1-1 of 1 Viruses found

Name Version Detected since
Win32:Rootkit-gen [Rtk] AVKB 18.195 Apr-06-2008

Das ist die Virenwarnung die mir G-Data seit etwa einer Woche ausspuckt wenn ich die Datei alcwdm64.sys überprüfe. Sie befindet sich bei mir in dem Ordner Realtek AC97, hat also irgend etwas mit dem Sound zu tun.

Die Datei habe ich aber schon etliche Jahre auf meinem PC und ich vermute einen Fehlalarm. Der Kundenservice von G-Data hat mir bis jetzt noch nicht helfen können schließt aber einen Fehlalarm aus.

Hi,
lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

Gib bitte auch mal den kompletten Pfad der Datei an. In welchem Ordner liegt sie?

lg myrtille

Datei ALCWDM64.SYS empfangen 2008.05.17 14:25:02 (CET)
Status: Beendet

Ergebnis: 3/32 (9.38%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 Win32:Rootkit-gen
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 Win32:Rootkit-gen
Ikarus T3.1.1.26.0 2008.05.13 Virus.Win32.Rootkit
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.17 -
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
weitere Informationen
File size: 2939392 bytes
MD5...: 70e5c140c3b350eb0f3edf6b54aba938
SHA1..: 9df09f69045c60cdbaa402cd8d766f8c2cbbef5e
SHA256: c7cc0a02cd4544f64e6447779c37bcf567d06ca9cde6d4c70f7624a956630eb5
SHA512: e27b947e7adbb182f7096cbd756c22b398c0b502a4fa7a2d80f4a2e26596e27c
49995ce7d22fcea56cc165370826cf339a600470086ccfbd95c5d83fc39bbaa7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2f8010
timedatestamp.....: 0x42e5fd8d (Tue Jul 26 09:08:29 2005)
machinetype.......: 0x8664 (AMD64)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x114794 0x114800 6.35 8ec0e73f353500e3dc4155da7dc6e79c
CODE 0x116000 0x134 0x200 3.13 90a372e649aed40dbb31270e9018c11b
TEXT 0x117000 0xe98 0x1000 5.59 25c2a1ff965abf54be1a1bc810af72df
.rdata 0x118000 0x71450 0x71600 7.35 4e61a1d6bad59592364af60020b83a7e
.data 0x18a000 0x14a89a 0x12fa00 7.26 25763ef929b2be6ca789a16efd02355d
.pdata 0x2d5000 0x9fa8 0xa000 6.12 520448d97409acfed554a4b28a12b617
.CRT 0x2df000 0x8 0x200 0.06 719e7df620cab6c59cfbda165e7b04f1
PAGE 0x2e0000 0x76bc 0x7800 6.38 bf09e67cd97dcc621cdd792e7bf3d170
INIT 0x2e8000 0x9b8 0xa00 5.05 422589f03a23a86790f282fd9d398f8d
.rsrc 0x2e9000 0x4a0 0x600 2.89 6079d5a44191df3588dd9648df8a2ceb
.reloc 0x2ea000 0x4042 0x4200 3.84 efee484be3ac7e44c456419cedd3e4fc

( 3 imports )
> ntoskrnl.exe: KeSetEvent, KeAcquireSpinLockRaiseToDpc, ObfDereferenceObject, ZwClose, ZwReadFile, ZwCreateFile, RtlInitUnicodeString, KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, IoGetAttachedDeviceReference, RtlCompareUnicodeString, ExAllocatePoolWithTag, ObReferenceObjectByHandle, ExEventObjectType, IoIsWdmVersionAvailable, IofCompleteRequest, strstr, KeCancelTimer, KeReleaseSpinLock, KeSetTimerEx, ExSetTimerResolution, ExRegisterCallback, ExCreateCallback, KeInitializeDpc, KeInitializeTimerEx, RtlWriteRegistryValue, MmMapIoSpace, MmUnmapIoSpace, ExUnregisterCallback, PsTerminateSystemThread, KeReleaseMutex, KeWaitForMultipleObjects, KeInsertQueueDpc, IoCreateDevice, IoDeleteDevice, ObfReferenceObject, PoStartNextPowerIrp, PoSetPowerState, KeBugCheckEx, atoi, ExFreePool, RtlRaiseException, rand, __chkstk, ZwOpenKey, IoGetCurrentProcess, sprintf, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, ZwWriteFile, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, KeSetTimer, PsCreateSystemThread, KeSetPriorityThread, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeInitializeMutex, RtlCompareMemory, KeRemoveQueueDpc, KeClearEvent, RtlUnwindEx
> HAL.dll: KeStallExecutionProcessor
> portcls.sys: PcNewServiceGroup, PcNewInterruptSync, PcGetTimeInterval, PcInitializeAdapterDriver, PcDispatchIrp, PcAddAdapterDevice, PcRegisterAdapterPowerManagement, PcRegisterPhysicalConnection, PcNewResourceSublist, PcNewRegistryKey, PcNewPort, PcNewMiniport, PcRegisterSubdevice

( 0 exports )

Hi,
die Datei scheint legitim zu sein.

Die Erkennung der Datei stammt von Avast! (Die Avast!-Signaturen sind in denen von GData drinnen).
Ich würd dir daher empfeheln dich entweder mit einem Verdacht auf FP im Avastforum anzumelden und dich von den Leuten dort bzgl Avast-Erkennungen beraten zu lassen.
Oder die Datei direkt an Avast zu schicken:

Zitat:

Zitat von Avastforum

Bitte schicke die Datei an virus@avast.com mit der Bemerkung : False detection of virus data.
Die Datei kann nur im Viruscenter analysiert werden und dann mit in die Whitelist der Virensignatur aufgenommen werden.

Was hast du für einen Rechner? Hast du die Datei zufällig auch auf einer Treiber-CD, XP-Recover-CD? Wenn ja, vergleich mal die Datei mit der Datei auf deinem Rechner. Sind sie identisch sollte eigentlich kein Zweifel mehr bestehen, dass die Datei sauber ist.

lg myrtille

Habe die Datei zu Avast geschickt, leider hat mir keiner geantwortet.
Auf meiner Treiber-CD ist in der Tat alcwdm64.sys zu finden Ich frage mich nur, warum keiner etwas unternimmt um den Fehlalarm der, laut G-Data ja gar keiner ist, zu beseitigen. Denen hab ich die Datei auch schon ein paar mal zugeschickt.
Ob ich mir den gleichen Virenscanner noch einmal kaufe glaube ich eher nicht.

Hi,
lade bitte auch mal die Version von deiner Treiber-CD hoch, dann kann man sehen, ob die Datei auch als schädlich erkannt wird, oder ob die Datei auf deinem Rechner manipuliert wurde.
(Wenn die Datei auch als schädlich erkannt wird, könntest du nochmal versuchen dich mit dem Kundendienst in Verbindung zu setzen und darauf hinweisen, dass die Datei von einer TreiberCD stammt und dich außerdem noch mit den Herstellern des Treibers in Verbindung setzen und die darauf aufmerksam machen, dass ihr Treiber als schädlich erkannt wird. Vielleicht können die GData/Avast ja überzeugen.)

Avast! ist leider dafür bekannt etwas länger zu brauchen, was solche Anfragen angeht.


lg myrtille