Schon wieder falscher Alarm für Windows-Systembibliothek
Kurz nach G Data und Kaspersky findet nun auch AVG fälschlicherweise einen Trojaner in der Windows-Datei user32.dll.
Das Antiviren-Programm AVG identifizierte fälschlicherweise die Windows-Systembibliothek user32.dll als Trojanisches Pferd und empfahl, dieses zu löschen. Wer der Aufforderung nachkam, konnte sein Windows anschließend nicht mehr starten. Insbesondere die kostenlose Version AVG Anti-Virus Free 8.0 ist recht weit verbreitet.
Die Meldungen gaben an, die Systemdatei enthalte die Bedrohung PSW.Banker4.APSA oder Generic9TBN. Mittlerweile hat AVG den Fehler bestätigt und mit einem Signatur-Update behoben. Wer die Datei jedoch wie vorgeschlagen gelöscht hat, muss sie wieder herstellen, um sein System wieder benutzen zu können. Dies kann über die Reparatur-Funktion der Windows-Installations-CD geschehen oder wie von AVG beschrieben über die Wiederherstellungskonsole. Als dritte Option stellt AVG noch ein "Fix-Tool" bereit, das man via CD beziehungsweise USB-Stick booten kann.
Damit bestätigt sich einmal mehr die Kritik des letzten c't-Tests, dass Fehlalarme durch Antiviren-Software zur echten Plage geworden sind. Rätselhaft ist jedoch, warum diese so gehäuft die Windows-Systembibliothek user32.dll betreffen. Erst letzte Woche entdeckten die Antiviren-Programme von Kaspersky und G Data irrtümlich in bestimmten Versionen einen Schädling; im Januar sprangen die Wächter von G Data und Avast auf sie an. Eigentlich sollte man meinen, dass die Hersteller von AV-Software ihre Signaturen vor der Veröffentlichung zumindest gegen die wichtigsten Systemdateien testen oder diese durch entsprechende Whitelist-Einträge vor solch peinlichen Pannen schützen.
Siehe dazu auch:
- AVG-Support-Seiten mit Fehlalarm bei "user32.dll" und False positive "user32.dll" - fix tool
(ju)