Thema: G Data ...

[SiLæncer]

avast und Gdata, beides weit verbreitete Virenschutzprogramme, melden fälschlicherweise einen Trojaner in der Systemdatei user32.dll von Windows XP. Anwender können sich das System zerschießen, wenn sie die vermeintlich infizierte Datei löschen.

Offenbar hat avast eine generische Erkennung für Trojaner angepasst und in der vergangenen Nacht verteilt, die in der user32.dll einen Schädling erkennt. Die Bibliothek stellt Windows-Anwendungen wichtige Funktionen bereit, wie die Verwaltung von Fensternachrichten, Timer, Menüs und Kommunikation. Fehlt die Datei, dürften viele Windows-Anwendung nicht mehr funktionieren oder das System nicht mehr starten. Die Windows System File Protection (SFP) sollte die Datei wiederherstellen. Hat ein Anwender jedoch alle Kopien der Datei gelöscht oder die SFP deaktiviert, hilft eine Wiederherstellung mit der Rettungskonsole oder eine Rettungsinstallation von der Installations-CD.

avast war für eine Stellungnahme noch nicht zu erreichen, Gdata untersucht das Problem derzeit. Bis die Hersteller aktualisierte Signaturen bereitstellen, die nicht mehr zu einer fehlerhaften Erkennung führen, sollten Nutzer der Software eine Ausnahme für die Datei windows\system32\user32.dll einrichten.

Fehlalarme von Virenscannern in wichtigen Systemdateien scheinen sich inzwischen zu häufen. So hat beispielsweise Kaspersky Ende Dezember etwa den Windows Explorer als Schädling eingestuft, Avira Anfang vergangenen Jahres die Datei winlogon.exe. Gdata erklärte auf Anfrage von heise Security, dass das Unternehmen keine Signatur-Updates ohne vorherige Prüfung auf Testsystemen freischaltet. Bislang ist unklar, wie dieses Update trotzdem durchrutschen konnte.

Quelle : www.heise.de

[spoke1]

Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei "Winlogon.exe" als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht. Beide Firmen haben inzwischen mitgeteilt, dass es sich dabei um einen Fehlalarm handelt und ein Update bereitgestellt, das diesen Fehler behebt. Ist dieses noch nicht installiert, wird empfohlen, zunächst den Dateizugriff zu sperren, dann ein Signatur-Update durchzuführen und den Rechner neu zu starten.
Anzeige

Wurde die Datei "Winlogon.exe" bereits gelöscht, muss sie von der XP-CD über die Wiederherstellungskonsole wieder in das Verzeichnis c:\Windows\system32 kopiert werden. Anschließend den Rechner im abgesicherten Modus starten und per Hand im Diensteverzeichnis den Viren-Scanner-Autostart deaktivieren. Dann den Rechner im normalen Modus neu starten, ein Viren-Update laden, anschließend im Diensteverzeichnis für den Viren-Scanner den Autostarttyp "automatisch" aktivieren und den Rechner erneut starten.

In der jüngeren Vergangenheit haben die Fehlalarme der Virenscanner stark zugenommen. Dabei fällt GData besonders auf, weil es nicht nur die Erkennungsraten sondern auch die Fehlalarme mehrerer Scanner in zum Teil wechselnden Kombinationen bündelt. So erkannte es via Kaspersky-Engine im November in der Windows-Systemdatei user32.dll einen Trojaner und kurz darauf mit der Avast-Engine Teile von TrueCrypt. Eine Anfrage von heise Security, ob man Handlungsbedarf sehe, um die Häufung von Fehlalarmen einzudämmen, wurde nicht beantwortet.

Der neue Fall lässt vermuten, dass Fehlalarme durch Antiviren-Software den Anwender auch weiterhin nerven werden. Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben.


Quelle: www.heise.de

[SiLæncer]

Ein Fehlalarm verunsichert derzeit Nutzer von G Data Internet Security beim Besuch der Spiegel-Homepage. Laut der Sicherheitssoftware ist die Seite mit dem Virus JS:Redirector-EN [Trj] (Engine-B) befallen, der auf dem Adserver der Spiegel-Tochter Quality Channel gehostet sein soll. Doch damit nicht genug: Auch andere Seiten, die von dem Adserver beliefert werden, sollen den Schädling verteilen. Darunter Merian.de, Boerse-Frankfurt.de, Glamour.de, Prinz.de, GQ-Magazin.de und Netmoms.de. Gegenüber heise Security bestätigte G-Data-Sprecher Thorsten Urbanski, dass es sich um einen Fehlalarm handelt, der mit dem nächsten Signaturupdate behoben werden soll.

Quelle : www.heise.de

[SiLæncer]

Update: Wie Leser berichten, tritt ein ähnlicher Alarm auch mit dem Virenwächter von Avast auf. Das ist nicht weiter verwunderlich, verwendet GData doch unter anderem auch die Avast-Engine.

Quelle : www.heise.de