Hallo liebe Users vom Trojaner-Board.de,

jetzt gerade vor 10 Minuten, direkt bei PC-Start und Windows 7-Login hat Avast eine Datei namens IDriverT.exe als "Win32:Rootkit-gen" erkannt und sofort in Quarantäne geschoben. Jetzt bin ich mir aber nicht sicher, ob es sich um ein Fehlalarm handelt oder doch tatsächlich um einen Virus.
Ich schildere meinen Ablauf heute kurz:
Heute morgen PC kurz gestartet um kurz ein paar PDFs auf USB-Stick zu laden. Beim Herunterfahren kam dieses Symbol beim Herunterfahrbutton von Win 7, dass es neue Updates gäbe und die beim Herunterfahren installiert werden (waren 9 Dateien). Das habe ich auch machen lassen und ging zur Arbeit. Heute, nach der Rückkehr von der Arbeit, PC hochgefahren und beim Start wurden die Updates "final" installiert.
Dann kam die übliche Passwortabfrage von Win7 beim Login und dann war ich schon drin. Beim Starten kurz etwas gelesen, dann macht es kurz "Ping", die normale Meldung: Adobe Flash Player Update vorhanden. Und dann direkt, 2-3 Sekunden nach dieser Meldung Alarmsignal, Avast schlägt an, eine Datei namens "IDriverT.exe" aus "C:\ProgramFiles(x86)\CommonFiles\InstallShield\Driver\11\Intel32" wurde als als "Win32:Rootkit-gen" erkannt und sofort in Quarantäne geschoben.

Kann es sein, dass Avast aufgrund der Updates ein Bestandteil von den neuen Dateien falsch erkannt und sofort als Rootkit identifiziert hat? Ist es etwas von dem Flash-Player Popup? Oder ist es tatsächlich irgendwas malignes?
Wie soll ich dem ganzen gegenüberstehen? Was soll ich weiteres/damit machen?

Kurze Infos:
Avast: Programmversion: 8.0.1497
Virendatenbankversion: 131115-0

System: Windows 7 Home Premium, SP 1, 64Bit,
Heute installierte Updates:

• Definition Update for Windows Defender - KB915597 (Definition 1.161.2195.0)
• Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2862152)
• Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2876331)
• Windows-Tool zum Entfernen bösartiger Software x64 - November 2013 (KB890830)
• Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2868725)
• Update für Windows 7 für x64-basierte Systeme (KB2893519)
• Kumulatives Sicherheitsupdate für ActiveX Killbits unter Windows 7 für x64-basierte Systeme (KB2900986)
• Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2875783)
• Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2868626)
• Kumulatives Sicherheitsupdate für Internet Explorer 10 unter Windows 7 Service Pack 1 für x64-basierte Systeme (KB2888505)

(Surfen tue ich übrigens mit Firefox, nicht IE! Nur so am Rande!)

Wäre toll, wenn mir jemand weiterhelfen könnte!

Noch eine kleine Exkurs-Frage: Wenn ich Flash-Player aktualisiere: Soll ich vorher immer prinzipiell die alte Flash-Player-Version perfekt deinstallieren bevor ich die neue Version installiere oder reicht es, wenn man es "drüber installiert"?

Einen schönen Freitag!

Hi,

sauber neu installieren ist immer besser. Hol die Datei mal aus der Quarantäne und lass sie bei virustotal.com scannen.

Hallo schrauber,

gerade über [Avast -> Verwaltung -> Viruscontainer -> (Rechtsklick auf IDriverT.exe) Aus Container Extrahieren] extrahiert und dann bei Virustotal hochgeladen!
Jetzt steht da, dass 0 von 46 Virenscannern (Avast gehört auch darunter) etwas erkannt hätten. Habe ich jetzt das ganze falsch extrahiert oder war es tatsächlich doch Fehlalarm? Bin zugegebenermassen verwirrt!

Zitat:

SHA256: c227850c133f29bb9ded91a26a22ae077fd69629cef35b67d305f016c4bdaa81
Dateiname: IDriverT.exe
Erkennungsrate: 0 / 46
Analyse-Datum: 2013-11-15 12:13:40 UTC ( vor 0 Minuten )

Edit: Jetzt schlägt sogar der Computereigene Avast nicht mehr auf diese Datei an! Wurde ggf. im Zusammenhang mit der Update-Nachricht von Adobe Flash-Player auf die IDriverT Datei von InstallShield zugegriffen und hat so aufgrund seines "Verhaltens" (Heuristik?) den Alarm ausgelöst?

Heuristischer Fehlalarm