Winload32.EXE: ein Trojaner?

Der Dateiname Winload32.EXE wird tatsächlich bisweilen von Backdoor-Trojanern verwendet. Aber ohne einen eingehenden Scan mit einem guten Antitrojaner- bzw. Antivirenprogramm können wir nicht mit Sicherheit sagen, ob die Datei auf Ihrem PC tatsächlich von einem Trojaner stammt.

Backdoor-Trojaner öffnen in der Netzwerk- bzw. Internet-Verbindung eines PCs eine Art Hintertüre. Diese erlaubt es einem Angreifer, der über geeignete Programme verfügt, von diesem PC Dateien auszulesen, Passwörter auszuspionieren, Einstellungen zu verändern oder Dateien darauf zu platzieren.

Es gilt nun, herauszufinden, ob die Datei zu einem Trojaner gehört. Am besten senden Sie eine Kopie der Datei an das Virenlabor Ihres Antivirus-Herstellers. Oder Sie lassen die Datei beispielsweise bei Kaspersky über ein Webformular [1] prüfen.

Sollte sich herausstellen, dass es sich um einen Trojaner handelt, sind es zwei Orte, die jetzt ein Augenmerk erfordern: nämlich Ihre Festplatte, auf der sich diese Datei abgelegt hat und die Windows Registry, in welcher sich fast sicher ein Eintrag befindet, der diese Datei bei jedem PC-Start ausführt.

Gehen Sie zu Start/Suchen/Dateien/Ordner. Geben Sie als Suchbegriff den betroffenen Dateinamen ein (z.B. winload32.exe) und lassen Sie Windows auf allen Festplatten suchen. Wird die Datei gefunden, notieren Sie sich den genauen Fundort (Ordner). Sie können versuchen, die Datei zu löschen. Falls dies nicht geht, weil Windows die Datei in Benutzung hat, gehen Sie zum nächsten Schritt und löschen die Datei einfach nach dem nächsten PC-Start.

Starten Sie den Registry-Editor, indem Sie zu Start/Ausführen gehen, REGEDIT eintippen und Enter drücken. Im Registry-Editor suchen Sie nun nach dem Eintrag, der offenbar dafür sorgt, dass die Datei Winload32.exe stets mitgeladen wird. Hier hilft Ihnen die Such-Funktion des Registry-Editors: Stellen Sie sicher, dass die Markierung zu oberst steht, also auf "Arbeitsplatz". Unter "Bearbeiten/Suchen" tippen Sie den genauen Dateinamen ein, also Winload32.exe.

In einem dieser Registry-Schlüssel könnte der Dateiname nun möglicherweise gefunden werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\(IhrName)\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Entfernen Sie den gefundenen Winload32.EXE-Eintrag (bitte vorsichtig!) und starten Sie den PC neu. Falls Sie vorhin die eigentliche Trojaner-Datei nicht löschen konnten, holen Sie dies jetzt nach.