Bitdefender und GData löschen Winlogon-Systemdatei

Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei "Winlogon.exe" als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht. Beide Firmen haben inzwischen mitgeteilt, dass es sich dabei um einen Fehlalarm handelt und ein Update bereitgestellt, das diesen Fehler behebt. Ist dieses noch nicht installiert, wird empfohlen, zunächst den Dateizugriff zu sperren, dann ein Signatur-Update durchzuführen und den Rechner neu zu starten.

Wurde die Datei "Winlogon.exe" bereits gelöscht, muss sie von der XP-CD über die Wiederherstellungskonsole wieder in das Verzeichnis c:\Windows\system32 kopiert werden. Anschließend den Rechner im abgesicherten Modus starten und per Hand im Diensteverzeichnis den Viren-Scanner-Autostart deaktivieren. Dann den Rechner im normalen Modus neu starten, ein Viren-Update laden, anschließend im Diensteverzeichnis für den Viren-Scanner den Autostarttyp "automatisch" aktivieren und den Rechner erneut starten.

In der jüngeren Vergangenheit haben die Fehlalarme der Virenscanner stark zugenommen. Dabei fällt GData besonders auf, weil es nicht nur die Erkennungsraten sondern auch die Fehlalarme mehrerer Scanner in zum Teil wechselnden Kombinationen bündelt. So erkannte es via Kaspersky-Engine im November in der Windows-Systemdatei user32.dll einen Trojaner und kurz darauf mit der Avast-Engine Teile von TrueCrypt. Eine Anfrage von heise Security, ob man Handlungsbedarf sehe, um die Häufung von Fehlalarmen einzudämmen, wurde nicht beantwortet.

Der neue Fall lässt vermuten, dass Fehlalarme durch Antiviren-Software den Anwender auch weiterhin nerven werden. Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben. (pmz/c't)