PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst Avast schlägt Alarm bei ungefährlichen Dateien



Marc
16.11.13, 22:34
Hallo,

seit dem gestrigen Update der Virendatenbank spinnt Avast bei mir rum.
Zuerst kam die Fehlermeldung, daß die Datei "CTRLVOL.EXE" aus 2003 infiziert sei und verschoben wird.
Die ist dafür zuständig, daß man die Lautstärke mit der FN- und den Hoch/Runter-Tasten regeln kann.
Ging dann natürlich nicht mehr.
Habe mir dann von der Herstellerseite (Medion) das "Launchpad"-Paket neu geladen und neu installiert, und nachdem ich den Rechner neu gestartet habe, hat Avast die nun frisch vom Hersteller geladene Datei (selbe Version wie vorher) WIEDER mit der roten Warnung in den Container verschoben! :mad:
Überprüfe ich die IM Container, zeigt er "kein Virus gefunden", prüfe ich die Datei mit Malwarebytes' AntiMalware, kommt "kein Befund", prüfe ich die Datei mit diversen Online-Scannern, kommt "Kein Virus".

Und jetzt gerade hat er die Datei A0151751.exe aus dem System-Volume-Information ebenfalls mit der Warnung verschoben, auch da war sie im Container plötzlich wieder "ohne Befund", ich krieg' nen Föhn hier mit dem Teil!
Natürlich auch da wieder KEIN Alarm bei sämtlichen anderen Tools.
Komplettscan des Systems mit Antimalware ohne Alarme.
Ich hätte ja gerne die Bezeichnung des Virus gepostet, habe aber in der (unübersichtlichen) Bedienoberfläche keine Möglichkeit gefunden, mir das nochmal anzeigen zu lassen.
Lediglich die letzte Meldung wird nochmal angezeigt, und das ist die grüne Update-Meldung, das nützt mir überhaupt nichts.
Der sogenannte 30-Tage-Report zeigt zeigt nur die Zahl "2" an. Toll - weiß ich selber. Was soll diese Funktion? So ein Quatsch.
Kann mir bitte jemand weiter helfen, ich muß hier arbeiten mit dem Teil und habe echt keine Lust auf sowas, wenn gar nichts ist

Vielen Dank,

LG,
Marc

Edit: hier ein Screenshot des Containers:
http://abload.de/img/avastutsbz.png

Steven Winderlich
16.11.13, 22:39
Hallo Marc,

Öffne mal bitte das Interface und gehe oben auf Verwaltung und dann auf Virus-Container.
Dort dürftest du die Dateien finden. Rechtsklicke auf die Dateien und wähle an Virenlabor übermitteln aus.

Im nun öffnenden Fenster wählst du vermuteter Fehlalarm aus und füllst das Formular.
Dies machst du für beide Dateien.

Dann noch einmal auf die Dateien rechtsklicken und Wiederherstellen und zu Ausschlussliste hinzufügen auswählen.

Dann dürfte alles wieder in Ordnung sein.

Marc
16.11.13, 22:50
Hallo,

danke für die schnelle Antwort. Hatte ja oben noch einen Screenshot reineditiert.
Wiederherstellen habe ich gefunden, mit Ausschlussliste stand da nix.
Habe die jetzt per Hand in globale Ausnahmen eingetragen und die beiden an das Labor geschickt. Melden die sich dann bei mir?
Warum llassen sich die Bezeichnungen und Pfade nicht per Mausklick im Container markieren und kopieren? Ich merke erst jetzt, wie undurchdacht diese ganze Oberfläche überhaupt ist, das kriegt man ja erst mit, wenn man es braucht. Muß ich mir die Dateinamen und Pfade erst umständlich in den Editor eintippen um sie dann in die Globalen Ausnahmen einzutragen. Sehr Benutzer-Unfreudlich, finde ich. Darüber sollten sich die Entwickler mal ernsthaft Gedanken machen.
Und warum kann man sich die Virenmeldung nicht nochmal anzeigen lassen, das ist doch eine super wichtige Funktion????!!!
Wenn das jetzt aber so weiter geht und in den nächsten Tagen poppen immer mehr Dateien auf, krieg' ich nen Föhn hier!
Warum macht der das?

Steven Winderlich
16.11.13, 22:55
Die Datei wird wahrscheinlich als Win32:Evo-Gen erkannt, deshalb auch "Kein Virus" im Virus-Container.
Wenn du auf das Avast Icon rechtsklickst bekommst du eine Option letztes Popup anzeigen, funktioniert für Virenfunde
nur bis zum nächsten Update-Popup oder bis zum Neustart des PCs.

Marc
16.11.13, 23:01
Win32:Evo-Gen - JAAAAAA genau, das war es!!!

Was ist das?

edit:

Gerade gesehen, daß Avast das Problem schon über ein halbes Jahr bekannt ist, das kann doch wohl nicht wahr sein?!

Und dann werden die Beiträge hier auch noch mit der Meldung "Bitte ans Virenlabor schicken" von den Admins geschlossen, ohne irgend ein ersichtliches Feedback für andere Leser, was ist DAS denn hier?

So dürfte das Programm doch eigentlich überhaupt nicht angeboten werden, es ist doch kaputt?!

http://forum.avadas.de/threads/5374-Immer-wieder-Fehlalarm-quot-Win32-Evo-Gen-Susp-quot

Steven Winderlich
16.11.13, 23:10
Auszug aus einem Artikel im Forum:

Die zweite Technologie, die ich erwähnt habe, Evo-Gen, ist ähnlich, aber ein bisschen subtilerer Natur. Es geht darum, möglichst kurze und einfache Beschreibungen großer Mengen von Malware-Samples zu definieren. Nehmen wir zum Beispiel einen Satz von 1.000.000 Malware-Samples (und 1.000.000 sauberen Dateien) und geben dem Algorithmus die folgende Aufgabe: Finde so wenig und kurze Beschreibungen von so vielen Malwareproben wie möglich, ohne dabei eine beliebige Datei aus dem sauberen Sample zu beschreiben. Evo-Gen ist ein generischer Algorithmus den wir genau zu diesem Zweck entwickelt haben. Oft finden wir dabei richtige Schätze – zB eine Beschreibung die zehntausende von Malware-Dateien erfasst, die weit verstreut aus verschiedenen Malwarekategorien stammen. Wie groß ist die Beschreibung? 8 Byte.

http://forum.avadas.de/threads/5221-Neues-Spielzeug-im-Avast-Research-Lab?highlight=Neues+Spielzeug

Marc
16.11.13, 23:23
Schön - die spielen in ihrem Sandkasten und die User dürfen es dann mit so einem Aufwand ausbaden.

Schön wäre ja auch mal, von den Verantwortlichen zu erfahren, wie sie in Zukunft gedenken mit diesem Problem umzugehen und wann es wohl behoben sein wird.

Und seit gestern meckert Avast auch ständig herum, wenn ich mir irgendwas lade, z.B. den MAME-Emulator von chip.de: http://www.chip.de/downloads/MAME_12996897.html

Riesen-Bohei-Meldung über den gesamten Schirm: "Die Datei wurde von sehr wenigen Avast-Nutzern bisher geladen und ist der Avast-Community recht unbekannt bla bla blaa" Das interessiert mich nicht! Und dann wird auch noch der Download angehalten. Wo kann ich das abstellen?

Und interessant, auf diesem Wege zu erfahren, daß sämtliche von mir getägtigten Downloads nicht nur erfasst, sondern auch ohne meine Zustimmung übermittelt werden an weiß sonst wen (NSA?), um irgendwelche Statistiken zu erstellen.
Bei infizierten Dateien habe ich dafür Verständnis, da ist es auch sinnvoll, aber ALLES was man lädt?!

Find' ich schon ziemlich erschreckend und darüber sollten eigentlich auch ALLE Nutzer explizit hingewiesen werden, BEVOR sie die Software installieren!
Auch das würde ich gerne abgestellt haben.

Werd's auf jeden Fall mal melden an Chip und auch an diverse Foren und Computer-Podcasts, damit das mal bekannt wird.

Marc
17.11.13, 10:27
Ich habe hier nun ganz ERHEBLICHE Missstände in der Benutzeroberfläche aufgezeigt und bin Opfer einer offensichtlichen "Altlast" (Evo-Gen) geworden. Dazu kommt das nicht unerhebliche Datenschutzdefizit bzw. der Umgang mit den (vertraulichen) Daten User-spezifischer Downloads ganz generell.
5 gravierende Probleme mit Avast, in kürzester Zeit.
Ich hoffe, die werden angegangen resp. beachtet, und nicht nur einfach der Thread auf "gelöst" bzw. geschlossen gesetzt.

Chip.de, den Computerclub und einige hochfrequentierte PC-/DVD-Foren habe ich jetzt bereits angeschrieben und involviert, auch einen mir privat bekannten Reporter/Korrespondenten eines Livestyle-Magazins im TV.
Da reiche ich dann gerne auch das hier gewonnene Feedback weiter.

Bevor ich das Faß richtig aufmache, bin ich jetzt einfach mal gespannt, was kommt ...

Merlin
17.11.13, 12:16
Hallo,

bitte nicht vergessen auch Peter Schaar anzuschreiben :rolleyes: Bevor ich versuche einen rollenden Zug aufzuhalten, überlasse ich diese Arbeit lieber den von dir "involvierten" Personen und Institutionen (die sollten ja in er Lage sein Lizenzbedingungen und Hilfetexte zu lesen) :)

Zu deinen konkreten Fragen:

Die Teilnahme an der avast! Community lässt sich unter Einstellungen -> Allgemein deaktivieren.

FileRep und Evo-Gen sind keine Altlasten und werden auch weiterhin so arbeiten, wie sie es in deinem Fall auch getan haben. Sollten Sie aufgrund der Erkennung nicht weit verbreiteter Programme eine Meldung ausgeben, besteht die Möglichkeit die Programme den Ausnahmen hinzufügen und/oder die Bewertungsdienste unter Einstellungen -> Antivirus zu deaktivieren.

Marc
17.11.13, 19:04
Unter Einstellungen -> Allgemein GIBT es aber keinen solchen Punkt.
Unter Einstellungen/Community ist nichts angekreuzt bei mir. Wieso schlägt er dann trotzdem Alarm für nichts und teilt mir mit, daß die Datei wenig bekannt ist?

Einen Punkt "Bewertungsdienste" habe ich ebenfalls in der gesamten Benutzeroberfläche nicht gefunden.
Und unter Einstellungen gibt es auch KEINEN Punkt, der "Antivirus" heißt.

Wie soll mir das helfen, was Du schreibst, wenn NICHTS davon stimmt?!


Gerade wieder eine neue Meldung, diesmal ein ellenlanger Dateiname (sh. Screenshot):

1580

Muß ich den jetzt ERNSTHAFT mir per Hand aufschreiben, um ihn dann per Hand in die Ausnahmen einfügen, weil die Avast-Benutzeroberfläche keine Markierungsfunktion anbietet?
Und das dann ab jetzt jeden Tag auf's neue wieder mit anderen, ähnlichen Dateien, die seit JAHREN UNVERÄNDERT auf meinem System liegen und auch NICHT infiziert sind? Was soll das?
Ist das ein akzeptables Verhalten eines AV-Programms?

Ich möchte jetzt bitte eine Hilfe, um die Meldungen und Handlungen für dieses Evo-Gen komplett abzustellen, denn er sucht sich hier nicht "wenig verbreitete" Dateien aus, sondern solche, die seit teilweise über 10 Jahren in unveränderter Form MASSIV verbreitet sind.

Steven Winderlich
17.11.13, 19:09
Adama meint wahrscheinlich Avast 2014 dort ist die Einstellungen Seite anders.

Die Meldung von Avast befindet sich in den Systemwiederherstellungspunkten.

Marc
17.11.13, 19:23
Es steht doch 10 cm links von meinem Post, welche Version ich nutze?! Hab' ich doch extra eingetragen.

Welche Meldung meinst Du bitte?

Wo ist der Punkt "Systemwiederherstellung"?

Kann Dir leider nicht folgen.

Die Fragen aus meinem vorherigen Post sind somit leider immer noch komplett offen.

Merlin
17.11.13, 19:28
Hallo,

wenn das Programm für dich nicht akzeptabel ist, gibt es eine einfache Lösung: Nutze ein anderes.

Alternativ hier mehr zu deinem Problem nachlesen:http://forum.avadas.de/threads/3912-Windows-Systemwiederherstellung

Steven Winderlich
17.11.13, 19:31
Ich meine die Meldung von Avast in deinem Screenshot.

In Avast 8 findest du die Funktionen zum deaktivieren der Community und Bewertungsfeatures unter Einstellungen>Community und Einstellungen>Cloud Dienste.

Marc
17.11.13, 19:35
Die gemeldete Datei ist eine aus den Recoverypunkten. Das ist mir klar, das zeigt der Pfad ja an.
Trotzdem hätte ich gerne immer noch meine Fragen beantwortet.

Würdest Du mir die bitte also beantworten für die Avast-Version, die ich nutze?

Offenbar hast Du mir ja die Auskünfte zu einer komplett falschen Version gegeben.

