Guten Morgen Forum,
Mein Antivir, Engine 7.03.01.46, Def Dateien von Heute, findet seit dem Update den Trojaner WLHack.A in meiner winlogon.exe.
Problem: ich finde nichts über diesen Trojaner, nicht einmal auf der Avira Seite selbst.
Kann mir evtl. jemand weiterhelfen, was für Möglichkeiten habe ich diesen wieder zu entfernen?
Guten Morgen Forum,
auch guten Morgen, habe soeben das gleiche Problem und frage auch was zutun ist?
Hallo! Ich schließe mich an, bei mir ist derselbe Virus auch HILFE!!!
Die ewigen Anzeigen nerven, denn egal was ich klicke(umbenennen, Zugriff verweigern, löschen…) nichts passiert…
Gegenmaßnahmen
Guten Morgen,
da bist du wahrscheinlich nicht der einzige. Das Antivr-Forum ist im Moment auch nicht erreichbar. Zu WLHack.A ist über Google auch nichts zu finden, also müssen wir ein bisschen improvisieren.
Hier einmal eine Anleitung von der SOPHOS Webseite:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie „Regedit“ ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü „Registrierung“ auf „Registrierungsdatei exportieren“, wählen Sie als Exportbereich „Alles“ und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Winlogon = \system\winlogon.exe
Löschen Sie diesen Eintrag, sofern er existiert.
Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS[Codeziffer des Benutzers]. Suchen Sie für jeden Benutzer den Eintrag:
HKU[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\Winlogon = \system32\wins\winlogon.exe
Löschen Sie diesen Eintrag, sofern er existiert.
Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu.
Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.comsafe.de/neuinstallation.html
Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).
Infos und Downloads zum Thema findest du auf meiner Webpage http://www.comsafe.de
bei mir das selbe… denke ich werde um eine neuinstallation nicht rumkommen. möchte gerne noch meine daten sichern, dazu möchte ich mir eine ext. festplatte kaufen. was jedoch, wenn der virus es schafft
mit auf die platte zu kommen ?
Vielen Dank für die Antwort.
Ich habe weder unter HKLM noch unter noch unter HKU Einträge bezüglich winlogon.exe im Run Verzeichnis und es ist leider auch die Original winlogon.exe im system32 verzeichnis.
Leider bleibt mir wohl nichts anderes als ne Neuinstallation übrig.
Es hilft wahrscheinlich nicht einmal eine gesicherte winlogon.exe zurückzuspielen, da ich nicht weiss was der Trojaner bisher angerichtet hat.
Mich würde nur interessieren was für ein Trojaner das ist. Ich kann aber nichts über ihn herausfinden. Sollte jemand was wissen bitte posten.
Im übrigen ist www.Trojaner-Board.de momentan nicht erreichbar.
bei mir das selbe… denke ich werde um eine neuinstallation
nicht rumkommen. möchte gerne noch meine daten sichern, dazu
möchte ich mir eine ext. festplatte kaufen. was jedoch, wenn
der virus es schafft
mit auf die platte zu kommen ?
Der Schädling (in diesem Fall wohl eher ein Trojaner) versteckt sich in ausführbaren Dateien oder in der Registry. Wenn du also reine Daten sicherst, sollte das kein Problem sein.
Mit einer vernünftigen, sicheren Neuinstallation schaffst du zudem die Grundlagen, dass dir danach eine Neuinfektion entweder nicht mehr passiert oder weniger anhaben kann. (Stichworte eingeschränktes Benutzerkonto, Imagebackup). Links und Hinweise findest du in meinem Beitrag oben.
Also ich hab alle Gegenmaßnahmen ergriffen, leider keinerlei Einträge festgestellt. Antivir habe ich nun das 2.X heute erneuert, plötzlich ist aber alles „ruhig“. Habe Acronis 10, leider reichen meine Kenntnisse noch nicht aus um es einzusetzen.Schade…
Weitere Gegenmaßnahme
Ein weitere Info, die ich im Internet gefunden habe und euch nicht vorenthalten will: Einige User bereichten, dass nach dem Updaten der Virendefinitionsdatei von Antivir keine Meldungen mehr kommen.
Inwiefern damit das Problem behoben ist kann ich nicht beurteilen, da ich
a) Antivir nicht benutze
b) grundsätzlich mit eingeschränkten Rechten surfe
c) schweres Mißtrauen gegenüber anscheinend „nützlichen“ Helferlein, wie Registryoptimierern, Tweak-Tools und sonstigen Glücksbringern hege.
Man sollte sich aber, von der Tatsache, dass ein Virenscanner keine Meldung (mehr) bringt nicht täuschen lassen und glauben, dass sein System nun „sauber“ sei. Zumindest ein Test von einem Bootmedium mit verschiedenen anderen Virenscannern sollte das Minimum an Nachsorge sein. Hierzu eignet sich z.B. Knoppicilin hervorragend.
Also ich hab alle Gegenmaßnahmen ergriffen, leider keinerlei Einträge festgestellt. Antivir habe ich nun das 2.X heute erneuert, plötzlich ist aber alles „ruhig“. Habe Acronis 10, leider reichen meine Kenntnisse noch nicht aus um es einzusetzen.Schade…
Sicherheits-News
Winlogon.exe ist kein Trojaner
Fri, 30 March 2007
Tettnang, 30 April 2007 - Avira AntiVir stellt ein der besten Virenerkennungen am Markt – manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A.
Die Avira Software wurde umgehend aktualisiert! Alle Avira AntiVir Nutzer erhielten damit eine neue Virendefinitionsdatei, die winlogon.exe nicht mehr als Trojaner ausweist.
Sicherheits-News
Winlogon.exe ist kein Trojaner
Fri, 30 March 2007
Tettnang, 30 April 2007 - Avira AntiVir stellt ein der besten Virenerkennungen am Markt – manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A.
Die Avira Software wurde umgehend aktualisiert! Alle Avira AntiVir Nutzer erhielten damit eine neue Virendefinitionsdatei, die winlogon.exe nicht mehr als Trojaner ausweist.
nach Auswertung weiterer Foren verdichtet sich der Hinweis, das es sich wahrscheinlich um einen sogenannten „false positive“ von Avira handelt, der nach einem Update der Definitionsdatei behoben ist.
Trotzdem empfiehlt es sich, sein System einmal gründlich zu überprüfen! Überlegt mal, diese Fehlermeldung wäre keine Falschmeldung gewesen!
Gut das ich noch nicht mit der neuinstallation begonnen hatte…
FEHLALARM
wie Lisa hier schon erwähnt hat, ist das ein Fehlalarm von Antivir. Angeblich ist Winlogon vom Trojaner betroffen.
Das neuste Update herunterziehen, und es ist wieder Ruhe. Also keine Panik (für einmal 
)
Gruss
ExNicki
Guten Morgen
Mein Antivir, Engine 7.03.01.46, Def Dateien von Heute, findet
seit dem Update den Trojaner WLHack.A in meiner winlogon.exe.Problem: ich finde nichts über diesen Trojaner, nicht einmal
auf der Avira Seite selbst.
Ich bin sehr geneigt auf eine der berüchtig-berühmten False-Positive von Avira zu tippen.
Kann mir evtl. jemand weiterhelfen, was für Möglichkeiten habe
ich diesen wieder zu entfernen?
Ein Scanner ist nur einer von mehreren Indikatoren zur Bestätigung einer Kompromittierung.
Erst mal ein paar grundlegende Fragen?
a. Werden IÄ und OjE oder eine alternative Software zB Moz&Co oder Opera für das Internet benutzt?
b. Welche Sicherheitssoftware befindet sich noch aktiv im System?
c. Welches Betriebssystem mit welchem Servicepack und wann war das letzte Update bei M$?
d. Wurden die Hinweise zur Konfiguration des Systems bei http://www.ntsvcfg.de beachtet?
Jetzt zum Infekt:
Zuerst ist das Erinnerungsvermögen des OPs gefragt: Wo warst du im Internet, bevor dieser angebliche Infekt auftrat? In einem seriösen Forum, wie diesem hier, kannst du ein Malware kaum installiert haben. Ausnahmen sind nicht die Regel!
Wurden zweifelhafte Mails mit Anhängen geöffnet oder darin enthaltene Links angeklickt?
Was sagt http://www.hijackthis.de zum Inhalt deiner Registry? Befinden sich unbekannte aktive Prozesse oder Dateien im System, welche du nicht absichtlich installiert hast oder werden gar Einträge mit „BÖSE“ markiert? Werden nicht mehr vorhandene Dateien angezeigt und zum Fixen aufgefordert?
Werden nach Systemstart Verbindungen zum Internet gestartet, welche außerhalb deiner Kontrolle stattfinden.
Kontrolliere mit TCPView von http://www.sysinternals.com, ob während einer Internetsitzung unkontrollierte Verbindungsaufnahmen stattfinden. Falls ja, versuche mit dem ProcessExplorer von gleicher Page herauszufinden, bei welcher Datei der Ursprung ist.
Untersuche mit RootkitRevealer (ebenfalls von sysinternals) den Inhalt deiner Festplatte nach größeren unsichtbaren Einträgen im Dateisystem.
Bei Bestätigung eines dieser Punkte sowie im Zweifelsfall ist immer http://faq.jors.net/virus.html die einzig empfehlenswerte FAQ.
Du kannst das Problem umgehen. in dem du ein Restore des letzten Images deiner Startpartition durchführst. Das dauert höchstens 10 Minuten und deine C: befindet sich in einem Zustand wie vor dem Backup. Diese Vorbereitung auf den Ernstfall fandest du jedoch bisher als völlig überflüssig, denn sonst hättest du deine Frage anders gestellt.
der hinterwäldler
–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 2 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.
War geschockt !
Guten Morgen
Dieser Fehlalarm hat mich geschockt.
Habe meinen PC am Mittwoch komplett platt gemacht…
Alle Partitionen formartiert, nachdem ich alle notwendigen Dateien gesichert habe.
Alle Updates runtergeladen etc… bin recht lange gesessen.
Alles installiert…
Windows mit allen Updates. Alle anderen Updates. Alle Treiber neu… AntiVir…
Auf eine Backupherstellung hab ich verzichtet. Da ich etliche Programme ausgemustert hab, die ich nicht mehr verwende, wär das System gleich wieder überladen gewesen.
Alles richtig eingestellt…
3 User eingestellt… Mich als Admin, Mich als eingeschränken User und die Kids als eingeschränkte User.
Und heute brüllt der vormittags… VIRUS GEFUNDEN… SCHOCK…
DRAMA… WIEDER ALLES NEU ???
Und jetzt die Entwarnung.
Wäre fatal gewesen… wieder alles neu machen…
Erleichterung *gg*
Zumal ich mit der Installation noch nicht fertig war.
Aber: Jetzt kommt gleich mal ein Backup *gg*
Mein Antivir, Engine 7.03.01.46, Def Dateien von Heute, findet
seit dem Update den Trojaner WLHack.A in meiner winlogon.exe.Problem: ich finde nichts über diesen Trojaner, nicht einmal
auf der Avira Seite selbst.Ich bin sehr geneigt auf eine der berüchtig-berühmten
False-Positive von Avira zu tippen.Kann mir evtl. jemand weiterhelfen, was für Möglichkeiten habe
ich diesen wieder zu entfernen?Ein Scanner ist nur einer von mehreren Indikatoren zur
Bestätigung einer Kompromittierung.Erst mal ein paar grundlegende Fragen?
a. Werden IÄ und OjE oder eine alternative Software zB Moz&Co
oder Opera für das Internet benutzt?
b. Welche Sicherheitssoftware befindet sich noch aktiv im
System?
c. Welches Betriebssystem mit welchem Servicepack und wann war
das letzte Update bei M$?
d. Wurden die Hinweise zur Konfiguration des Systems bei
http://www.ntsvcfg.de beachtet?Jetzt zum Infekt:
Zuerst ist das Erinnerungsvermögen des OPs gefragt: Wo
warst du im Internet, bevor dieser angebliche Infekt auftrat?
In einem seriösen Forum, wie diesem hier, kannst du ein
Malware kaum installiert haben. Ausnahmen sind nicht die
Regel!Wurden zweifelhafte Mails mit Anhängen geöffnet oder darin
enthaltene Links angeklickt?Was sagt http://www.hijackthis.de zum Inhalt deiner
Registry? Befinden sich unbekannte aktive Prozesse oder
Dateien im System, welche du nicht absichtlich installiert
hast oder werden gar Einträge mit „BÖSE“ markiert? Werden
nicht mehr vorhandene Dateien angezeigt und zum Fixen
aufgefordert?Werden nach Systemstart Verbindungen zum Internet
gestartet, welche außerhalb deiner Kontrolle stattfinden.Kontrolliere mit TCPView von http://www.sysinternals.com,
ob während einer Internetsitzung unkontrollierte
Verbindungsaufnahmen stattfinden. Falls ja, versuche mit dem
ProcessExplorer von gleicher Page herauszufinden, bei welcher
Datei der Ursprung ist.Untersuche mit RootkitRevealer (ebenfalls von sysinternals)
den Inhalt deiner Festplatte nach größeren unsichtbaren
Einträgen im Dateisystem.Bei Bestätigung eines dieser Punkte sowie im Zweifelsfall ist
immer http://faq.jors.net/virus.html die einzig
empfehlenswerte FAQ.Du kannst das Problem umgehen. in dem du ein Restore des
letzten Images deiner Startpartition durchführst. Das dauert
höchstens 10 Minuten und deine C: befindet sich in einem
Zustand wie vor dem Backup. Diese Vorbereitung auf den
Ernstfall fandest du jedoch bisher als völlig überflüssig,
denn sonst hättest du deine Frage anders gestellt.der hinterwäldler
–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 2 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein
brauchbares
Backupsystem aus dem Internet herunterladen und
zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.
Nur mal eine vorsichtige Anfrage, habe Acronis Vers.10 käuflich erworben,meine Kenntnisse sind minimal. Ich wage mich nicht es vielleicht auch falsch einzusetzen.Ist das was für Anfänger? Oder sollte ich besser den Service für PC einsetzen?
Diese Vorbereitung auf den
Ernstfall fandest du jedoch bisher als völlig überflüssig,
denn sonst hättest du deine Frage anders gestellt.
Erwischt
Nur mal eine vorsichtige Anfrage, habe Acronis Vers.10
käuflich erworben,meine Kenntnisse sind minimal. Ich wage mich
nicht es vielleicht auch falsch einzusetzen.Ist das was für
Anfänger? Oder sollte ich besser den Service für PC einsetzen?
Was sollst du da falsch machen? Trueimage kopiert deine Daten nur!
Ausserdem gibt es auf der Acronis Webseite schöne Videoanleitungen, die den Gebrauch von Trueimage zeigen. Viel Spaß beim Gucken (und Lernen)!
Hi
wie Lisa hier schon erwähnt hat, ist das ein Fehlalarm von
Antivir. Angeblich ist Winlogon vom Trojaner betroffen.
Das neuste Update herunterziehen, und es ist wieder Ruhe. Also
keine Panik (für einmal
Hach, ich hätte gleich hier ins Forum gucken sollen.
Grad 1h damit verplempert auch auf das Ergebnis zu kommend das der AV Guard spinnt -.-
Danke
Mfg
Lilly