Tech-Blog seit 2010
Daniel Weihmann
ESET blockiert Webseite - Ursachen und Lösungen

ESET blockiert Webseite - Ursachen und Lösungen

Von Daniel Weihmann · · 1 Kommentar

Du willst eine Seite öffnen und ESET schiebt einen roten Riegel vor: "Bedrohung erkannt. Der Zugriff auf die Webseite wurde blockiert." Darunter steht eine kryptische Bezeichnung wie JS/ScrInject.B, HTML/ScrInject.B oder HTML/Refresh.BC. Bevor du in Panik die Schutzsoftware deaktivierst: in vielen Fällen handelt es sich um einen False Positive, also einen Fehlalarm.

So findest du heraus, was wirklich los ist, und gibst die Seite kontrolliert frei.

ESET Smart Security - Bedrohung erkannt
So sieht die typische ESET-Blockmeldung im Browser aus.

Warum ESET plötzlich Seiten blockt

ESET-Produkte (HOME Security, Smart Security Premium, NOD32 Antivirus, Endpoint Security) prüfen jede aufgerufene Webseite gegen mehrere Schutz-Module. Greift eines davon, kommt die Blockmeldung im Browser. Die häufigsten Ursachen:

  • Echte Bedrohung: Die Seite enthält tatsächlich Schadcode, einen Phishing-Versuch oder einen kompromittierten Werbebanner. Drittanbieter-Werbung ist eine der häufigsten Quellen für Drive-by-Downloads.
  • False Positive durch Signatur-Update: ESET schiebt täglich mehrere Signatur-Updates. Wenn ein Update zu aggressiv greift, landen harmlose Inhalte im Filter. Klassisches Beispiel: Ein generisches JavaScript-Schnipsel passt auf das Muster eines bekannten Trojaners.
  • URL auf einer Schwarzliste: Eine Domain stand in der Vergangenheit auf einer Blacklist (z.B. weil sie mal kompromittiert war) und der Eintrag wurde noch nicht aus der ESET-Datenbank entfernt.
  • SSL-Filter-Fehler: Die SSL-Prüfung kann bei bestimmten Zertifikaten oder Protokoll-Kombinationen unter ESET die Verbindung als verdächtig einstufen.
Faustregel: Wenn plötzlich große, etablierte Seiten wie Amazon, Yahoo oder Spiegel.de gesperrt werden, ist es fast immer ein False Positive durch ein fehlerhaftes Signatur-Update. ESET reagiert in solchen Fällen meist innerhalb weniger Stunden mit einem korrigierten Update.

Bedrohungs-Codes verstehen

Die Bezeichnung in der ESET-Meldung sagt dir, welche Engine angeschlagen hat. Die wichtigsten Präfixe:

  • JS/... - der gemeldete Code liegt als JavaScript vor. Häufig handelt es sich um geringfügig veränderte Standard-Snippets, die einem Malware-Pattern ähneln.
  • HTML/... - der Treffer liegt im HTML-Markup. Oft eingebettete iFrames oder Redirects, die in der Vergangenheit für Drive-by-Angriffe genutzt wurden.
  • ...ScrInject.B - ein generischer Eintrag für "Script Injection". Sammelbezeichnung, die viele harmlose Skripte mit erfasst.
  • ...Refresh.BC - JavaScript-basierte Redirects, etwa per window.location. Triggert auch bei legitimen Weiterleitungen.
  • Win32/..., PUA.* oder Trojan.* - dann ist meist eine konkrete Datei betroffen, nicht eine Web-Resource. Hier vorsichtig prüfen, bevor du Ausnahmen setzt.

Codes mit JS/ oder HTML/ und der Endung .B oder .BC sind die häufigsten False-Positive-Kandidaten. Codes mit konkreten Trojaner-Namen solltest du ernst nehmen.

Ist es ein Fehlalarm? So prüfst du in 60 Sekunden

Bevor du die Seite freischaltest, checkst du mit unabhängigen Quellen, ob die Warnung berechtigt ist:

  1. VirusTotal prüfen: Trage die URL auf virustotal.com ein. Dort scannen über 70 Antivirus-Engines parallel. Schlägt nur ESET an und alle anderen halten die Seite für sauber, ist es mit hoher Wahrscheinlichkeit ein False Positive.
  2. Google Safe Browsing: Prüfe die Domain über den Google Transparency Report. Hat Google Browser-Warnungen, ist die Sache ernster.
  3. Zweiter Browser ohne ESET: Wenn möglich auf einem anderen Gerät ohne ESET die Seite öffnen. Sieht sie normal aus, kein Phishing-Layout, keine seltsamen Downloads, dann spricht das für einen Fehlalarm.
  4. ESET-Forum durchsuchen: Im offiziellen ESET-Forum oder auf Reddit melden Nutzer False Positives meist innerhalb von Minuten. Such nach der Bedrohungs-ID oder der Domain.

