Was Virenscanner nicht scannen sollten

Immer wieder erreichen uns Kundenanfragen, die über mysteriöse Probleme berichten. In diesem Beispiel beschrieb ein Kunde, dass der Rechner ‘irgendwie langsamer’ geworden ist und fand folgenden Eintrag in der Ereignisanzeige:

wuaueng.dll (504) SUS20ClientDataStore: A request to write to the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" at offset 0 (0x0000000000000000) for 32768 (0x00008000) bytes succeeded, but took an abnormally long time (21634 seconds) to be serviced by the OS. This problem is likely due to faulty hardware. Please contact your hardware vendor for further assistance diagnosing the problem.

Schuld an einem solchen Verhalten können Virenscanner sein, die bestimmte Bereiche des Computers wegen der dabei auftretenden Dateisperren aus Performancegründen nicht scannen sollten und aus Sicherheitsgründen auch nicht scannen müssen:

  • Microsoft Windows Update oder Automatic Update
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore
      • Datastore.edb
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore\Logs
      • Edb*.log
      • Res1.log (Edbres00001.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Res2.log (Edbres00002.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Edb.chk
      • Tmp.edb
    • Ausschließen folgender Dateien im Ordner %windir%\security:
      • *.edb
      • *.sdb
      • *.log
      • *.chk Wenn diese Dateien nicht ausgeschlossen werden, kann die Sicherheitsdatenbank beschädigt werden und dadurch Gruppenrichtlinien nicht angewendet werden. Es geht dabei insbesondere um folgende Dateien:
      • Edb.chk
      • Edb.log
      • *.log
      • Security.sdb im Ordner %windir%\security\databas
  • Gruppenrichtlinien
    • Ausschließen folgender Dateien im Ordner %allusersprofile%
      • NTUser.pol
    • Ausschließen folgender Dateien im Ordner %Systemroot%\system32\GroupPolicy\
      • registry.pol

Weitere Empfehlungen vor allem für Windows Server-basierende Domänencontroller sind in Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7 beschrieben. Da nicht alle Virenscannerhersteller diese Empfehlungen von Microsoft umgesetzt haben, sollte man sich selbst vergewissern, dass man die Ausschlussliste entsprechend konfiguriert hat.

Update am 16.11.2009

Aufgrund des kontinuierlichen Feedbacks möchte ich noch auf einen weiteren Artikel hinweisen, der eine Linksammlung zu Artikeln enthält, in denen es um die richtige Konfiguration von Ausschlußlisten für Domänencontroller, Exchange Server, Internet Information Server (IIS), Internet Security and Acceleration (ISA) Server, SharePoint Portal Server, SQL Server, Systems Management Server (SMS), Virtual Server, Microsoft Virtual PC und Windows Update geht:

Recommended Forefront Client Security file and folder exclusions for Microsoft products
http://support.microsoft.com/kb/943556/en-us

Wenn man die Knowledge Base mit geeigneten Begriffen durchsucht, findet man noch jede Menge weitere Literatur zur Vertiefung des Themas.