(Das ging an Adama, nicht an Dich, Steven!)

Steven Winderlich
17.11.13, 19:40
Da die Datei als Win32:Evo-Gen erkannt wurde und du sie Avast schon gemeldet hast kannst du sie wahrscheinlich nur als Ausnahme eintragen.

Zu finden unter Einstellungen>Globale Ausnahmen.

Marc
17.11.13, 19:41
Ich meine die Meldung von Avast in deinem Screenshot.

In Avast 8 findest du die Funktionen zum deaktivieren der Community und Bewertungsfeatures unter Einstellungen>Community und Einstellungen>Cloud Dienste.

Ok, so verstehe ich das auch. Danke.

Unter Community und Einstellungen war nichts aktiv bei mir. Die Meldungen bei den Downloads von Chip.de kommen aber trotzdem.
Unter Einstellungen-Cloud-Dienste habe ich jetzt den Haken bei "Bewertungsdienste aktivieren" herausgenommen.
Was hat das nun zur Folge? Daß die Meldung bei einem Download von Chip.de nicht mehr kommen, oder daß er nicht mehr bei den ganz normalen Dateien diese Gen-Warnung nicht mehr ausgibt und die Dateien in den Container verschiebt?

Marc
17.11.13, 19:42
Da die Datei als Win32:Evo-Gen erkannt wurde und du sie Avast schon gemeldet hast kannst du sie wahrscheinlich nur als Ausnahme eintragen.

Zu finden unter Einstellungen>Globale Ausnahmen.

Und da gibt es wirklich nur die Möglichkeit, sich diese ellenlangen Pfade per Hand zu notieren?
Oder gibt es da noch einen anderen Weg?

Steven Winderlich
17.11.13, 19:51
Und da gibt es wirklich nur die Möglichkeit, sich diese ellenlangen Pfade per Hand zu notieren?
Oder gibt es da noch einen anderen Weg?

Rechts gibt es einen Knopf durchsuchen, wenn du den anklickst kannst im Explorer nach suchen.
Den Pfad musst du dir leider aufschreiben.

Und du musst eventuell im Explorer unter Organisieren in der Liste die Ausgeblendeten Ordner und Elemente anzeigen lassen.
Und du musst in der selben Liste die geschützten Systemdateien ausblender deaktivieren.

Bei mir wird unter Windows 7 der Zugriff verweigert.
Ansonsten die Wiederherstellungspunkte löschen.

Marc
17.11.13, 19:55
Ok, danke. Du handelst wenigstens auch zielführend und liest, was man schreibt. Wenn Du nicht wärst... ;)

Steven Winderlich
17.11.13, 19:58
Wofür gibt es virtuelle Maschinen für Screenshots.

Unter Windows 8 aufwärts funktioniert das viel einfacher.

Die VM muss ich sowieso mal zurücksetzen.

Marc
17.11.13, 20:03
Wäre schön, wenn dieser Punkt an die Entwicklung weitergegeben werden würde, ein mögliches Copy- und Paste gerade bei so langen Namen im Container wäre schon sehr nützlich.
Aber das wird wohl nix, wenn die hier nur die Einstellung vertreten "dann hau' halt ab".
Werd's mir nochmal überlegen.

Steven Winderlich
17.11.13, 20:06
OK.

Ist deine Entscheidung, überleg aber gut zu welchem Programm du wechselst.

Merlin
17.11.13, 20:15
Hallo,

das Ziel ist nicht per Knopfdruck Ausnahmen zu setzen (gerade deswegen existiert diese Option auch nicht), denn dadurch wird das eigentliche Problem nicht behoben, sondern nur das Symptom unterdrückt. Hättest du den Artikel gelesen, den ich dir im letzten Beitrag an die Hand gegeben hätte, wüsstest du, warum an diesem Ort etwas gefunden wird und wie du den Fund beseitigst.

Lies übrigens nochmal deine Beiträge hier zu den Unterstützungsanfragen zu deiner freien Version durch und überlege dann mal in Ruhe, ob wir hier Sonntags über unsere Einstellung reden müssen.

Marc
17.11.13, 20:32
Ich habe es angelesen. Ich weiß, was eine Systemwiederherstellung ist und wozu sie gut ist.

Welches Symptom/Problem hat mein System denn, wenn es gar nicht befallen ist?

