dass das Abo ausgelaufen und der Rechner nicht mehr geschützt ist. Das Programm wird nicht mehr mit Updates versorgt und so gibt es keine Infos mehr zu neuen Viren. Vor neuen Viren ist der PC dann nicht mehr geschützt.
So sollten Sie reagieren: Als Nutzer von Windows 10 müssen Sie sich nicht beeilen. Das aktuelle Microsoft-Betriebssystem besitzt mit Windows Defender sein eigenes Antivirenprogramm. Ist das installierte Antivirenprogramm nicht mehr aktuell, springt sofort der Windows Defender ein. In aktuellen Tests konnte er mit seinen Virenerkennungsfähigkeiten überzeugen. Dadurch sind Sie erst einmal geschützt. Diese Situation haben wir mit Norton Security einmal durchgespielt. Nachdem das Securitytool abgelaufen war, erschienen nach wenigen Tagen Sonderangebote. Einmal bekamen wir 30 Tage gratis für die Verlängerung des Jahresabos, ein paar Tage später wurden auf den jährlichen Abopreis 30 Prozent Rabatt angeboten.
Grundsätzlich ist es eine bequeme Sache, die Antivirensoftware aus der Installation heraus verlängern zu lassen. Im Elektrofachmarkt um die Ecke oder diversen Onlineshops gibt es allerdings Angebote, die deutlich günstiger sind. Hier können Sie ohne Bedenken zugreifen. Den Lizenzschlüssel, den Sie dann erhalten, geben Sie einfach in Ihr installiertes Antivirenprogramm ein. Daraufhin wird die Vollversion dann freigeschaltet.
Ist das Fenster für die Eingabe des Lizenzschlüssels in der Software nicht zu finden, können Sie danach googeln. Ganz sicher finden Sie eine Beschreibung hierzu im Internet. Sie sind bestimmt nicht der einzige Nutzer mit diesem Problem. -
Die Browser-Warnung
Die Meldung: Google Chrome gibt eine Schutzwarnung aus und meldet, dass die Erweiterungen von Norton in Chrome nicht aktiviert sind.
Das verbirgt sich dahinter: Die Meldung erweckt den Anschein, der Browser Google Chrome beschwerte sich über das Fehlen eines Schutztools. Die Meldung stammt vielmehr von Norton Security. Wie viele andere Internetsicherheitsprogramme möchte Norton eine Erweiterung für den Browser installieren. Mit der Erweiterung soll feindlicher Code schneller entdeckt, gefährliche Websites blockiert und auf das Internetsicherheitsprogramm hingewiesen werden. Indem es alle harmlosen Google-Suchergebnisse mit einem Norton-Check-Häkchen versieht, suggeriert Norton seine Nützlichkeit. Das ist durchaus hilfreich, soll aber vor allem dem Anwender zeigen, dass das Schutztool besonders fleißig ist. Die meisten Schutzprogramme bieten solche Erweiterungen für alle gängigen Browser wie Chrome, IE und Firefox an.
So sollten Sie reagieren: Um den maximalen Schutz aus dem Internetsicherheitsprogramm nutzen zu können, ist die Installation der Browser-Erweiterung sinnvoll, denn die meisten Viren kommen nun mal über den Browser. Die Nähe zum Antivirentool ist daher von Vorteil. -
Angeblich unsichere Domain
Eine Meldung gibt vor, dass die Authentizität einer Domain, über die eine verschlüsselte Verbindung läuft, nicht sicher festgestellt werden kann. Typischerweise erscheint eine solche Meldung immer dann, wenn eine neue Website geöffnet wird. Die Pop-up-Meldung nennt zudem das Programm, wie zum Beispiel Chrome, den Grund und natürlich die Domain. Als Grund wird häufig "Ungültiger Name des Zertifikats" angegeben. Auch auf verschlüsselten Websites erscheint diese Meldung. Entweder gehört der Name nicht zur Zulassungsliste oder er wurde ausdrücklich aus der Liste ausgeschlossen. Als Möglichkeit darauf zu reagieren wird Ihnen "Fortsetzen" oder "Verbindung trennen" angeboten.
Das verbirgt sich dahinter: Diese Meldung wird definitiv von Kaspersky Free Antivirus verbreitet. Das ist die Gratis-Version von Kaspersky. In dem Tool ist auch eine Browserschutz-Komponente enthalten. Erreicht Sie eine solche Meldung, dann sollten Sie sich die betreffende Domain (Website) ansehen. Wahrscheinlich passt sie nicht zu der bemängelten Website, welche Sie gerade aufgerufen haben. Möglicherweise handelt es sich um einen Iframe (Inline Frame), der geöffneten Website. Hierbei handelt es sich um einen eigenen Website-Bereich, der Daten von einem anderen Server erhält. Also nicht von der in der Browser-Adressleiste angezeigten Website. Meistens kommt das bei Webseiten mit Werbung vor. Die Meldung erscheint auf Websites, die verschlüsselt sind. Verschlüsselung und Zertifizierung erfolgen über ein Zertifikat. Durchgängig ist die Verschlüsselung allerdings nur, wenn auch die Werbung über diese verschlüsselten und signierten Kanäle geliefert wird. Und genau hier beginnt das Problem.
Werbeseiten werden meist von ihren Betreibern nicht zuverlässig verschlüsselt. In den meisten Fällen sind die Zertifikate, die zeitlich befristet sind, abgelaufen. Werbetreibende haben schlichtweg vergessen, das Zertifikat zu verlängern oder auszutauschen. Wird der Ablauf des Zertifikats festgestellt, kommt Verdacht auf und die Firewall oder das Antivirenprogramm melden den Vorfall. Dasselbe gilt, wenn das Zertifikat auf einem verdächtigen Server liegt. Aus einem einfachen Grund: Hacker versuchen immer wieder über harmlose Websites ihren gefährlichen Code einzuschleusen und nutzen dafür zum Beispiel Iframes.
So sollten Sie reagieren: Wenn Zertifikate von Werbetreibenden schlecht gemanagt werden, können Sie daran nichts ändern. Indem Sie auf "Verbindung trennen" klicken, können Sie diese Unsicherheit aber beseitigen, ohne dass Sie die Meldung aus der Ruhe bringen muss. Dieses ist die beste Vorgehensweise, denn die Verbindung im Iframe wird dadurch getrennt, nicht aber die Verbindung zur Website. Falls die Website anschließend nicht mehr richtig lädt, können Sie den Ladevorgang über den Shortcut Strg-F5 neu starten.
Exkurs: Ab Ende 2018 wird Google Chrome voraussichtlich vor Websites warnen, die über SSL verschlüsselt sind. Konkret handelt es sich um Websites mit Zertifikaten von Symantec. Dieser Hersteller bietet neben dem Antivirenprogramm Norton Security auch SSL-Website-Zertifikate an. Beide Geschäftsbereiche sind allerdings komplett getrennt. Schon seit Längerem liegen Google und Symantecs Zertifikatsbereich im Streit. Laut Google prüft Symantec Zertifikate vor der Vergabe nicht gründlich genug. Die Verschlüsselung durch ein Zertifikat erstreckt sich nicht nur auf den Datentransfer zwischen Server und PC via Browser, sondern auch auf die Echtheit einer Domain beziehungsweise Website. Symantec soll hier nicht ausreichend geprüft haben. Wenn Sie Chrome nutzen und die bekannte Zertifikatswarnung wegen unzureichender Vertrauenswürdigkeit beim Surfen erhalten, kann es sein, dass ein Symantec-Zertifikat dafür verantwortlich ist. Es wäre wünschenswert, wenn Chrome Nutzer aussagekräftig warnt, damit eine richtige Einschätzung möglich ist.
Nicht verschlüsselte Websites werden von Chrome voraussichtlich ab Juni als unsicher bewertet und entsprechend markiert. Wir gehen davon aus, dass nur die Worte "Nicht sicher" der Webadresse im Browser vorangestellt werden, um Nutzer zu warnen. Bereits seit einiger Zeit warnt Chrome Nutzer vor nicht verschlüsselten Websites und bietet hier Log-in-Felder an.
Mehr Informationen, weniger Alarmismus
Der Zweck eines Internet-Sicherheitspakets besteht im Schutz vor Internetangriffen und Viren. Neben der Sicherheit des Systems steht die Verhinderung von Datendiebstahl ganz oben auf der Aufgabenliste eines solchen Pakets. Es gibt viele Nutzer, die mit PC-Viren jedoch kaum in Kontakt kommen. Wenn Sie nur auf sicheren Websites surfen und nur aus sicheren Quellen Ihre Downloads ziehen, müssen Sie sich vor einem Virenangriff nicht fürchten und können ein Jahr ohne entsprechenden Schutz gut überstehen.
Für die Antivirenhersteller kann das allerdings zum Problem werden. Für Virenschutz langen sie ordentlich hin. Hat sich das Tool über ein Jahr lang nicht gemeldet, sind Anwender eher nicht bereit, wiederholt 30, 50 oder sogar 60 Euro für die Verlängerung des Schutzes zu berappen.
Aus dem Grund schlagen viele Schutztools aus eher nichtigen Gründen Alarm und melden sich zum Teil häufiger als nötig. Hierbei ist das Verhalten der Kaspersky Internet Security Suite legendär. Trifft ein eher harmloser Netzwerkscan auf den Rechner, löst das Tool reichlich Alarm aus. Norton gibt regelmäßig Systemoptimierungen bekannt. Wir sind der Auffassung, dass sich die Tools dieses Alarmgeschrei sparen sollten. Viel besser wäre es, wenn man mehr Informationen über gefundene Viren bekäme: Woher ein Schädling kommt und welche Systemänderungen er vornimmt, sind Fragen, für die sich Nutzer interessieren. Es wäre interessant zu wissen, warum eine Website als schädlich eingestuft wird, also, ob sie Daten stiehlt oder Code aufs System schleust. Fundierte Antworten auf diese Fragen sind absolut wünschenswert.