Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Freitag, 30. März 2007, 09:19

Winlogon.exe von AntiVir als Trojaner identifiziert

Wir haben hier Windows-PCs, die nachweislich clean sind, und bei denen AntiVir seit dem letzten Update die winlogon.exe als Trojaner TR/WLHaxk.A identifiziert. Alle Gegenproben mit mehreren anderen Scannern verliefen negativ, die Datei ist md5-geprüft dieselbe wie die letzte von Microsoft angebotene (nachgeprüft via Linux, sprich nicht auf einem evtl. infizierten System).

Ich glaube, da hat sich AVIRA gerade einen Bock geschossen.

Auch wenn es unschön ist, sollten Anwender vom Guard die Datei als Ausnahme definieren. Hier ein Kurz-Howto für die FreeAV, die wohl die meisten ;-) im Einsatz haben:
  1. Das Hauptprogramm öffnen
  2. Extras -> Konfiguration auswählen
  3. Das Häckchen bei Expertenmodus machen
  4. Den Pfad Guard -> Suche -> Ausnahmen öffnen
  5. Im Bereich "Vom Guard auszulassende Dateiobjekte" den Dateinamen c:\windows\system32\winlogon.exe eintragen und auf "Hinzufügen >>" klicken
  6. Den Guard im Hauptprogramm einmal deaktivieren und wieder aktivieren
Fertig.

Nachtrag
Im letzten VDF-Update (.147) hat AVIRA das korrigiert.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Hans

Oh, das hätte ich eher lesen müssen. Ich hatte genau die gleiche "Entdeckung" vorhin, und war schockiert, weil ich mir gar nicht vorstellen konnte, wie ein Trojaner auf die Kiste gekommen sein soll.

Manuel Schmitt (manitu)

Begann das auch erst heute bei Dir?

schmidt

Vielen Dank, dass hat mir eine Menge Arbeit erspart. Schön dieses Blog in den morgendlichen Feeds zu haben, so dass ich mir jetzt einen Hausbesuch sparen konnte.

Nachholer

Hmm, bei Avira klappt wohl in letzter Zeit so manches nicht. Vor 2 oder 3 Monaten habe sie das schon mal mit der Explorer.exe gemacht. Daraufhin war eine diplomschreibende Freundin völlig durch den Wind und hat panikartig 2 Tage vor Abgabe das Schreiben eingestellt. Ich hätte gut Blaulicht gebrauchen können.

Kai

ja, super! Hat man die Kofiguration so eingestellt, das automatisch reagiert wird kann es sogar dazu kommen das nach einem Neustart nichts mehr geht!

Thorsten Weihs

Avira hat gerade neue Virendefinitionen zur Verfügung gestellt. Der Fehler ist damit wohl behoben. Also einfach n Update machen... :-)

Timo

Bei uns das gleiche ....
Ich habe die winlogon.exe aus dem Backup von gestern ersetzt, kein Fehler mehr ....

Matthias

Auch von mir Danke fuer die Info, ich nutze Antivir zwar nicht selber, aber Sekunden nachdem ich deinen Eintrag gelesen hatte, habe ich in meinem Stamm-Flugsimulationsforum ( http://www.wcm.at/forum/showthread.php?s=&threadid=214615 ) eine entsprechende Frage gesehen und konnte gleich ganz elegant an das Blog verweisen :-)

eco

Perfekt. Mein Dad hat eben angerufen und war etwas besorgt. dann kann ich ja jetzt Entwarnung geben. Thx

Ralf

Das gleiche Problem hatte Avira schon vor ein paar Tagen.
Da wurde die Flash.exe als Trojaner erkannt, genau wie der Flashplayer und erstellte Projektoren.

Ich würde ja als vollkommen Ahnungsloser vermuten, das da grad einiges bei Avira schiefläuft...:(

Kai

http://www.avira.de/de/sicherheits-news/fehlalarm.html

Sicherheits-News
Winlogon.exe ist kein Trojaner
Fri, 30 March 2007

Tettnang, 30 April 2007 - Avira AntiVir stellt ein der besten Virenerkennungen am Markt – manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A.

