Falscher Alarm von avast und Gdata in user32.dll [Update]
Der avast-Virenscanner erkennt in der user32.dll von Windows XP einen Trojaner. Allerdings handelt es sich um einen Fehlalarm, betroffene Nutzer sollten die Datei nicht löschen.
avast und Gdata, beides weit verbreitete Virenschutzprogramme, melden fälschlicherweise einen Trojaner in der Systemdatei user32.dll von Windows XP. Anwender können sich das System zerschießen, wenn sie die vermeintlich infizierte Datei löschen.
Offenbar hat avast eine generische Erkennung für Trojaner angepasst und in der vergangenen Nacht verteilt, die in der user32.dll einen Schädling erkennt. Die Bibliothek stellt Windows-Anwendungen wichtige Funktionen bereit, wie die Verwaltung von Fensternachrichten, Timer, Menüs und Kommunikation. Fehlt die Datei, dürften viele Windows-Anwendung nicht mehr funktionieren oder das System nicht mehr starten. Die Windows System File Protection (SFP) sollte die Datei wiederherstellen. Hat ein Anwender jedoch alle Kopien der Datei gelöscht oder die SFP deaktiviert, hilft eine Wiederherstellung mit der Rettungskonsole oder eine Rettungsinstallation von der Installations-CD.
avast war für eine Stellungnahme noch nicht zu erreichen, Gdata untersucht das Problem derzeit. Bis die Hersteller aktualisierte Signaturen bereitstellen, die nicht mehr zu einer fehlerhaften Erkennung führen, sollten Nutzer der Software eine Ausnahme für die Datei windows\system32\user32.dll einrichten.
Fehlalarme von Virenscannern in wichtigen Systemdateien scheinen sich inzwischen zu häufen. So hat beispielsweise Kaspersky Ende Dezember etwa den Windows Explorer als Schädling eingestuft, Avira Anfang vergangenen Jahres die Datei winlogon.exe. Gdata erklärte auf Anfrage von heise Security, dass das Unternehmen keine Signatur-Updates ohne vorherige Prüfung auf Testsystemen freischaltet. Bislang ist unklar, wie dieses Update trotzdem durchrutschen konnte.
Update:
Inzwischen verteilen die Hersteller aktualisierte Signaturen, die keinen Fehlalarm bei der user32.dll mehr erzeugen. Nutzer der Software sollten gegebenenfalls das Signaturupdate manuell anstoßen.
Siehe dazu auch:
- Fehlalarm von Kaspersky legt Windows-Rechner lahm, Meldung von heise Security
- Virus-Fehlalarm von Avira in winlogon.exe, Meldung von heise Security
(dmk)
