Windows 7

Blog von Microsoft Deutschland

Was Virenscanner nicht scannen sollten

Was Virenscanner nicht scannen sollten

  • Comments 5
  • Likes

Immer wieder erreichen uns Kundenanfragen, die über mysteriöse Probleme berichten. In diesem Beispiel beschrieb ein Kunde, dass der Rechner ‘irgendwie langsamer’ geworden ist und fand folgenden Eintrag in der Ereignisanzeige:

wuaueng.dll (504) SUS20ClientDataStore: A request to write to the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" at offset 0 (0x0000000000000000) for 32768 (0x00008000) bytes succeeded, but took an abnormally long time (21634 seconds) to be serviced by the OS. This problem is likely due to faulty hardware. Please contact your hardware vendor for further assistance diagnosing the problem.

Schuld an einem solchen Verhalten können Virenscanner sein, die bestimmte Bereiche des Computers wegen der dabei auftretenden Dateisperren aus Performancegründen nicht scannen sollten und aus Sicherheitsgründen auch nicht scannen müssen:

  • Microsoft Windows Update oder Automatic Update
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore
      • Datastore.edb
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore\Logs
      • Edb*.log
      • Res1.log (Edbres00001.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Res2.log (Edbres00002.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Edb.chk
      • Tmp.edb
    • Ausschließen folgender Dateien im Ordner %windir%\security:
      • *.edb
      • *.sdb
      • *.log
      • *.chk
      Wenn diese Dateien nicht ausgeschlossen werden, kann die Sicherheitsdatenbank beschädigt werden und dadurch Gruppenrichtlinien nicht angewendet werden. Es geht dabei insbesondere um folgende Dateien:
      • Edb.chk
      • Edb.log
      • *.log
      • Security.sdb im Ordner %windir%\security\databas
  • Gruppenrichtlinien
    • Ausschließen folgender Dateien im Ordner %allusersprofile%
      • NTUser.pol
    • Ausschließen folgender Dateien im Ordner %Systemroot%\system32\GroupPolicy\
      • registry.pol

Weitere Empfehlungen vor allem für Windows Server-basierende Domänencontroller sind in Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7 beschrieben. Da nicht alle Virenscannerhersteller diese Empfehlungen von Microsoft umgesetzt haben, sollte man sich selbst vergewissern, dass man die Ausschlussliste entsprechend konfiguriert hat.

Comments
  • Darf man erfahren um welchen Virenscanner es hier konrekt geht, bzw. welche dies umgesetzt haben und welche nicht?.. wo kann man sowas nachlesen?

    Danke

  • Hallo Daniel!

    Wie schaut es denn mit den MS Security Essentials aus? Dort sind in der aktuellen Version unter "Einstellungen / Ausgeschlossene Dateien und Orte" keine sichtbaren Ausschlüsse definiert.

  • Ok, die Virenscanner sind schuld. Vielleicht hätte Microsoft auch einfach den Dateizugriff (ohne dieses unsinnige locking) sauber implementieren sollen?

    P.S. Ein Blog lebt eigentlich davon, das Kommentare auch beanwortet werden...

  • @Stefan: Das hat nichts mit Locking zu tun. Da verwechselst Du etwas. Virenscanner implementieren einen Filtertreiber, der sich zwischen die Dateiaufrufe hängt. Das eigentliche Scannen erfolgt dann vor dem Durchführen der Lese- und/oder Schreiboperation.

    Wenn Du das Posting genau liest, wirst Du feststellen, dass es darum geht, Dateien, die der Virenscanner eh nicht sinnvoll scannen kann, vom Scan auszuschliessen, weil es im besten Fall nur zu Performanceverlusten kommt und im schlechtesten Fall der Virenscanner den Rechner lahm legen kann. Was glaubst Du, was passiert, wenn zum Beispiel ein Virenscanner die Exchange Mailboxdatenbank scannt und entscheidet, aufgrund eines false Positives Treffer die Datenbank zu löschen oder in Quarantäne zu verschieben? Alles schon gesehen. Oder hast Du mal einen Mailloop gesehen, weil der Dateivirenscanner immer die Spooldatei löscht, weil er glaubt, einen Virus darin gefunden zu haben?

    Deswegen schließt man bestimmte Verzeichnisse aus dem Scan aus.

    @harddy: Die Auskunft dazu kann der jeweilige Hersteller geben.

    @leonidas: Bei MS Security Essentials handnabt die Scanengine das intern.

  • Hallo Daniel,

    gemäß deiner Antwort an 2leonidas" kann aber bei MS Security Essentials auch nicht überprüft werden ob sich das Programm an die Ausschlussliste / Vorgaben hält.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment