Detoured-Pfusch in Sophos Anti-Virus

Hinweis: Diesen Beitrag habe ich manuell aus meinem im Jahr 2013 testweise mit Kirby betriebenen Blog übernommen.

Ganz abgesehen davon, dass die Verwendung der sophos_detoured_x64.dll bzw. sophos_detoured.dll mitunter eine ganze schlechte Idee ist (Performance and consistency issues when certain modules are loaded into SQL Server address space), muss den Entwicklern bei Sophos doch eigentlich selbst auffallen, dass es nicht normal sein kann, wenn in den Registry-Werten HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs und HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs jeweils bis zu 20x (!) die Zeichenkette C:\PROGRA~2\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll bzw. C:\PROGRA~2\Sophos\Sophos Anti-Virus\sophos_detoured.dll steht:

Im Artikel Working with the AppInit_DLLs registry value erfahrt ihr:

All the DLLs that are specified in this value are loaded by each Microsoft Windows-based application that is running in the current log on session.

Die o. g. 20 Einträge können also allein schon für die Performance des gesamten Systems nicht gut sein. Instabilitäten des Servers (Windows SBS 2011) sind mir im vorliegenden Fall zwar keine bekannt, allerdings war ich in der Vergangenheit an anderer Stelle schon einmal mit diesem Thema befasst und dort "zickte" der Server (Windows SBS 2008) sehr wohl. Ich konnte dessen Instabilität abschließend jedoch nicht eindeutig auf diese Einträge zurückführen.