WinFuture-Forum.de: Fragen zum Avast Virenscanner - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Fragen zum Avast Virenscanner


#1 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 27. Dezember 2014 - 15:44

Moin,

seit 4 Wochen benutze ich den freien Avast Virenscanner, zuvor hab ich lange AVG vertraut.

Da sich diese Virenprogramme alle etwas unterschiedlich verhalten hab ich Fragen:

1. Heute kam auf dem Notebook 2mal eine akustische Warnung „verdächtiges Objekt wurde gefunden“. Den Text dazu konnte ich nur teilweise erkennen, da er nach ein paar Sekunden verschwindet und ich nicht am Notbuch saß.
Der zweite Vorfall immerhin hinterließ eine Spur - er verschob die Datei SSCHKbdHk.exe in den Quarantäne-Ordner.
Kennt jemand dieses Verhalten? Der Rechner wurde vor der Meldung nicht benutzt und es lief auch kein Programm drauf ab. Opera war offen, dort aber keine Aktivität meinerseits.


2. Wo legt Avast die verdächtigen Files ab, wie heißt das Quarantäne Verzeichnis?


Schöne Festtage noch, endlich schneit es
Joe

Dieser Beitrag wurde von joe13 bearbeitet: 27. Dezember 2014 - 15:46

0

Anzeige



#2 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.456
  • Beigetreten: 03. Januar 09
  • Reputation: 649
  • Geschlecht:Männlich

geschrieben 27. Dezember 2014 - 16:23

Laut file.net gehört der Prozess zu Samsung Support Center.

http://file.net/proc...ckbdhk.exe.html
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP + Stop TiSA
> Mein Hells Toolbox CMD Script <
0

#3 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 27. Dezember 2014 - 18:45

Ja, hab ich auch herausgefunden, aber ich bin nicht sicher was daraus zu schließen ist.
Die Datei ist keine Kern-Datei, sie gehört zum Samsung Support Kram. Man kann im Prinzip drauf verzichten, zumal ich noch nicht rausgefunden habe, wo eigentlich diese Support-Software ihre gelegentlichen Scan-Ergebnisse ablegt.

Aber da Avast in den 4 Wochen, wo ich das Tool betreibe, nichts daran beanstandet hat, scheint mir die Meldung doch schon seltsam.

Wie heißt das Quarantäne Verzeichnis?

Joe
0

#4 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.877
  • Beigetreten: 24. Juni 05
  • Reputation: 138
  • Geschlecht:Männlich

geschrieben 27. Dezember 2014 - 19:22

Wo der Ordner liegt, kann ich nicht sagen. Aber der Inhalt ist verschlüsselt, daher bleibt eh nur die Möglichkeit über Avast zuzugreifen.

Wenn du die Avast Benutzerschnittstellt öffnest, gehst du über Statistiken -> Virus Container.
Da dann auf die entsprechende Datei einen Rechtsklick.

Angehängtes Bild: 2014-12-27 19 19 41.png
0

#5 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 27. Dezember 2014 - 23:45

An dieser Stelle sehe ich den Inhalt des Virencontainers nicht. Wohl aber unter Überprüfung/Quarantäne.
Ich hätte halt gerne das Verzeichnis selbst gesehen; bin ich von AVG gewohnt. Von dort aus konnte ich mit AVG eine fragliche Malware-Datei hochladen zu Jotti oder Virustotal, um eine Kontrolle durchzuführen. Ganz praktisch wenn man false positive vermutet.

Dieser Beitrag wurde von joe13 bearbeitet: 27. Dezember 2014 - 23:45

0

#6 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.877
  • Beigetreten: 24. Juni 05
  • Reputation: 138
  • Geschlecht:Männlich

geschrieben 28. Dezember 2014 - 12:59

Wenn du an dieser Stelle nichts siehst, sollte auch nichts in den Virencontainer verschoben worden sein.
An den sonstigen Einstellung von Avast hast du bzgl. der Behandlung von Viren nichts geändert?
0

#7 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 28. Dezember 2014 - 15:45

Ich sehe gespeicherte Objekte wenn ich über "Überprüfung / Prüfen auf Viren / Quarantäne" gehe. Auch die fragliche Datei.
Zur Behandlung von Malware hab ich nichts verstellt.

Hab die Datei mal mit rechtem Mausklick zur Überprüfung geschickt.


Was mich halt besonders wundert ist die Tatsache, daß der Rechner bei Ertönen der akustischen Meldung bloß rumstand. es lief nix, es waren ein paar Explorer-Fenster offen und ein Fenster mit Opera. Aber auch im Browser waren keine Aktionen angestoßen... :(

Dieser Beitrag wurde von joe13 bearbeitet: 28. Dezember 2014 - 15:48

0

#8 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.937
  • Beigetreten: 14. Juli 07
  • Reputation: 281
  • Geschlecht:unbekannt

geschrieben 28. Dezember 2014 - 16:00

Warum wundert dich das? Gehst du etwa davon aus dass du Malware erst persönlich ausführen musst, damit sie auf deinen Rechner gelangt?
Da kann ich dich enttäuschen, es gibt genügend Exploits, Drive-by-Downloads und andere Malware, die sich komplett ohne dein Zutun installieren können, entsprechende Sicherheitslücke natürlich vorausgesetzt.
1

#9 Mitglied ist offline   Caprio2L 

  • Gruppe: aktive Mitglieder
  • Beiträge: 116
  • Beigetreten: 08. Januar 07
  • Reputation: 0

geschrieben 28. Dezember 2014 - 20:49

Wenn ich mich nicht täusche, kann Avast während der Bildschirmschoner aktiv ist auch Überprüfungen durchführen.

