Tipps & Tricks 19.02.2011, 10:16 Uhr

Programmdatei ab CD virenverseucht

Problem: Seit ich heute mein Antivirenprogramm aktualisiert habe, kann ich eins meiner Programme nicht mehr einsetzen. Der Virenscanner findet in einer der Dateien (C:\Program Files\TuneUp Utilities 2011\Internet.bpl) einen Trojaner. Bis jetzt hat TuneUp gut funktioniert und ich habe es ab einer Original-CD installiert. Kann da wirklich ein Trojaner drin sein?
Lösung: Im Prinzip schon, aber es könnte auch bloss ein falscher Alarm sein. Hier zunächst, was Sie auf jeden Fall tun sollten; weiter unten finden Sie die möglichen Szenarien und daraus folgenden Konsequenzen.
Virustotal prüft die hochgeladene Datei mit mehreren Virenscannern
Datei online prüfen: Lassen Sie die Datei bei Virustotal oder Jotti prüfen. Wenn nur einer oder gar keiner der dort gelisteten Antivirushersteller einen Schädling entdeckt, ist ein falscher Alarm zwar nicht zu 100% erwiesen, aber sehr naheliegend. Anders die Datei, die im Beispiel-Screenshot links via Virustotal geprüft wurde. Die ist definitiv nicht vertrauenswürdig, da mehrere verschiedene Virenscanner sie für verdächtig halten.
Datei zur Prüfung einsenden: Jeder Antivirushersteller bietet seinen Benutzern einen Weg, verdächtige Dateien ans Virenlabor zu übermitteln. Das gilt auch für Dateien, die er wohl fälschlich als Schädling erkannt hat. Einige Hersteller haben eine Webseite mit einem Formular, über das Sie solche Dateien hochladen können. Andere bieten eine E-Mail-Adresse, an die Sie verdächtige Dateien schicken können. Bei der Übermittlung via E-Mail sollten Sie die verdächtige Datei zippen, sonst wird sie unterwegs unter Umständen gelöscht. Setzen Sie beim Zippen ein Passwort. Im Mailtext müssen Sie das Passwort nennen und sollten angeben, woher die Datei stammt, welche Virenmeldung ausgegeben wurde und dass Sie einen Fehlalarm (engl. «false positive») vermuten. Wiederum andere bauen die Übermittlungsfunktion gleich ins Antivirenprogramm ein. Da lässt sich die Datei oft direkt aus der Quarantäne heraus ans Labor schicken. Welche Optionen Sie bei Ihrem Antivirushersteller haben, können Sie via Programmhilfe herausfinden.
Warum plötzlich der Alarm beim vertrauenswürdigen Programm?
Szenario 1 - der Fehlalarm: Laut unserer Erfahrung ist das immer noch der weitaus häufigste Grund für Virenalarme in mutmasslich vertrauenswürdigen Dateien. Beim Aufspüren von Schädlingen greifen die Antivirushersteller zu verschiedenen Methoden. Dabei untersuchen sie auch Teile von Dateien, deren Aufbau und Verhalten. Diese Erkennungsalgorithmen werden beim Update des Virenscanners regelmässig aktualisiert. Vereinfacht gesagt passiert dann das: Wenn etwas aufgrund der neuen Erkennungsmuster zufällig einer bekannten Schädlingsgruppe ähnelt, wird Alarm geschlagen.
Wenn sich das Ganze als Fehlalarm entpuppt, wird Ihr Antivirushersteller bald ein korrigierendes Erkennungsmuster-Update verteilen. Damit Sie nicht endlos aufs rettende Update warten müssen, bieten viele Antivirenprogramme die Möglichkeit, die Datei auf eine Ausnahmeliste zu setzen. Tun Sie das nur, wenn Ihnen das Antivirenlabor bestätigt hat, es handle sich um einen Fehlalarm.
Szenario 2 - Schädling auf der CD: Natürlich könnte dem Software-Hersteller eine Panne bei der CD-Herstellung unterlaufen sein. Davor sind auch renommierte Unternehmen nicht gefeit; vor vielen Jahren war sogar auf einer Internet Explorer Promo-CD von Microsoft ein Schädling zu finden. Das passiert aber selten. Eine CD, die wirklich einen Schädling enthält, sollten Sie nicht mehr verwenden. Versuchen Sie vom Hersteller ein virenfreies Exemplar zu bekommen.
Ist es ein echter Schädling? Wenn er nur als nie gestartete Datei auf der Festplatte liegt, reicht es, die Schädlingsdatei zu löschen. Wenn er einmal gestartet wurde, konnte er möglicherweise noch andere Bereiche des Systems infiltrieren. Da führt eine Säuberung oft nicht zum Ziel. Wir empfehlen, Windows und die ganzen Programme auf eine frisch formatierte Festplatte neu zu installieren. Natürlich sichern Sie vorher Ihre Daten.
Szenario 3 - nachträglich infiziert: Es kann sein, dass ein Schädling entweder eine bestehende Datei in einem Programmordner infiziert (das wäre ein Virus) oder dass er dort neue schädliche Dateien platziert (Wurm oder Trojaner). Da müssten Sie sich an die eigene Nase fassen, denn das dürfte eigentlich nicht mehr vorkommen. Der Grund: Fürs Speichern oder Verändern von Dateien im Programm-Ordner benötigt das Benutzerkonto Administrator-Rechte. Die braucht es bei der täglichen Arbeit aber nicht, weil die persönlichen Dokumente und Einstellungen anderswo liegen. In älteren Windows-Versionen (z.B. XP) sollten Sie deshalb ein eingeschränktes Benutzerkonto verwenden. In Windows Vista und 7 müssen sogar Benutzerkonten des Typs «Computeradministrator» manuell bestätigen, wenn sie sich an Dateien in diesen Ordnern zu schaffen machen wollen.
Wenn sich Schädlinge so mir nichts, dir nichts in den Programmordner ablegen können, haben Sie ein unsicheres System vor sich. Hier empfiehlt sich dringend eine Neuinstallation auf eine formatierte Festplatte. Überdenken Sie, ob Sie in Zukunft wirklich im Alltag als Administrator unterwegs sein wollen.
Szenario 4 - «gefährliche» Programme: Nicht selten kommt es auch zu Meinungsverschiedenheiten zwischen Ihnen und Ihrem Antivirusprogramm. Jenes betrachtet nämlich Programme für bestimmte Zwecke generell als «böse». So gibts beispielsweise Tools, die ein gespeichertes, nur als Sternchen angezeigtes Passwort in Klartext umwandeln. Die sind dafür gedacht, auf dem eigenen PC ein vergessenes Passwort wieder zu beschaffen. Die Antivirenprogramme neigen aber dazu, solche Tools als «potentiell unerwünschte Software» (PUS) oder «Passwort-Klauer» («password stealer», PWS) zu blockieren. Auch die sind ein Fall für die Ausnahmeliste, wenn Sie sie absichtlich installiert haben und weiterhin behalten wollen. (PCtipp-Forum)



Kommentare
Es sind keine Kommentare vorhanden.