PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst Avast soll wieder über Rootkits informieren



odeexy
01.06.11, 01:29
Avast 6 free meldete dauernd eine Rootkitdatei, die ich unter Ausnahmen eingetragen habe, einmal unter Allgemeineinstellungen und unter Dateischutz-ausnahmen.
Jedoch kam die Meldung immer wieder, so dass ich den Haken setzte " nicht mehr über Rootkits informieren", da die besagte Datei zu 100 % kein rootkit ist.
Kann ich das rückgängig machen, ohne die Standardeinstellungen wiederherzustellen ??

Merlin
01.06.11, 09:59
Hallo,

das ist jetzt schwer nachzuvollziehen, weil ich gar nichts wüsste, dass es eine generelle Einstellung gäbe die besagt, dass avast! nicht mehr über Rootkits informieren soll. Ohne genaue Informationen bleibt dir eigentlich nur noch die Neuinstallation mit dem Uninstall Tool. Dabei werden dann die Standards wiederhergestellt.

Auggie
01.06.11, 10:13
......da die besagte Datei zu 100 % kein rootkit ist.
Ist Dir der Programmierer dieser Datei persönlich bekannt und Du hast schließlich noch selbst den Code analysiert, das Du da so sicher bist?

Ich würde hier nicht mehr drüber nachdenken, ob sich die von Dir getätigte Einstellung wieder rückgängig machen lässt sondern den Feiertag morgen nutzen und das System neu aufsetzen, sämtliche Zugangspasswörter zu ändern versteht sich von selbst.
Alles andere wäre grob fahrlässig.

Dr.Verdi
01.06.11, 21:30
Muss mich jetzt auch mal einklinken, weil ich seit heute auch so einen ominösen Rootkit Fall habe.
Avast meldet plötzlich eine Datei in "Windows\system32\drivers\sptd.sys" als Rootkit und lässt sich auch nicht davon überzeugen, dass es sich nicht um ein solches handelt. Diese Datei ist Bestandteil der DaemonToolsPro Software, welche ich käuflich erworben habe und schon seit geraumer Zeit seine Dienste ohne Probleme auf meinem Rechner verrichtet. Eine eindeutige Falschmeldung also.
Was kann man tun, damit diese Datei nicht mehr gemeldet wird?

Auggie
01.06.11, 21:56
Diese Datei ist Bestandteil der DaemonToolsPro Software, welche ich käuflich erworben habe und schon seit geraumer Zeit seine Dienste ohne Probleme auf meinem Rechner verrichtet. Eine eindeutige Falschmeldung also.
Was kann man tun, damit diese Datei nicht mehr gemeldet wird?
In diesem Falle würde ich die Datei als Ausnahme definieren, sowohl für den Echtzeit-Scanner als auch global für den On-Demand-Scanner.
Die Datei sende bitte an Avast, wie das geht, erfährst Du hier: http://forum.avadas.de/threads/2222-avast!-6-5-4-FAQ-und-Knowledgebase?p=17356&viewfull=1#post17356

odeexy
02.06.11, 00:38
Hallo,
das ist EXAKT die Datei , die bei mir gemeldet wird, jedoch vom Programm Alcohol 120% von Francis, das ich schon über Monate nutze, ( gibt es bei z.b. chip.de zum testen) ,ist nicht ein einziges Problem bezüglich online-banking, emails, etc. aufgetreten, auch systemmässig nicht.
Avast allerdings meldet die Datei immer noch, obwohl unter Echtzeit-Scanner als auch global für den On-Demand-Scanner als Ausnahme definiert. ??? oder habe ich es vielleicht falsch definiert ?, habe Pfad und nochmal die Datei selber eingetragen.
Nebenbei erwähnt: Avast habe ich nochmal im abg. Modus deinst. und dann neu, damit es mir auch wieder rootkitmeldungen anzeigt.

uweli1967
02.06.11, 00:40
Hast du mal die Datei bei VirusTotal und Jotti hochgeladen?

Auggie
02.06.11, 09:28
Avast allerdings meldet die Datei immer noch, obwohl unter Echtzeit-Scanner als auch global für den On-Demand-Scanner als Ausnahme definiert. ??? oder habe ich es vielleicht falsch definiert ?, habe Pfad und nochmal die Datei selber eingetragen..
Eigentlich sollte die entsprechende Datei dann nicht mehr berücksichtigt werden.
Könnte von euch mal jemand einen Screenshot der Meldung machen?
Ich werde das Problem mal auf meinem XP-System nachstellen, wenn ich zurück bin, vielleicht bringt das Licht ins Dunkel, warum die Ausnahmen nicht berücksichtigt werden......so etwas geht natürlich nicht.

Dr.Verdi
02.06.11, 09:28
Ist bei mir das selbe Spiel, obwohl ich die Datei in die Ausnahmelisten eingetragen habe wird sie mir bei jedem Systemstart als Rootkit Verdacht gemeldet, das ist echt lästig.
Es bleibt nur noch die Möglichkeit, diese Rootkit Prüfung abzuschalten.