In den Einstellungen unter Allgemein -> spezielle Prüfungen -> Überprüfung über Bildschirmschoner nachsehen, ob das bei dir aktiviert ist. Ich habe einiges verstellt und kann daher nicht genau sagen, ob es zu den Standard-Einstellung von Avast gehört.
0

#10 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 29. Dezember 2014 - 18:30

Beitrag anzeigenZitat (Samstag: 28. Dezember 2014 - 16:00)

Warum wundert dich das?

Ja - sonst würd ich nicht fragen.

Zitat

.. es gibt genügend Exploits, Drive-by-Downloads und andere Malware, die sich komplett ohne dein Zutun installieren können..

Die müssen aber erstmal auf den PC draufkommen. Und das erscheint mit wenig plausibel solange ich damit nix mache außer 1/2 Stunde zuvor ein paar eigene Fotos von der SD-Karte einzulesen & diese auf den Hauptrechner zu kopieren.
Für die genannte Malware aller Art brauchts ja wohl immer noch Zugriffe aufs Internet.


Nebenbei - die beanstandete Datei stammt vom PC-Hersteller, ist von Anfang auf drauf & hat das Datum 2009 ...

Dieser Beitrag wurde von joe13 bearbeitet: 29. Dezember 2014 - 18:45

0

#11 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.937
  • Beigetreten: 14. Juli 07
  • Reputation: 281
  • Geschlecht:unbekannt

geschrieben 29. Dezember 2014 - 19:00

Die wohl bekanntesten: Sasser und Blaster.
Übrigens sind die beiden auch heute noch aktiv, die Schäden damals gingen in die Millionen.
Nötig hatten die gar nichts, ausser einer bestehenden Internetverbindung und das richtige Betriebssystem.
Wie schon gesagt, es braucht nicht unbedingt dich um eine Malware einzufangen. Rechner an und bestehende Inetverbindung kann genügen.
Übrigens kann man ein Erstellungsdatum auch recht einfach fälschen, dreh mal dein Datum zurück und erstell einen Ordner/Datei.
Ich vermute bei dir übrigens auch ein false-positive, Avast ist bekannt dafür sich über Kleinigkeiten aufzuregen.
0

#12 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 30. Dezember 2014 - 11:08

Beitrag anzeigenZitat (Samstag: 29. Dezember 2014 - 19:00)

Übrigens kann man ein Erstellungsdatum auch recht einfach fälschen, dreh mal dein Datum zurück
Weiß ich, aber an der Schraube wird nach meiner Erfahrung von Malware nicht oder jedenfalls eher selten gedreht.

Zitat

Avast ist bekannt dafür sich über Kleinigkeiten aufzuregen.

Deshalb meine Frage nach dem Speicherort der Viren. Damit könnte ich - wie früher bei anderer Antivirensoftware - die verdächtige Datei zu Jotti / Virustotal hochladen zwecks Überprüfung. Das war bisher immer sehr nützlich, wenn mal false positive vorkam.

Dieser Beitrag wurde von joe13 bearbeitet: 30. Dezember 2014 - 18:44

0

#13 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 30. Dezember 2014 - 18:44

Da es wohl keiner weiß, hier die Lösung:

Das Verzeichnis für die Quarantäne heißt C:\ProgramData\AVAST Software\Avast\chest, die Datei index.xml liefert ein Inhaltsverzeichnis. :)


Hab die Datei nun zu Virustotal hochgeladen. 55 Scanner finden nichts Verdächtiges, auch der von Avast nicht.
Also Fehlalarm. Deshalb auch meine Frage nach dem Quarantäne Verzeichnis ... ein Test bei Virustotal oder Jotti klärt die Sache i.a. schnell auf.

Joe

Dieser Beitrag wurde von joe13 bearbeitet: 30. Dezember 2014 - 18:56

0

#14 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.456
  • Beigetreten: 03. Januar 09
  • Reputation: 649
  • Geschlecht:Männlich

geschrieben 30. Dezember 2014 - 19:19

Alternativ kannst du bei Virustotal auch nach Checksummen prüfen lassen.
Insofern das dein AV anbietet, würde dir das Arbeit ersparen.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP + Stop TiSA
> Mein Hells Toolbox CMD Script <
0

#15 Mitglied ist offline   joe13 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.349
  • Beigetreten: 10. September 09
  • Reputation: 48

geschrieben 06. Januar 2015 - 16:04

Achtung - Das QuarantäneVerzeichnis C:\ProgramData\AVAST Software\Avast\chest enthält die verdächtigte Datei in einer verwürfelten Form. Diese bei Jotti/Virustotal zu testen ist damit sinnlos.
Der chest-Inhalt muß extrahiert werden, um ihn auf false positive zu testen.

Dieser Beitrag wurde von joe13 bearbeitet: 06. Januar 2015 - 16:04

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0