Achja. Das selbe Problem habe ich mit Kaspersky auch in einem Chat gehabt.
Da schlägt nur deine Heuristik an. Das liegt daran, dass Scripts, die auf wktools.net gehosted werden, sozusagen "zerstückelt" werden. Warum das so ist, musst du 1. FC Keller fragen.
Auf jeden Fall wird dann auch das wkstats.de-Script, dass du normalerweise in die Ankündigung stecken sollst, aber eben auf wktools.net gehosted hast, auch zerstückelt. Und das Script beinhaltet einen iFrame. Wenn das zerstückelt wird, dann schlägt die Heuristik von Kaspersky zu und blockt eben auch die ganzen Scripts, die auf wktools.net sonst noch so hochgeladen werden. Kaspersky denkt also, dass dir jemand per JavaScript heimlich einen iFrame auf die Seite "schmuggeln" will.
Um das zu verhindern, setzt man das wkstats-Script eben in die Ankündigungen oder man speichert es eben ganz ohne zerstückelung ab, was (bis jetzt) auf wktools noch nicht funktioniert.
Also keine Sorge, es ist ein Fehlalarm, falls es damit zu tun hat. Ich würde deinen Freund trotzdem darauf aufmerksam machen, dass er, falls er wkstats benutzt, das wkstats-script in die Ankündigungen steckt oder falls er wkstats nicht benutzt, dann sollte er auf jeden Fall seine Scripts anschauen, ob da wirklich nichts faul ist.