Des Weiteren wird auch plötzlich eine Datei, die ich schon jahrelang im Autostart habe als verdächtig erkannt und ich werde jedesmal gefragt, ob ich sie in der Sandbox ausführen möchte. Habe schon x-mal angehakt normal ausführen und merken. Funktioniert aber leider nicht. Also Sandbox auch abschalten.
...Ach wie schön war da doch die alte Avast Version...

Servus

540541

odeexy
02.06.11, 10:15
Hast du mal die Datei bei VirusTotal und Jotti hochgeladen?

Hallo,
habe ich gestern gemacht, bei virus total wird beim hochladen einfach nur die website neu geladen , egal ,ob ich den firefox oder opera nehme.???
Bei jotti erscheint in etwa " kann nicht hochgeladen werden, da datei nicht sichtbar ?????!!!

Auggie
02.06.11, 10:37
Nach meinen Recherchen im Hersteller-Forum ist das Problem mit der Rootkit-Meldung wohl dem Hersteller bekannt:
http://forum.avast.com/index.php?topic=79195.0
http://forum.avast.com/index.php?topic=77651.0
http://forum.avast.com/index.php?topic=79072.0
Es sieht zwar nach einem False Positive aus, in einem Beitrag aus dem letzten von mir verlinkten Thread ist jedoch ersichtlich, das zumindest in einem Fall eine infizierte Datei sptd.sys ursächlich für die Meldung war.
Nur um die in dem Thread genannte Ursache auszuschließen:
Bitte mal folgendes herunterladen und ausführen: http://public.avast.com/~gmerek/aswMBR.exe
Eine englischsprachige Anleitung dafür findet ihr hier: http://public.avast.com/~gmerek/aswMBR.htm

Dr.Verdi
02.06.11, 13:16
Schaut doch ok aus oder?

542

odeexy
02.06.11, 14:17
Schaut doch ok aus oder?

542


Hier mein mbr.txt:

OK oder ??

Merlin
02.06.11, 16:18
Hallo,

wichtigste Frage hier: Wo habt ihr die Dateien genau in die Ausnahmen eingetragen? Nur im Dateisystem-Schutz oder auch in den globalen Einstellungen?

Dr.Verdi
02.06.11, 18:27
So wie von Auggie beschrieben:
"In diesem Falle würde ich die Datei als Ausnahme definieren, sowohl für den Echtzeit-Scanner als auch global für den On-Demand-Scanner."

Auggie
02.06.11, 18:35
Die Logs bei beiden sind imho in Ordnung, war auch nur, um ein getarntes Rootkit auszuschließen, da in dem einem Thread darüber berichtet wurde.
Ich denke, das es dann wohl um ein False Positive handelt, das mit einem der nächsten Updates behoben sein wird.
Ich werde morgen mal schauen, ob es darüber etwas neues gibt, dort lesen ja auch die Entwickler mit.

Adama, wenn ich ich das noch richtig im Kopf habe, hat zumindest der Threadersteller die Ausnahmen an beiden Stellen definiert.

odeexy
02.06.11, 18:54
Hallo,

wichtigste Frage hier: Wo habt ihr die Dateien genau in die Ausnahmen eingetragen? Nur im Dateisystem-Schutz oder auch in den globalen Einstellungen?

Hallo,
also, einmal habe ich sie unter Dateischutz-erweiterte einstellungen-ausnahmen und unter Allgemeine Einstellungen- Ausnahmen eingetragen unter Angabe des Pfades und nochmal die datei selber, trotzdem meckert avast bei jedem Neustart.
Richtig oder ??

Merlin
02.06.11, 19:04
Hallo,

dann bitte für ein paar Tage unter Einstellungen -> Fehlerbehandlung -> "Rookit-Prüfung beim Systemstart aktivieren" deaktivieren. Bis dahin sollte dieser Fehler dann behoben werden.

odeexy
02.06.11, 21:05
Hallo,
war `ne gute DisKussion wodurch AVAST immer intelligenter wird ,ich noch was dazu gelernt habe, muss sein !!
Danke

Auggie
02.06.11, 21:37
Gern geschehen, und danke für das Lob.
Mit den Diskussionen hier lernt nicht nur der Hilfesuchende, sondern auch die, die Hilfe leisten, lernen das Programm und die Zusammenhänge immer besser kennen.

Merlin
03.06.11, 01:01
Hallo,

da ja noch einige dazu gekommen sind: Können die anderen mal versuchen diese Datei bei VirusTotal.com hochzuladen und zu prüfen?

Dr.Verdi
03.06.11, 15:58
Also bei mir kommt die Rootkit Meldung nicht mehr, scheint mit dem Virenupdate bereinigt worden zu sein.

Servus

Merlin
03.06.11, 16:38
Hallo,

danke für die Rückmeldung, dann schliesse ich das Thema als "Gelöst". Wenn trotzdem noch bei jemandem Fehler auftreten, bitte kurz melden und wir öffnen das Thema wieder.