In unserer Firma wird sehr viel wert auf Sicherheit gelegt. Das finde ich gut, denn dadurch haben wir alle großen Viren- und Würmerwellen ausgelassen. Aber irgendwie kann man es auch übertreiben…

Bei uns läuft auf jedem Rechner ein On-Access-Virus-Scan-Programm der auf der Engine von McAfee basiert. Jeder Dateizugriff wird abgefangen und geprüft. Zusätzlich wird über ein Login-Skript überprüft, ob man auch regelmäßig, d.h. wenigstens einmal pro Woche einen vollen Virensuchlauf über alle Platten laufen ließ. War das nicht der Fall, dann wird der Prüflauf morgens nach den Anmelden gleich angestoßen. Wenn man den abbricht, dann wird man von System abgemeldet.
Der billigste Suchlauf dauert bei mir 3 Stunden, wenn alle Dateitypen und alle Archive geprüft werden, dann 5 Stunden. Die Systembelastung ist dadurch recht hoch. Das Developer-Studio brauche ich parallel dazu nicht öffnen…

Daran haben wir uns schon ganz gut gewöhnt, jetzt kam sogar eine neue Version, die auch SpyWare findet, und einen Stick sofort prüft, wenn man ihn ans System steckt. Die neue Version fand bei mir auch gleich drei suspekte Registry-Einträge:

HKEY_CLASSES_ROOT\appid\AtlBrowser.EXE Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon.1 Reg-Ezula(Potenziell unerwünschte Software)

Interessanterweise wurde es nur als Warnung ausgegeben. Das Login-Skript kam irgendwie auf den Gedanken, die Prüfung habe ein verseuchtes System gefunden, und hat mich sogleich abgemeldet. Das habe ich aber nicht bemerkt, denn zu dem Zeitpunkt war ich gerade in einer Besprechung. Als ich wieder kam wunderte ich mich, meldete mich erneut an und musste mir anhören, dass ich schon lange nicht mehr geprüft habe und die Prüfung jetzt gestartet wird. Irgendwann nach dem Mittagessen war die Prüfung dann durch und brachte die drei Registry-Einträge. Ich hatte noch genug Zeit, um unseren obersten Virologen eine Mail zu schreiben. Dann wurde ich abgemeldet, weil ich die Prüfung abgebrochen habe. Hm, das war wohl ein ärgerlicher Fehler im Login-Skript. Nach dem nächsten Anmelden bekam ich die Mail, dass ich jetzt aus der Systemprüfung rausgenommen wurde…

Das Pikante daran war, dass diese Einträge überhaupt nicht von einem Schädlingsprogramm erstellt wurden, sondern vom "Microsoft Application Compatibility Analyzer" den ich damals vor der Einführung von Windows 2003 (oder war es vor XP?) installierte, um unsere Anwendungen zu untersuchen. Das fand ich aber erst am nächsten Tag heraus…

Sicherheit ist viel wert.