Die Avira Software wurde umgehend aktualisiert! Alle Avira AntiVir Nutzer erhielten damit eine neue Virendefinitionsdatei, die winlogon.exe nicht mehr als Trojaner ausweist.

HinRichter

Na supi. Mein Chef hat erstmal fröhlich auf löschen gedrückt. derzeit ist der pc noch an. hat jemand bitte ein paar tips, wie ich die kiste retten kann?

Manuel Schmitt (manitu)

Von einer anderen Kiste, die den selben OS-Stand (Windows-Typ und ServicePacks) die Daten auf nen USB Stick und dorthin kopieren!

HinRichter

Das werde ich mal probieren, dankeschön. Im Schlimmsten Fall halt jetzt noch schnell sichern und neu installieren, wäre eh mal wieder Zeit. :-D

michfrm

Normalerweise sollte der SFC von Windows die Datei von alleine retten... in der Theorie :D

ftf

Ich weiß schon warum Nod32 Gold wert ist =)

Jan

Hätte ich das eher gelesen hätte auch ich mir den vormittag sparen können

Panama Jack

Falls es dich tröstet: du bist nicht allein :(

Andre Heinrichs

Golem berichtet inzwischen auch schon über den Fehler in dem Signaturupdate.

Ich

Wegen sowas klingelt mich mein Kunde heute um halb 9 aus dem Bett...

andreas

Dito. Prima, wieder geld gedruckt :)

Deneriel

Wie praktisch, heute abend kam meine Vermieterin mit einer "komischen Meldung" zu meiner Wohnung...
Ne Menge Arbeit gespart durch diesen Hinweis

Patrick

Wer die Datei schon gelöscht hat (über Antivir):

Einfach in die MS-Dos-Eingabeaufforderung über Start-Programme-Zubehör gehen. Dann das alte Dos-Wissen aus der Informatik-AG aktivieren: cd windows, cd system32, ren (für rename) winlogon.exe.vir winlogon.exe. Dann sollte alles wieder funktionieren.

Spamschlucker

Tja ... man muss nur zuzr richtigen Zeit updaten. Nämlich nicht zu oft :-)

Grüße
stephan@spamschlucker.org

Spamschlucker

Tja ... man muss nur zuzr richtigen Zeit updaten. Nämlich nicht zu oft :-)

Grüße
stephan@spamschlucker.org

Andy

Bin ich froh dass ich einen richtigen Virenscanner benutze :-)
Und nein, ich mein damit nicht Norton oder etwas ähnliches ;-)

ALF

Hey Leute , ist winlogon.exe nicht eine systemdatei ?
Wenn ich sie jetzt löschen würde , ginge mein computer jetzt in arsch ???
Bitte melden (kenn mich net so aus , bitte verstehen)

Gruß ALF

mark

bitte WARNING nur einige richtige moglichkeit den winlogon.exe aus der original cd xp wieder expand und mit diesem den infizierten verandern noch wenn windows nicht anlogt sind...


DIESMAL IS ES WIRKLICH EIN VIRUS ... see bitte original home pages of antivir discuzion board

mark

bitte WARNING nur einige richtige moglichkeit den winlogon.exe aus der original cd xp wieder expand und mit diesem den infizierten verandern noch wenn windows nicht anlogt sind...


DIESMAL IS ES WIRKLICH EIN VIRUS ... see bitte original home pages of antivir discuzion board

Winlogon.exe war tatsächlich ein Trojaner

Also bei mir war die winlogon.exe tatsächlich ein Trojaner. Die Datei war auch größer als die Original Datei.
Folgendes hab ich gemacht um die auszutauschen, da die ja von Windows XP gesperrt ist.
NTFS4Dos runterladen (habe ntfs partition), damit eine bootfähige Diskette erstellen, dann die Original winlogon.exe von der Xp Cd auf die Diskette kopieren (passt so gearde). Rechner neu booten, copy winlogon.exe c:\windows\system32
, überschreiben? Ja.
Bei Fat32 oder Fat gehts einfacher, einfach das gleiche Spiel mit normaler Bootdiskette.
Das wars, Rechner neu starten und schon ist der Trojaner wech. Das gleiche kann man mit notepad.exe machen falls die Datei von Trojaner befallen ist.
Gruss

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen