10
Mar/083

Avira Antivir: TR/Patchd.Winlogon.B – Trojaner nach Pattern-Update gefunden

Antivir (Personal) spuckt auf einem Windows PC (XP) gerade die Meldung aus, dass in “C:\WINDOWS\system32\winlogon.exe” ein Trojaner mit der Bezeichnung “TR/Patchd.Winlogon.B” gefunden wurde. Aktuell kann ich bei den einschlägigen Suchmaschinen keine Meldungen und Informationen zu der Bezeichnung finden.

Da die Meldung direkt nach dem Pattern-Update kam, liegt erstmal die Vermutung nahe, dass da eine Falschmeldung vorliegt. Wenn der Virenscanner die Datei löscht, erscheint diese sofort wieder, da diese Windows System Datei von der Windows File Protection wieder hergestellt wird. Mal schauen, was die anderen Scanner so liefern…

Hat jemand schon eine Erklärung dazu?

Update: Ich habe die Datei gerade in einen Online-Scanner geschmissen: A-Squared: Keine Viren gefunden AntiVir: TR/Patchd.Winlogon.B gefunden ArcaVir: Keine Viren gefunden Avast: Keine Viren gefunden AVG Antivirus: Keine Viren gefunden BitDefender: Keine Viren gefunden ClamAV: Keine Viren gefunden CPsecure: Keine Viren gefunden Dr.Web: Keine Viren gefunden F-Prot Antivirus: Keine Viren gefunden F-Secure Anti-Virus: Keine Viren gefunden Fortinet: Keine Viren gefunden Ikarus: Keine Viren gefunden Kaspersky Anti-Virus: Keine Viren gefunden NOD32: Keine Viren gefunden Norman Virus Control: Keine Viren gefunden Panda Antivirus: Keine Viren gefunden Rising Antivirus: Keine Viren gefunden Sophos Antivirus: Keine Viren gefunden VirusBuster: Keine Viren gefunden VBA32: Keine Viren gefunden

Wenn das mal keine Falschmeldung ist… Ich für meinen Teil würde zwar noch keine Entwarnung geben, lehne mich aber erstmal wieder zurück.

Update 2: Nach einigem Suchen habe ich nun doch ein paar Themen zu der Meldung gefunden:

Wer hier nun an der winlogon.exe rumgefummelt hat (Ich wars nicht! unschuldig), das frag ich mich … Na mal schauen, was passiert, wenn die Datei durch ein Backup ersetzt wird.

Update 3: Nach dem Recover aus dem Backup läufts nun wieder ohne Meldung von Antivir.

Also halten wir fest: Antivir spuckt die Meldung aus, weil etwas an der winlogon.exe geändert wurde. Laut Antivir-Forum wird diese Veränderung oftmals von dem Tool wpakill.exe verursacht. So jedoch nicht in dem hier beschriebenen Fall, ich untersuche das weiter. Ein paar Workarounds bzw. Ansätze zur Lösung des Problems sind in dem Thread im Antivir-Forum zu finden.

Filed under: Windows
3 Comments
Comments (3) Trackbacks (0)
  1. daWooNo Gravatar
    00:09 on March 11th, 2008

    Also mich wunderts das Avira so lange gebraucht hat, den Virus zu erkennen. Hatte früher Bitdefender drauf und der hat immer gleich losgemeckert (vor ca. 1 Jahr). Ich selbst habe eine legale Stundentenversion von Windows XP. Allerdings kann ich die nicht mehr aktivieren, weil ich andere Hardware im Rechner habe. Ich habe mein XP deswegen mit WPAKill “aktiviert”. WPAKill.exe wird von Bitdefender auch immer brav als virulente Datei erkannt. Habe leider keine Lösung sondern nur eine Vermutung: winlogon.exe wurde von WPAKill irgendwie verändert so daß man XP nicht mehr aktivieren muss (evtl. wurde auch noch ein Trojaner installiert). Wie kann man denn rausfinden, ob es wirklich ein Trojaner ist (schon 2-3 Jahre alt) oder ob es bloss ein harmloser Patch ist?

  2. LaMiNo Gravatar
    08:30 on March 11th, 2008

    Natürlich erkennt Antivir wpakill.exe als “Schädling” – genauer gesagt als Hack-Tool. Die anderen gängigen Virenscanner sollten das genauso tun. Es geht hier aber nicht um das “Hack-Tool” selbst, sondern eher um eine Windows System Datei, die – durch was auch immer – verändert wurde.

    Ja, wpakill ändert System-Dateien, so dass man Windows nicht mehr aktivieren muss. Laut Antivir Forum fässt wpakill auch die benannte winlogon.exe an.

    Ich bezweifle, dass es sich tatsächlich um einen Trojaner handelt, denn dann sollten mehr Virenscanner eine Infektion melden. Aktuell ist Antivir jedoch der einzige Virenscanner, der anschlägt.

    Es bleibt abzuwarten, ob Antivir da nochmal mit einem Update Definitionen nachbessert.

  3. ICHNo Gravatar
    02:05 on May 1st, 2008

    ASQUARED findet ihn übrigens auch!!!

    Ich glaube schon das es ein “echter” Trojaner ist und kein Fehlalarm.

    Habe nämlich wpakill aufn usb stick gezogen, (system war vorher natürlich sauber überprüft), und dann auf computer 2 vom usb stick benutzt. Leider hab ich dem blind vertraut und dann usb an computer 3 angeschlossen aufeinmal war der rechner komisch langsam u. abstürze—> avira trojaner gefunden.

    Man kann mich verbessern wenn ich falsch liege aber wenn wpakill wircklich nur systemdateien verändert um windows auszutricksen sollte der mit meinem usb stick genau gar nichts machen bzw. da nichts drauf installieren und somit sollte ich von diesem pgrogramm auch nichts am usb stick weitersleppen!

    Es sei denn ist ist eben ein TRojaner der sich bei datei öffnung einnistet!!

    Ich wär vorsichtig und würde nicht alles glauben, AVira schlägt da meiner meinung nach nicht umsonst an!

No trackbacks yet.

Offers

  • Nagios Plugin Development

Projects

  • NagVis
  • Nagios Downtime Scripts
  • Nagios Plugins
  • HTPC
  • Nagios Knowledge base

me@flickr

Cliffhanger

Fleißige Hummel

Zerkluftet

Holzwurmstruktur

Widerstand zwecklos?

Die ersten Schneeglöckchen

Ein Lichtblick

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

(Untitled)

Popular

Random

Categories

Blogroll

Misc

XING
Monitored by Nagios
NagVis Logo
Computer Blogs - Blog Catalog Blog Directory