ANTIVIR FEHLALARM seit Update am 30 März 07 => winlogon.exe = TR/WLHACK.A

#1 Ein Signatur-Update vom heutigen Freitagvormittag von Avira sorgt dafür, dass die Antivirenprodukte des Herstellers die Systemdatei winlogon.exe von Windows XP mit SP2 als Schädling identifizieren. Das Signatur-Update von 8:46 Uhr brachte laut Andreas Marx von av-test.org die fehlerhafte Signatur mit, die winlogon.exe als TR/WLHack.A identifiziert.

Avira, bei denen die Telefone dauerbesetzt sind und auch das Support-Forum unter der Last des Besucheransturms nur schwer erreichbar ist, erklärte in einer Mitteilung, Avira AntiVir sei eine der besten Virenerkennungen am Markt, "manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A." Die Software sei umgehend aktualisiert worden.

Quelle:
http://www.heise.de/newsticker/meldung/87638

Kurz gefasst:
• winlogon Meldung von Antivir ist ein Fehlalarm
• Betroffen ist WinXP, unter Win2K keine Probleme.
• Antivir hat inzwischen ein Update rausgebraucht was diese Falschmeldung behebt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 Das update ist schon lange raus.

Das was Antivir wirklich finden wollte ist das:
http://www.sophos.com/virusinfo/analyses/trojwlhacka.html

Leider haben sie geschlampt bei der Erkennung!
__________
MfG Ralf
SEO-Spam Hunter

#3 Böser Patzer, der eigentlich nicht vorkommen darf.
Man muss sich mal vorstellen, was das auslöst, zumal die winlogon bei jedem Start geladen wird....
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Ja, ist die Winlogon.exe futsch startet der PC nicht mehr. Nicht mal im abgesicherten Modus! Das interessante ist, das Norton zum Beispiel eine Whitlist nutzen kann, bei der es verboten ist, das deren Produkte Systemdateien loescht, auch wenn sie infiziert sind!
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo,
bei mir genau dasselbe Problem. Hab nach langem Surfen und dem Stöbern in verschiedensten Foren mit Hilfe von hijackthis ein paar Prozesse gelöscht, die mit winlogon zu tun hatten, weil die als trojanerverdächtig geschildert wurden. Hat natürlich nix gebracht. Bin mir jetzt nicht sicher, ob ich das rückgängig machen soll. Im Anhang ein Screenshot mit den möglichen Backups. War das richtig, dieses Zeug zu löschen oder sollte ich es rückgängig machen?
Vielen Dank,
connele

#6 @connele,
du darfst das ganze getrost rückgängig machen!
hast Du Dein Antivir schon geupdatet? (wenn die Server überhaupt erreichbar sind)

#7 jap, update hat sofort hingehauen. jetzt ist endlich wieder ruhe auf dem rechner. dat hälste ja im kopf nicht aus, alle 5 sekunden die meldungen...
vielen dank nochmal!

#8 Bei uns in der Firma sind heute morgen gleichzeitig nach dem Update
die Alarme auf mehreren Rechnern losgegangen. Da wir auch schon ab
und zu Fehlalarme hatten (u.a. mit Programmen eines Kollegen, der sie
selbst mit dem gcc erzeugt hatte) war schnell klar, daß das
eigentlich kein Virus sein konnte - oder ein sehr schlimmer.

Was mich nun ärgert, ist die mangelhafte Endkontrolle seitens Avira.
Selbst wenn die "Empfindlichkeit" des Scanners beim Update
hochgestellt wurde - probieren die Leute bei Avira das vielleicht
auch irgendwann einmal selbst aus? Steht dort nirgends ein Windows XP
SP2 Rechner, auf dem die eigene Software VOR Auslieferung an den
Kunden wenigstens einmal gestartet wird? Das hätte nämlich genügt,
die Alarme gingen SOFORT nach dem Signaturupdate los!!!

Ich habe Verständnis für Fehlalarme bei weniger bekannten oder neuen
Programmen, alles können sie ja nicht testen. Aber ein zentraler
Windows-Bestandteil DARF nie Ursache eines Fehlalarms werden. Und das
ist für jeden Windows-Nutzer einfachst zu testen, denn diese Dateien
(hier winlogon.exe) sind bei JEDEM Rechner mit aktuell gehaltenem
Windows XP SP2 vorhanden.

Anscheinend wurde bei diesem Signatur-Update aber gar nicht getestet
- mangelhafte Qualitäts-/Endkontrolle bei Avira! Schade!!!

Kic

#9 Hallo!

Hab genau das gleiche Problem.

Ausserdem, kommt immer wieder das Pop Up Fenster vom AntiVir das mir sagt, dass ich mit diesem trojaner infiziert bin, und immer wenn ich es wegklicke, kommt es wieder, was ziemlich nervt. Was kann ich machen, dass die Pop Up Fenster nicht mehr kommen?

#10 Den AV Guard kurz deaktivieren, dann antivir aktualisieren und schauen, ob die Meldung immer noch auftaucht.
__________
MfG Ralf
SEO-Spam Hunter

#11 Hallo,

wir haben mit unserem PC das selbe Problem, nur noch einen Tick schlimmer. Der PC fährt zwar hoch aber lädt dann nicht das Profil, es erscheint nur das Desktop-Hintergrundbild und sonst nix. Wir haben den PC vorher auf Virenbefall behandelt, was soviel heißen soll das wir Systemwiederherstellung deaktiviert haben und dann das Tool von microsoft zum Entfernen bösartiger Software drüberlaufen haben lassen..jedoch ohne Erfolg
Kann man da noch was machen?

Danke schon mal

#12 Hallo, ich habe natürlich winlogon.exe gelöscht. Jetzt mag ich meinen Rechner nicht ausschalten. Was kann ich tun???

#13 Am besten einen Neuen Thread zu deinem Problem oeffnen. Im Grunde brauchstr du nur mit Hilfe der Windowssuche nach winlogon suchen und sofern eine Datei gefunden wurde(Groesse ca 500 KB) in den Ordner system32 kopieren. Falls du die winlogon in die Quarantaene schieben lassen hast, kannst du sie wiederherstellen lassen....
__________
MfG Ralf
SEO-Spam Hunter