Ein Fehlalarm von Trend Micros Virenschutz auf Dateien des aktuellen Microsoft Edge-Explorers, der standardmäßig auf allen Windows-10- und Windows-11-Geräten installiert ist, konnte auch zugehörige Registry-Dateien löschen und so für einige Nutzer größere Probleme bereiten. Der Hersteller hat eine Anleitung bereitgestellt, wie sich die gelöschten Registry-Einträge wiederherstellen lassen.

Die fehlerhafte Erkennung als Malware betraf Microsoft Edge in der Version 101.0.1210.32, die konkrete Datei hieß msedge_200_percent.pak. Seit Ende vorvergangener Woche hat Microsoft die Version als aktuelle Fassung des Edge-Webbrowsers verteilt. Gegenüber heise online teilte Tobias Grabitz, PR & Communications Manager bei Trend Micro, mit, dass die Virenerkennungsdateien Smart Scan Agent Pattern 17.541.00 und Smart Scan Pattern 21474.139.09 oder höher den Fehlalarm beheben.

Manuelle Korrektur

Einige Nutzer hatten jedoch je nach Einstellung der Endpoint-Sicherheitssoftware damit zu kämpfen, dass die Schutzsoftware im Rahmen der fehlerhaften Erkennung Registry-Einträge gelöscht hatte. Mit etwas Handarbeit lassen die sich jedoch reparieren. Die Anleitung von Trend Micro beschreibt das Vorgehen folgendermaßen:

Betroffene sollen eine administrative Kommandozeile öffnen und in das Verzeichnis C:\Program Files (x86)\Trend Micro\Security Agent\Backup wechseln (etwa mit dem Befehl cd ) und dort die Datei mit dem passenden Zeitstempel im Dateinamen aufspüren. Im konkreten Beispiel nennt das Unternehmen etwa TSC_GENCLEAN_2022_05_03_17_54_14_118_035.DAT . Diesen Dateinamen benötigt das Tool zur Wiederherstellung.

Dies lässt sich durch den Wechsel etwa mittels cd .. in das Verzeichnis C:\Program Files (x86)\Trend Micro\Security Agent erreichen. Anschließend stellt ein Aufruf die Registry-Werte wieder her. Auf 64-Bit-Systemen lautet er tsc64.exe -restore=.\backup\TSC_GENCLEAN_XXXX_XX_XX_XX_XX_XXX_XXX_XXX.DAT , wobei natürlich der korrekte Dateiname mit dem passenden Zeitstempel genutzt werden muss. Auf 32-Bit-Maschinen lautet der Befehl tsc.exe anstatt tsc64.exe .

Für Administratorinnen und Administratoren in Unternehmensnetzen verlinkt Trend Micro zudem ein Skript, dass sich per Gruppenrichtlinien oder ähnlichen Enterprise-Tools verteilen lassen soll. Mit dieser Hilfestellungen sollten sich die Nebenwirkungen des Fehlalarms wieder in den Griff bekommen lassen.

(dmk)