Fataler Fehlalarm bei McAfee VirusScan [Update]

Fehlerhafte Signaturen für den Virus W95/CTX stellten eine ganze Reihe legitimer Anwendungs- sowie Systemdateien von Windows unter Quarantäne und führten unter Umständen sogar zu deren Löschung.

In Pocket speichern vorlesen Druckansicht 285 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Das am 10. März von McAfee ausgelieferte Signatur-Update 4715 führte bei diversen legitimen Dateien zu einem Fehlalarm. Je nach Konfiguration verschiebt der Virenscanner die vermeintlich infizierten Objekte in ein Quarantäne-Verzeichnis oder löscht diese sogar vollständig. In der vollständigen Liste der fälschlich als Virus W95/CTX erkannten Dateien befinden sich unter anderem die Windows-Systemdateien usersid.exe und imjpinst.exe, die Microsoft-Office-Dateien excel.exe und graph.exe sowie diverse Dateien aus Java-Installationen, der Google-Toolbar, dem Macromedia-Flash-Player und dem Adobe-Update-Manager. Über das Ausmaß der Schäden durch die gelöschten Dateien ist bisher nichts bekannt. Der Redaktion liegen jedoch Hinweise vor, dass in einem Fall Oracle- und ERP-Installationen nach einem Scanner-Durchlauf mit der fehlerhaften Signatur vollständig unbrauchbar wurden.

Laut Hersteller sind alle Anwender des On-Demand-Scanners von McAfee VirusScan, die das Signatur-Update 4715 eingespielt haben, potenziell von dem Problem betroffen. Bei ausschließlicher Verwendung des On-Access-Scanners, der Dateien schon vor einem Zugriff überprüft, tritt der Fehler nach Angaben von McAfee jedoch nicht zu Tage. VirusScan Online erkannte W95/CTX in harmlosen Dateien für einen kurzen Zeitraum am 10. März ebenfalls. Das am selben Tag herausgegebene Signatur-Update 4716 behebt den Fehlalarm in allen Produkten. Ein offenbar durch den McAfee-Support angekündigtes Tool zur Behebung der entstandenen Schäden wurde bislang noch nicht bereitgestellt.

Der Hersteller empfiehlt betroffenen Anwendern, gelöschte Systemdateien durch eine Systemwiederherstellung von Windows zurückzuspielen. Dies ist natürlich nur ratsam, wenn der jüngste Wiederherstellungszeitpunkt erst vor Kurzem angefertigt wurde. Sofern die Dateien lediglich in Quarantäne verschoben wurden, können Sie diese an ihren ursprünglichen Ort zurück verschieben. Klicken Sie dazu mit der rechten Maustaste auf das McAfee-Icon im System-Tray am unteren rechten Bildschirmrand und wählen Sie unter "VirusScan" den Menüpunkt "Dateien unter Quarantäne verwalten". Haken Sie dort die Dateien mit dem Status "Infiziert von Virus W95/CTX" ab und bestätigen Sie mit "Wiederherst."

Update:
Die Wiederherstellung funktioniert offenbar nicht mit allen Produkten der VirusScan-Serie, insbesondere nicht bei mit dem ePolicy Orchestrator (ePO) zentral verwalteten Installationen. Zwischenzeitlich hat McAfee jedoch auch das angekündigte Tool namens CTXundo bereitgestellt, das unabhängig von dieser Funktion die unter Quarantäne gestellten Dateien wieder herstellt. (cr)