Lösung 1: Signaturdatenbank aktualisieren

Wenn der Block in Folge eines fehlerhaften Updates passiert, kommt die Korrektur meist im nächsten Signatur-Update. Prüfe also zuerst, ob inzwischen ein neues Update vorliegt:

  1. ESET-Hauptfenster öffnen.
  2. Links auf "Update" klicken.
  3. "Aktualisierungen suchen" antippen.
  4. Nach dem Download Browser neu starten und Seite erneut aufrufen.
ESET Update-Dialog mit aktuellem Status
Manuelles Update der Signaturdatenbank über den Update-Bereich der ESET-Schaltzentrale.

Wer den Block in der Mittagspause oder am Wochenende erlebt: Oft greift der Hotfix innerhalb von zwei bis vier Stunden nach dem ersten gemeldeten Vorfall.

Lösung 2: Seite als Ausnahme hinzufügen

Bist du sicher, dass die Seite sauber ist, kannst du sie dauerhaft von der ESET-Prüfung ausschließen. Achtung: Eine Ausnahme deaktiviert den Schutz für genau diese Adresse - setze sie nur bei vertrauenswürdigen Domains.

  1. ESET-Hauptfenster öffnen.
  2. F5 drücken (oder "Einstellungen" und dann "Erweiterte Einstellungen").
  3. Auf "Internetschutz" und dann "Webschutz" navigieren.
  4. Bei "URL-Adressverwaltung" auf "Liste der Adressen" klicken.
  5. "Liste der von der Prüfung ausgenommenen Adressen" öffnen, "Bearbeiten" klicken und die Domain hinzufügen, z.B. https://www.beispiel.de/*.
  6. Mit "OK" speichern.

Tipp: Setze die Ausnahme so eng wie möglich. *.beispiel.de/* deckt alle Subdomains ab, ist aber breiter als nötig. Wenn nur eine Unterseite betroffen ist, nimm den vollen Pfad.

Lösung 3: Rollback auf eine ältere Signaturdatenbank

Hat das Update gerade erst Schaden angerichtet und liegt noch kein Fix vor, kannst du die Signaturen kurzfristig auf einen älteren Stand zurücksetzen. Das ist die "Notbremse" - du verlierst die jüngsten Bedrohungserkennungen, bis das nächste Update zieht.

  1. ESET-Hauptfenster öffnen.
  2. F5 drücken für die Erweiterten Einstellungen.
  3. Zu "Update" und dann "Profile" navigieren.
  4. Unter "Updates" auf "Aktualisierungen rückgängig machen" klicken (in älteren ESET-Versionen heißt die Option "Rollback").
  5. Zeitraum auswählen (12 / 24 / 48 Stunden).
  6. Mit "OK" bestätigen, Update-Profil neu laden.
ESET Rollback-Dialog mit Auswahl 24 Stunden
Rollback-Dialog in ESET: Signaturdatenbank um 12 bis 48 Stunden zurücksetzen.
Wichtig: Nach einem Rollback solltest du innerhalb der nächsten 24-48 Stunden manuell prüfen, ob ein neues Update vorliegt, und das Rollback wieder aufheben. Andernfalls bleibst du mit veralteter Bedrohungsdatenbank online.

Lösung 4: False Positive an ESET melden

Wenn du sicher bist, dass die Seite sauber ist, hilf der Community: Melde den Fehlalarm an ESET, damit das Signatur-Update zentral korrigiert wird. ESET nimmt False-Positive-Meldungen über das Web-Formular oder per E-Mail entgegen:

Je mehr Detail du mitlieferst (Zeit des Vorfalls, ESET-Version, Bedrohungs-Code aus der Meldung), desto schneller landet die Korrektur im nächsten Update.

Vom Fehlalarm zum Lerneffekt - der ESET-Vorfall vom 29. Februar 2016

Wer schon länger ESET nutzt, erinnert sich vielleicht: Am Schalttag 2016 hat ein Signatur-Update bei vielen Nutzern reihenweise große Seiten geblockt - Amazon, Yahoo und Finance-Portale waren ab Vormittag nicht mehr erreichbar. Die Meldung war jedes Mal die gleiche: JS/ScrInject.B Trojaner oder HTML/ScrInject.B Trojaner.

Tatsächlich war keine dieser Seiten infiziert. Die Signatur hatte zu breit gegriffen. Gegen 13 Uhr lieferte ESET ein korrigiertes Update aus, ein manuelles Aktualisieren der Signaturdatenbank löste das Problem damals für alle Nutzer.

ESET-Twitter-Posting mit Entschuldigung an die Nutzer
ESET meldete sich am 29.02.2016 über Twitter und bedankte sich bei den Nutzern für die schnellen Hinweise.

Lehre für heute: Wenn auf einmal mehrere etablierte Seiten gleichzeitig gesperrt werden, ist es selten ein echter Angriff. Solche Vorfälle passieren bei jedem Antivirus-Hersteller gelegentlich (auch Avast, Kaspersky und Norton hatten in den letzten Jahren vergleichbare Wellen). Ruhig bleiben, Update prüfen, eventuell Rollback - statt die Schutzsoftware komplett zu deaktivieren.

