Unterschiedliche Ergebnisse bei Virenprüfung mit Avast 6

Hallo,

ich habe hier unter WinXP unterschiedliche Ergebnisse in der Virenprüfung mit Avast 6 in der aktuellen Version. Beim schnellen Scan-Lauf wird eine Datei “WirelessNetView.exe” (www.nirsoft.net) beanstandet mit Schweregrad “niedrig” und Status “PUP;Win32;PSWtool-AP(PUP)”. Wenn ich in einem Dateimanager die betroffene Datei per Rechtsklick auf Viren untersuchen lasse, dann kommt die Meldung “Keine Bedrohung gefunden”.

P.S.: im Verhaltens-Schutz ist auch noch die “uphcleanhlp.sys” verdächtigt worden, die m.E zu UPHClean von Microsoft gehört, wo ich bei der Meldung an das Avast-Virenlabor zugestimmt habe, aber die Datei jetzt nicht mehr im genannten Ordner vorhanden ist. Ich finde die Datei aber auch nicht im Virus-Container. In den Einstellungen für die gewünschte Aktion ist “Automatisch entscheiden” eingestellt gewesen.

zu 1.: Du hast anscheinend in der schnellen Überprüfung eingestellt, daß er auf PUP (potentiell unerwünschte Programme) überprüft und in den Einstellungen für die Überprüfung von ausgewählten Ordnern nicht. Kontrollier das bitte mal.

zu 2.: Der Verhaltensschutz löscht keine Dateien. Er sperrt nur den Zugriff auf eine Datei oder er erlaubt ihn. Kann es sein, daß bei der Datei “uphcleanhlp.sys” das Attribut “versteckt” gesetzt ist?

DJBone

zu 1.: ich habe die Einstellung gefunden. Jetzt kommt die Meldung auch beim Rechtsklick auf die Datei.

zu 2.: in den Ordneroptionen unter “Ansicht” und im Dateimanager “Totalcommander” ist die Anzeige von versteckten Dateien und Systemdateien aktiviert und es werden auch alle angezeigt, z.B. im Grundverzeichnis von Laufwerk “C”. Ich finde die Datei “uphcleanhlp.sys” auch nicht in der Sicherung auf einer externen Festplatte. Die Avast-Meldung sieht so aus:
http://www.picfront.de/d/8cnR
Auf der ganzen Festplatte finde ich aber keine Datei mit diesem Namen. Das Verzeichnis für “UPHClean” ist in “C:\Programme” und auch dort ist keine Datei mit diesem Namen.

zu 1.: Gut. Nun mußt du selber entscheiden, ob du diese Option aktiviert lässt. Ich persönlich habe sie deaktiviert, weil sie mir zu viele “falsche” Alarme gab. Gibt es oft bei Messenger Programmen. Wie schon gesagt, ist deine persönliche Entscheidung. Kannst ja noch ein bißchen googlen über PUP.

zu 2.: Der Dateipfad “??\c:\windows\system32\drivers\uphcleanhlp.sys” ist für mich verwirrend, vor allem die 2 Fragezeichen die darin enthalten sind. Eine Idde von mir, daß sie evtl. in einem Wiederherstellungspunkt drin ist?

DJBone

Schau dir vielleicht auch mal den Thread an: http://forum.avast.com/index.php?topic=78124.0

DJBone

Ich glaube ich habe das Problem gelöst. Die Datei gibt und gab es nicht. Aber wenn man in WinXP im Gerätemanager die ausgeblendeten Geräte anzeigt, dann gibt es unter “Nicht-PnP-Treiber” den Eintrag “uphcleanhlp”. Ich bin über die Suche in der Registry darauf gekommen, wo folgender Eintrag vorhanden ist:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPHCLEANHLP]
“NextInstance”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPHCLEANHLP\0000]
“Service”=“uphcleanhlp”
“Legacy”=dword:00000001
“ConfigFlags”=dword:00000000
“Class”=“LegacyDriver”
“ClassGUID”=“{8ECC055D-047F-11D1-A537-0000F8753ED1}”
“DeviceDesc”=“uphcleanhlp”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPHCLEANHLP\0000\Control]
“ActiveService”=“uphcleanhlp”

Als ich zu diesem Eintrag kam, öffnete sich wieder das Fenster mit der Warnung, wobei es in der Registry auch noch die Einträge
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPHCLEANHLP]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPHCLEANHLP]
gibt, wo aber kein Warnung kam.

Wie Avast 6 nun zu dieser Warnung kam und zu der Dateibezeichnung “uphcleanhlp.sys” können vermutlich nur die Avast-Programmierer sagen.

Da war ich schon am Schreiben und Abschicken bevor ich den genannten Thread gelesen habe.

  1. Viele Programme von Nirsoft werden als PUP erkannt, das liegt an deren Programmierung, ist aber kein Problem und ungefährlich. (Alles andere hat dir DJBone schon gesagt.)
  2. Ist ein FP. Bekommst du die Meldung mit VPS 110515-0 noch…?
    Schönen Sonntag,
    asyn

Hallo miteinander,

es handelt sich um ein FP.
Es wird aber schon an einem Update gearbeitet.
http://forum.avadas.de/threads/3091-Verdächtige-Datei-uphcleanhlp.sys?p=28076&viewfull=1#post28076

Ist jetzt nicht wirklich eine Neuigkeit, aber danke trotzdem. :wink:
asyn

Na dann…sorry für die “Neuigkeit”. ;D

Die Meldung kam erstmals mit VPS 110514-1 und ist jetzt auch bei VPS 110515-0 gekommen.

Nachtrag: auch mit der gerade erschienenen Version VPS 110515-1 kommt der Fehler noch vor.

Der Fehler wird bestimmt mit einem der nächsten updates behoben.
Wie gesagt…es wird schon daran gearbeitet.

Nächster Versuch: 110519-0 ??

[OT]: Du kannst jetzt eine Signatur einfügen. :wink:

Mit Version 110519-1 ist die Meldung nicht mehr gekommen, weder mit dem schnellen Scanlauf noch mit der Suche nach “uphcleanhlp” in der Registry.

Danke für die Rückmeldung, John…!
Problem gelöst. :slight_smile: