Rant: tr/wlhack.a - falscher Alarm bei Antivir/Avira…

In­ner­halb we­ni­ger Mi­nu­ten haben sich bei mir heute früh zwei Be­kann­te ge­mel­det - ihr Vi­ren­scan­ner (von Avira) hätte ein tro­ja­ni­sches Pferd na­mens "TR/WL­Hack.a" in winlogon.​exe ge­fun­den. Schein­bar eine Epi­de­mie, denn die Home­page von Avira re­agiert nur sehr zäh; nach­dem ich end­lich nach Vi­ren­in­fos su­chen kann, stel­le ich fest, daß kein Ein­trag hier­zu exis­tiert. Fal­scher Alarm? Auf der Start­sei­te be­fin­det sich kein Hin­weis, die nor­ma­le Google­su­che fin­det nix, und Tech­no­ra­ti bringt nur den Ein­trag eines wei­te­ren Be­trof­fe­nen zum Vor­schein...
Eine Be­kann­te hat in­zwi­schen fest­ge­stellt, daß sie sich bei ihrem Home­ban­king nicht mehr an­mel­den kann - und so­fort eine Sper­rung des Zu­gangs bei ihrer Bank ver­an­la­ßt. In Sorge, was sonst noch pas­siert sein könn­te, ruft sie schlie­ß­lich bei der Hot­line an: 0900er-Num­mer, knapp 2€/Mi­nu­te - auf der Web­sei­te be­fin­den sich noch immer keine In­for­ma­tio­nen. Meh­re­re ver­geb­li­che Ver­su­che (die Hot­line wurde wohl auch über­rannt) und mehr als 10€ ärmer er­fährt sie, daß es sich um einen Feh­ler in der ak­tu­el­len Vi­ren­de­fi­ni­ti­ons­da­tei han­del­te. Auf ihren Kom­men­tar hin, daß die In­for­ma­tio­nen auf der Web­sei­te fehl­ten und sie diese ver­spä­te­te In­for­ma­ti­on nun Streß mit der Bank und dicke Te­le­fon­ge­büh­ren kos­tet, be­kommt sie als Ant­wort: "Das ist ihr Ver­hal­ten; das ist nicht unser Pro­blem" Sie hätte ja nicht an­ru­fen brau­chen.
Ihr "Hil­fe­ruf" kam um 8:50h. Die feh­ler­haf­ten Si­gna­tur­da­ten wur­den da schon aus­ge­lie­fert (schwer zu sagen, wie lange schon). Jetzt, im Mo­ment, um 10:55h er­scheint bei Avira die Mel­dung über den Fehl­alarm.
Das pam­pi­ge Ver­hal­ten der (teu­ren!) Hot­line regt üble Ge­dan­ken an: Daß bei sol­chen Si­gna­tu­ren Fehl­alar­me vor­kom­men kön­nen, ist klar; ins­be­son­de­re exo­ti­sche Pro­gram­me sind davor nicht ge­feit. Aber "winlogon.​exe" ist bei jedem Sys­tem vor­han­den - wieso ist das bei den Tests nicht auf­ge­fal­len? Oder (vor­sicht, böse Mut­ma­ßung) hat man den Feh­ler ab­sicht­lich un­ab­sicht­lich über­se­hen, um über die 0900-Num­mer etwas Geld in die Kasse zu spü­len?
Wie auch immer: Ich werde in Zu­kunft die Kos­ten für den Sup­port deut­lich höher ge­wich­ten, wenn es um die An­schaf­fung ir­gend­wel­cher Soft­ware geht. Die An­ti­vir-Hot­line ist Mo-Fr von 10-19 Uhr für 1,99 €/Min zu er­rei­chen; ein Bei­spiel zum Ver­gleich: Den tech­ni­schen Sup­port von GData er­reicht man 24/7 über eine 0180-Num­mer - für 4 Cent pro Mi­nu­te...

Up­date: Nur zur Klar­stel­lung - das tro­ja­ni­sche Pferd mit der Be­zeich­nung TR/WL­Hack.a gibt es wirk­lich, und es in­fi­ziert auch tat­säch­lich winlogon.​exe.