Fehlalarm von Kaspersky legt Windows-Rechner lahm

Der russische Antivirenhersteller Kaspersky hat in der vergangenen Nacht ein Update der Viren-Signaturen verteilt, durch das die Datei explorer.exe, die unter anderem die Windows-Bedienoberfläche für Anwender bereitstellt, als Worm.Win32.Huhk.c erkannt wird. Dadurch haben einige Nutzer der Software und darauf basierender Antivirenlösungen wie der von Gdata diese Datei nachhaltig gelöscht und können ihr System nach einem Neustart nicht mehr bedienen.

Diese Situation tritt insbsondere dann ein, wenn die Windows File Protection deaktiviert wurde und Windows die explorer.exe nicht mehr automatisch wiederherstellen kann. Außerdem ist es möglich, dass Anwender alle auf dem System vorhandenen Kopien der Datei gelöscht haben, wodurch eine Wiederherstellung ebenfalls fehlschlägt. In so einem Fall kann jedoch eine Wiederherstellung mit der Installations-CD von Windows glücken, indem man die Datei entweder über die Rettungskonsole oder die Rettungsinstallation einspielt.

Kaspersky hat kurze Zeit nach der Veröffentlichung der fehlerhaften Signaturen ein weiteres Update nachgelegt, das nicht mehr zu einem Fehlalarm bei der Datei explorer.exe führt. Betroffene Anwender sollten daher, sofern möglich, ein manuelles Signaturupdate durchführen.

Fehlalarme von Virenscannern sind nicht ungewöhnlich, betreffen aber selten essenzielle Systemdateien. Beispielsweise hatte Avira Anfang des Jahres ein ähnliches Problem, als ein Signaturupdate zu einer fehlerhaften Erkennung der winlogon.exe als Schadprogramm geführt hatte. Bei der schnellen Reaktionszeit und den häufigen Updates von Kaspersky ist es jedoch bemerkenswert, dass es nicht häufiger zu Fehlalarmen kommt – viel Zeit zum intensiven Überprüfen der Signaturen vor der Auslieferung bleibt dem Unternehmen wahrscheinlich nicht.

Siehe dazu auch:

• Virus Worm Win32 Huhk.c, Diskussion über den Fehlalarm in Kasperskys Benutzerforum
• Virus-Fehlalarm von Avira in winlogon.exe, Meldung von heise Security

(dmk)