Hi,

wurde heute von jemandem gerufen, dessen Antivir einen Befall der winlogon.exe (system32) durch TR/WLHack.A meldete.

Dummerweise führt weder AntiVir eine Virus mit diesem Namen in seiner Datenbank, noch wird er von anderen aktuellen AntiVir-Installationen erkannt, noch gibts im Internet irgendwelche Informationen dazu.

Der Kaspersky Online-Scanner findet auch nix... Im Prinzip würde ich behaupten: Fehlalarm... Wenn da nur nicht das lustige Icon zur Datei wäre:

Sieht n bisschen nach Delphi aus. Und merkwürdig ist auch, dass die Datei mit MZ beginnt (also das, was eine .exe eigentlich tut), die originale winlogon.exe aber mit MSCF...

Von wegen Dateigröße kann ich nicht viel sagen (495 kb), weil es eh massig verschiedene Versionen der winlogon.exe gibt, die sich von 200 kb bis 480 kb bewegen.

Kennt einer den Virus, und vor allem: weiß einer was der so macht? Bzw. wo der überall drin steckt? Hab auf dem betroffenen Rechner das Verzeichnis "Eigene Dateien" gesichert, das wär natürlich das interessanteste. Aber wie gesagt: Andere AntiVir-Installationen erkennen den nicht mal bei der offensichtlich merkwürdigen Datei.

e7