Die Zeiten ändern sich.
Dieser Beitrag scheint älter als 15 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.
Heute Morgen, als ich mein Thunderbird zum E-Mails-Abrufen im Büro öffnete, hatte ich es schon vermutet. Nun bestätigt Heise meinen Verdacht, dass der angebliche Virenfund in der winlogon.exe, der mir sogleich von GDATA AntiVirus gemeldet wurde, nur ein Fehlalarm war. Nachdem ich meine Arbeitskollegen davon unterrichtet hatte, mit dem Hinweis, dass sie auf keinen Fall die Datei desinfizieren oder löschen lassen, sondern nur den Zugriff darauf verbieten sollten, habe ich direkt auch noch eine Mail an GDATA gesendet, um sie von dem Vorfall zu unterrichten.
In der Datei winlogon.exe (sie befindet sich unter C:\Windows\System32) wird fälschlicherweise ein Trojaner vermutet: „Trojan.Generic.1423603“. Wer die Datei gelöscht hat, muss sie manuell über die Wiederherstellungskonsole zurück kopieren. Auf der Festplatte sollte eine Kopie der winlogon.exe im Ordner C:\Windows\ServicePackFiles\i386 liegen. Ist dieser Ordner nicht vorhanden, muss die Datei von der Windows-CD zurück auf die Festplatte kopiert werden. Dabei ist aber zu beachten, dass es sich um eine Windows-CD handelt, die dasselbe ServicePack enthält, wie die aktuelle Windows-Installation. Die Dateibefindet sich im Ordner i386 auf der CD. Mit dem Befehl expand winlogon.ex_ C:\Windows\System32, den man von dort ausführt, wird die Datei wiederhergestellt.
Neben GDATA AntiVirus war auch BitDefender von dem Problem betroffen. Inzwischen sind fehlerfreie Signaturen veröffentlicht worden.
Merke: Wenn Dein Virenscanner einen Virus findet, prüfe IMMER nach, welche Datei betroffen ist. Gegebenenfalls sollte die verdächtige Datei zusätzlich online bei einem Virenscanner-Dienst wie Jotti geprüft werden.