PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst Avast erkennt Infektion / Fehlalarm?



Top Secret
20.11.13, 15:35
Hallo,

Avast 8 hat eine verdächtige Datei blockiert und in den Container verschoben:
In System 32/drivers/sfdrv01.sys
Infektion: Win32: Evo-gen
Prozess: AvastSvc.exe

Wie soll ich weiter vorgehen?
Könnte das ein Fehlalarm sein?

PC295
20.11.13, 15:51
Hallo,

lade die Datei auf www.virustotal.com hoch.
Stelle die Datei dazu aus der Quarantäne wieder her.

Es könnte sich sehr wahrscheinlich um ein Fehlalarm handeln.

Top Secret
20.11.13, 15:56
OK, werd ich probieren.
Dazu werd ich Avast wohl kurz ausschalten müssen?

Hmm, wiederherstellen geht nicht, ist ausgegraut.
Nur "aus Container extrahieren" aber was kann ich damit anfangen?
Habe sie Avast als Fehlalrm eingeschickt.

Aber wieso kann ich sie nicht wiederherstellen?

Hallo,

ich würde die Datei gerne bei VirusTotal hochladen, aber wie komme ich ohne "Wiederherstellen" an die Datei ran?

Steven Winderlich
20.11.13, 17:10
Wähle aus Container extrahieren, es arbeitet wie wiederherstellen nur kannst du einen Speicherort
auswählen.

Nicht vergessen Avast auszuschalten.

Top Secret
20.11.13, 17:13
Ah, OK danke.
Werds gleich mal probieren.

So, das war schon mal beruhigend: 0/47, scheint also ein Fehlalarm zu sein.
Vielleicht wirds ja mit einem der nächsten Updates behoben.
Sonst müsste ich die Datei wohl der Ausnahmeliste hinzufügen.

Merlin
20.11.13, 17:54
Hallo,

in der Regel werden Fehlalarme recht schnell behoben, trotzdem bitte etwas Geduld mitbringen.

Top Secret
21.11.13, 18:52
Hallo,

scheint sich heute schon erledigt zu haben, wird nicht mehr erkannt. (vermute das ist der StarForce Treiber eines Spiels)
Allerdings wurde es gestern von Avast bei "VirusTotal" auch nicht erkannt, da stand bei Virendefinition der 20.11.
während ich die Virendefinition vom 20.11. erst heute mit dem Update bekommen habe.

TerraX
22.11.13, 18:24
Hallo,

ist das Problem damit für dich gelöst?

TerraX

Merlin
22.11.13, 20:43
Hallo,

der Fehlalarm sollte jetzt behoben sein. Ich schliesse das Thema daher als "Gelöst".