winlogon.exe — False Positive bei BitDefender und GData?

Stop!
Nach dem letzten Signaturupdate von BitDefender auf meinem Firmenlaptop heute früh begrüßte mich das Anti-Virus-Programm freundlich nach dem Neustart mit der Meldung


Die Datei C:\Windows\SYSTEM32\winlogon.exe ist mit Trojan.Generic.1423603 infiziert. Der Zugriff wurde verweigert. Ihr Computer ist geschützt.

Mein Computer ist sogar so gut geschützt, dass er ab dem Zeitpunkt keine anderen Anwendungen mehr startet, ein weiterer Neustart hilft auch nicht weiter. 🙁 Direkt nach dem Login sehe ich die Fehlermeldung und das war’s dann auch…

Die Webseite virustotal.com weist für die verdächtige winlogon.exe einen Fund von oben genanntem Trojaner bei BitDefender und GData auf — die anderen Anti-Virus-Programme sind verdächtig ruhig.

Ein Gegentest mit einer auf einem Linux-System frisch aus der Original-Installations-CD entpackten winlogon.ex_ führt ebenfalls zur Aussage, diese Datei sei mit jenem Virus infiziert. Ein Ersetzen der Datei auf dem Notebook mit der Version von der Installations-CD hilft leider auch nicht weiter.

Temporäre Abhilfe: keine Virensignatur-Updates durchführen, bis BitDefender/GData das Problem beseitigt haben oder die Anti-Virus-Software temporär deaktivieren.

Update: Im Bitdefender-Forum ist man sich des Problems inzwischen auch bewusst und gibt eine Anleitung zur Behebung des Problems. Glücklich sind jene, die nach dem Signatur-Update den Rechner nicht neu gestartet haben…

Update 2: Auch Heise bietet inzwischen eine Anleitung zur Problembehebung an.

Bildnachweis: Stop ! Right now ! by iko on flickr.com (CC license)

10 thoughts on “winlogon.exe — False Positive bei BitDefender und GData?”

  1. Giovanni:
    Ich habe im abgesicherten Modus gestartet, die BitDefender-Dienste deaktiviert, dann noch einmal neu gestartet und damit war das Problem erledigt.

    Unser Admin teilte mir gerade mit, dass ich leider nicht der einzige heute früh war, der mit diesem Problem zu kämpfen hatte (Freitag der 13.!). Mittlerweile scheint es zumindest von BitDefender eine neue Signatur-Datei zu geben, die das Problem löst.

  2. Hallo Jean Pierre,

    vielen Dank für die Rückmeldung. Gut zu wissen, dass es geklappt hat. An black friday hab ich gerade auch gedacht, bin mal gespannt, was BitDefender sich zum 1. April ausdenkt 🙂

    Gruß

  3. firehorse: Ich verstehe Deine Bedenken. Nicht alles, was nach Wurm/Virus/Trojaner riecht, ist auch einer. Auf der anderen Seite ist nicht jedes System, das sauber aussieht auch garantiert nicht verseucht.

    Lass’ es mich so formulieren: wenn es sich bei meiner winlogon.exe um einen waschechten Trojaner handeln sollte, dann hätte ich zumindest erwartet, dass mit aktuellen Virensignaturen mehr als 2 Virenscanner (siehe Virustotal.com) Alarm schlagen.

    Wenn Du meinen Beitrag aufmerksam gelesen hast, dann ist Dir sicher auch aufgefallen, dass ich den gleichen Test mit der winlogon.exe eines anderen Systems sowie auf einem nicht kompromittierten Linux-System mit der dort entpackten Original-Datei von der Windows-XP-Installations-CD wiederholt habe und zum selben Ergebnis gelangt bin — nur BitDefender und GData behaupten, einen Trojaner in dieser Datei gefunden zu haben.