Was du auf keinen Fall machen solltest

  • ESET komplett deaktivieren: Damit reißt du dir das ganze Schutznetz weg, nur um eine einzelne Seite zu öffnen. Wenn schon Ausnahme, dann gezielt.
  • Echtzeit-Schutz dauerhaft abschalten: Verführung groß, Folgeschaden größer. Wenn du nicht weiter weißt, lieber einen Tag warten als ungeschützt surfen.
  • "Trotzdem öffnen" ohne Prüfung: In der ESET-Warnung gibt es einen Button zum Fortfahren. Klick ihn nur, wenn du die Seite über VirusTotal oder einen anderen Browser verifiziert hast.
  • Antivirus deinstallieren und neu installieren: Bringt nichts. Die Bedrohungssignaturen kommen vom Server, nicht aus der Programminstallation.

Wenn ESET tatsächlich eine kompromittierte Seite findet

Manchmal liegt ESET richtig. Etablierte Seiten sind keine Garantie - in der Vergangenheit wurden Online-Magazine, Bloomberg, sogar Werbenetze wie Forbes oder DoubleClick mit Schadcode in Bannern entdeckt. Wenn deine Prüfung mehrere Anzeichen liefert (VirusTotal schlägt bei mehreren Engines an, Google warnt, andere Browser zeigen merkwürdige Inhalte), dann ist die Sperre richtig.

In dem Fall:

  • Seite nicht öffnen, auch nicht "kurz mal".
  • Browser-Cache leeren - Browser-Hijacker und Banner-Skripte können Spuren hinterlassen.
  • Vollständigen ESET-Scan starten (Hauptfenster, "Computer prüfen", "Smart-Prüfung").
  • Falls noch nichts passiert ist: Passwörter der zuletzt auf dieser Domain genutzten Accounts wechseln.

FAQ - häufige Fragen zur ESET-Sperre

Wie erkenne ich, ob es ein False Positive ist?

Prüfe die URL auf VirusTotal und im Google Transparency Report. Schlägt nur ESET an und alle anderen halten die Seite für sauber, ist es fast immer ein Fehlalarm.

Warum sperrt ESET plötzlich große Seiten wie Amazon?

Meistens ein zu aggressives Signatur-Update. Wenn eine generische Signatur auf ein verbreitetes JavaScript-Pattern passt, fängt sie unzählige harmlose Seiten gleichzeitig. ESET liefert in solchen Fällen meist innerhalb weniger Stunden eine Korrektur aus.

Was bedeutet JS/ScrInject.B?

Eine generische Signatur für Script Injection. Sie schlägt bei JavaScript-Snippets an, die einem bekannten Schadcode ähneln. Das Suffix .B deutet auf eine breit gefasste Variante, die gerne mal harmlose Skripte mitfängt.

Ist das Rollback der Signaturdatenbank gefährlich?

Kurzfristig nicht. Du verlierst die letzten Stunden an neuen Bedrohungserkennungen, bist aber nicht ungeschützt. Sobald ESET einen Fix ausgeliefert hat, das Rollback wieder aufheben und ganz normal aktualisieren.

Soll ich eine dauerhafte Ausnahme setzen?

Nur für Seiten, denen du vertraust. Eine Ausnahme schaltet den Webschutz für diese Domain dauerhaft ab. Bei dynamischen Inhalten wie Werbenetzen oder eingebetteten Drittanbieter-Skripten gehst du damit ein Restrisiko ein.

Was, wenn ESET Mobile auf dem Handy nichts blockt?

ESET Mobile Security nutzt andere Signaturen als die Desktop-Suite. Es ist normal, dass eine Seite am PC gesperrt wird und auf dem Smartphone problemlos lädt - das ist kein Beweis für einen Fehlalarm, aber ein guter Indikator zusammen mit anderen Prüfungen.

ESET Mobile Security auf dem Smartphone
ESET Mobile Security zeigt auf dem Smartphone oft keinen Block, wenn am Desktop ein False Positive greift.

Wie melde ich einen False Positive an ESET?

Über das offizielle Sample-Submission-Formular oder per Mail an samples@eset.com. Wichtig: URL, Bedrohungs-Code aus der Meldung und kurze Begründung warum du es für einen Fehlalarm hältst.

Quellen und weiterführende Links

  • support.eset.com - offizielle ESET Knowledgebase mit aktuellen Anleitungen für alle Produktversionen
  • forum.eset.com - aktive Community, in der False Positives oft binnen Minuten gemeldet werden
  • virustotal.com - URL-Prüfung gegen 70+ Antivirus-Engines
  • Google Safe Browsing Report - zweite Instanz für URL-Prüfung
  • bsi.bund.de - Bundesamt für Sicherheit in der Informationstechnik, allgemeine Empfehlungen zur sicheren Internetnutzung

Verwandte Artikel

Kommentararchiv 1