Antiviren-Update setzt Windows-Server außer Betrieb

Einige Betreiber von Windows-Servern wunderten sich in den letzten Tagen über ein seltsames Verhalten ihrer Rechner. Entweder konnten sie sich nach einem Neustart des Computers nicht mehr anmelden oder das System stürzte einfach ab. Der Grund dafür liegt beim Virenscanner eTrust von Computer Associates. Das Signatur-Update 30.3.3054, welches für das Betriebssysteme Windows Server 2003 gedacht ist, stuft die lebenswichtige lsass.exe als bösartig ein und löscht sie kurzerhand. Auch der dazugehörige Dienst, der Zugriffe für Dateien regelt, wurde lahmgelegt.

Das Fehlverhalten entstand wahrscheinlich durch einen Tippfehler. Der Scanner behauptet, dass die lsass.exe mit dem Trojaner "Lassrv.B" infiziert ist, bevor er sie löscht. Lassrv.B modifiziert die lsass.exe, versteckt sich aber eigentlich in der Datei lasrv32.dll, die gelöscht werden kann. eTrust löscht einfach immer die gefundene lsass.exe, egal ob infiziert oder nicht.

Inzwischen wurde dieses Problem durch eine neuere Signatur behoben. Sie trägt die Versionsnummer 30.3.3056. Wer von diesem Fehlverhalten betroffen ist, kann die von Computer Associates zur Verfügung gestellte Anleitung für die Wiederherstellung nutzen.