    Entweder handelt es sich also bei der in winlogon.ex_ enthaltenen .exe-Datei (im I386-Verzeichnes der CD) um eine Trojaner-verseuchte Datei, die seit Jahren unbemerkt in Umlauf ist und dann wohl inzwischen Milliarden Windows-PCs verseucht hat… Oder es ist wirklich so, dass BitDefender und GData irren.

    Zumal BitDefender heute Mittag ein neues Signaturupdate nachgeschoben hat, mit dem winlogon.exe nicht mehr bemängelt wird.

    Ich denke, ich habe der wissenschaftlichen Untersuchung des Problems ausreichend Hingabe gewidmet und vertrete nach wie vor meinen Standpunkt: False Positive bei BitDefender und GData.

  4. Und woher willste Wissen dass es kein Virus ist?

    Weil andere VS dieses nicht muckieren?

    Wer sagt Dir dass diese dieses Problem schon erkannt haben?

    70-75 % aller Viren werden überhaupt max. von einem VS erkannt. Nur so nebenher. Solange nach einem VS zusuchen bis nichts mehr erkannt wird, ist nun auch keine Lösung 🙂

    Bei Hacks, wie z.B. dieses Flyakite OSX (hoffentlich richtig geschrieben) gibt oder gab es dieses Problem auch einmal.

    Wohlgemerkt: Bei einem Hack einer System-Datei !!! Dabei handelte es sich auch nicht um einen Virus, wenn auch so angezeigt, sondern um einen Hack. Dieser war für diese Programm nötig um überhaupt erst diese Veränderungen vorzunehmen. Allerdings mag Windows es nicht wenn man in seinen Dateien rumwühlt 🙂

    Es könnte sich also auch um einen Hack handeln, produziert durch eine Website/Script welches eine Sicherheitslücke im System ausnutzt. In Verbindung mit dem bekannten Problem, welches MS gerade hat (siehe Heise) könnte man durchaus einen Zusammenhang herstellen. Inwieweit dieser jetzt nur etwas, wie einen Ausfall, produziert oder auch sonstige Funktionen (spy) ausführt, kann ich nichts schreiben. Auf jedenfall wachsam bleiben!

    Leider waren es nicht meine Rechner so dass ich nicht näher nachgeforscht habe. Ausschliessen täte ich es nicht so einfach.

    Beide hatten allerdings auch dieses Flyakite OSX installiert und die winlogon.exe wurde auch von diesem aufgebohrt/verändert !!!

    gruss
    firehorse

  5. Zusatz:

    Mein Netbook hat auch Bitdefender installiert. XP Pro SP3 (aktuelle Updates). Hier wurde vom VS nichts gemeldet !

  6. firehorse: Die Virensignatur von heute früh (Update um 7:30 Uhr) hat nicht nur bei mir, sondern auch bei anderen (siehe BitDefender-Forum) zu Problemen geführt.

    Vielleicht hattest Du einfach nur Glück und hast a) entweder noch alte Viren-Signaturen, mit denen das Problem noch nicht auftritt oder b) schon die neuen, mit denen das Problem ebenfalls nicht mehr zum Vorschein kommt.

    In diesem Sinne: Happy Black Friday.

  7. ok, überredet.

    Ich weiss ja leider nicht auf welchen Seiten die anderen gesurft haben aber mein Update von Bitdefender war auch frisch. Deshalb vertraue ich mal Euch hier 😀

    Und stimmt auch: Mit der winlogon.exe gab ohnehin immer irgendwelche Probleme. 2007 war da auch so eines mit ener Fehlermeldung von einem VS …

    Keine unnötige Panik verbreiten … Oder war es doch der Schäuble 😉

    gruss
    firehorse

  8. Ich finde das ja persönlich seltsam dass die Antivirus-Hersteller das nicht gleich gesehen haben — testen die ihre Software nicht auf den Systemen, für die sie gedacht ist?

Leave a Reply

Your email address will not be published. Required fields are marked *