Steven Winderlich
17.11.13, 20:36
Hallo,

das Ziel ist nicht per Knopfdruck Ausnahmen zu setzen (gerade deswegen existiert diese Option auch nicht), denn dadurch wird das eigentliche Problem nicht behoben, sondern nur das Symptom unterdrückt. Hättest du den Artikel gelesen, den ich dir im letzten Beitrag an die Hand gegeben hätte, wüsstest du, warum an diesem Ort etwas gefunden wird und wie du den Fund beseitigst.


Das ist nicht unbedingt auf dich bezogen sondern im allgemeinen gedacht.
Wenn jemand eine wirkliche Infektion hat und einfach per Rechtsklick die Datei ignorieren kann bzw ignoriert dann ist die Infektion noch da, das Problem ist also nicht behoben.

Marc
17.11.13, 20:43
Das ist mir klar :)
Mir ging's ja darum, daß gerade in diesem Fall (Recovery) die Namen SEHR umständlich einzugeben sind.
Vor allem, wenn GAR NICHTS INFIZIERT ist.
Die Leute sind nunmal bequem. Und was passiert? Es wird einfach der Pfad C:/System-Volume-Information/* eingegeben, damit Ruhe ist. SO ticken die Leute nämlich.
Und das ist dann noch weniger zielführend, als die Copy/Paste-Möglichkeit zumindest anzubieten.
Ich verstehe die Argumentation und den Sinn, der dahinterstecken soll.
Nur finde ich, es ist nicht "zu ende" gedacht. ;)

Was hat sich denn vorgestern beim Update getan, daß er jetzt grundlos uralte Dateien anmoppert, die schon seit anbeginn auf dem Notebook sind und zur Grundausstattung eines jeden Medion-Notebooks seit 2006 gehören? Und die Datei wurde NIE geändert.
Das ist es, was ich nicht nachvollziehen kann, warum so eine "Schikane" sein muss.

Steven Winderlich
17.11.13, 20:55
Das ist keine Schikane.

Evo-Gen verursacht regelmäßig Fehlalarme, es ist EINE Signatur um TAUSENDE Schaddateien zu erkennen.
Da kommt es nunmal zu Fehlalarmen. Wann hast du es denn Avast gemeldet?

Marc
17.11.13, 21:13
Gestern Abend direkt.
Hab' ja hier mittlerweile diverse Themen zu Evo-Gen gefunden, die auch schon älter sind.
Nur bei mir war eben erst Gestern der erste Alarm dieser Art. Trotz regelmäßigen Vollscans wöchentlich.
Und die VolCTRL.exe ist aus 2003 und seitdem unverändert auf meinem System.
Deshalb hatte ich gefragt, warum das mit den Alarmen erst seit gestern aufkommt hier bei mir.
Ich hatte es vorher noch niemals.

Steven Winderlich
17.11.13, 21:16
Dann musst du mal abwarten, Avast wird da bestimmt was machen.

Kann aber etwas dauern da am Wochenende nicht so viele Mitarbeiter im Labor sind und Evo-Gen ziemlich komplex ist.
Bis dahin kannst du nur warten oder die Datei in die Ausnahmen setzen.

Marc
17.11.13, 21:21
Anhand der Dateigröße habe ich übrigens jetzt festgestellt, daß es sich in der Recovery um dieselbe Datei handelt, wieder die VOLctrl.exe, sie hat da wohl nur einen anderen Namen erhalten.
Also ist es tatsächlich nur EIN Fund, und nicht zwei Verschiedene. Das läßt mich ja auch schon mal wieder etwas aufatmen.
Jetzt hab' ich zumindest nicht mehr die Befürchtung, daß es nun endlos und jeden Tag mit neuen Dateien und Fehlalarmen so weiter geht ständig.

Steven Winderlich
17.11.13, 21:25
Ja, diese Fehlmeldungen könnten aber noch mal auftreten. Dann einfach Avast melden.

Hatte mal eine mit einer Datei von einem Medion PC, 10 Jahre alt und sie wurde plötzlich als Evo-Gen erkannt.

Marc
17.11.13, 21:31
OK. Wollte es einfach nur noch erwähnen, evtl ist es ja hilfreich für andere, die es dann auch plötzlich mal betrifft.

Kann dann auch zu jetzt hier.
Danke für die freundliche Unterstützung. :)

Steven Winderlich
17.11.13, 21:33
Kein Problem.

Macht ein Moderator.:)

TerraX
17.11.13, 23:01
Kann dann auch zu jetzt hier.
O.K....dann schliesse ich das Thema als "Gelöst".

TerraX