eso64.exe gelöscht | AVAST hält sie für einen Virus

Schmetterfrosch

Hey,

vielleicht hilf dies hier jemandem, der seine eso5464.exe sucht:

Ich habe einen Desktop Link zur eso64.exe, der heute früh nicht mehr ansprechbar war.
Die verlinkte Datei wurde nicht mehr gefunden.
Ein Blick in den Ordner …\The Elder Scrolls Online\game\Client zeigt, die Datei ist nicht vorhanden, der Rest schon noch.

Ich erstelle wöchentlich ein lokales 1:1 Backup (Mirror), auch hier fehlt die exe.

Also denke ich an den Virenscanner. Ich nutze die kostenfreie Version von AVAST.
Im Quarantäne Folder liegt eine exe64.exe.
Voila.

Hinzugefügt am 9.11.18, also gestern Abend. Bedrohungsname: IDP.Generic
Zum Glück bietet Avast die Option, die Dateien wiederherzustellen oder einzusenden und hat sie nicht einfach gelöscht.

Nun könnte die Datei tatsächlich einen Virus beinhalten, aber ich gehen hier von einem Fehlalarm aus,
denn Avast hielt die exe schon einmal 2017 für eine Bedrohung.

Ich stelle die Datei wieder her, dass soll aber keine Empfehlung für Euch sein,
bedenkenlos gefundene Viren aus dem Quarantäne Folder wiederherzustellen und den Fund zu ignorieren.

Ggf. kann man die Datei mit einem zweiten Scanner prüfen.

NecroPhil666

Das erklärt so einiges...ich hatte dieses Problem öfter als ich noch Avast (free) nutzte. Die Verknüpfung war tot, .exe war weg...aber nur die .exe die ich auch auf dem Desktop verknüpft hatte. Zum Glück hab ich ne Kopie und konnte von da die .exe wieder kopieren. Auf die Idee das Avast das Ding als Virus ansieht kam ich nicht warum auch war ja nur hin und wieder nach Updates (nicht nach jedem) und ich dachte das ist irgendein Fehler in meinem System

...nunja seitdem ich Bitdefender nutze hab ich das Problem nicht mehr gehabt...danke für die Info

Shadow-Fighter

Kannst du bitte die Datei auf "Virustotal" hochladen und die Resultate hier posten?

Dank

Salling

Habe auch Avast,aber eine Upgrade Version für 2,95 oder so ähnlich und damit keine Probleme!
Kenne das aber noch von Vorvorgestern als man noch Avira Antivirus mit dem schönen Regenschirm nutzte.
Was war ich froh als die Installation von Win XP nur noch 30 Minuten dauerte,weil man wegen Avira alle paar Wochen das System neu aufsetzen musste weil keine einzige .exe Datei auf dem Rechner vorhanden war.

OwenDaring

Mal eben durch

gejagt. Ist natürlich unbedenklich. ʘ

Schmetterfrosch

Guten morgen,
heute landete die aktuelle eso64.exe bei mir erneut in der Quarantäne.

Wieder ein False Positive:
https://virustotal.com/de/file/7aaf406d52cd98874cbaa9a3dca6a0c598f10821944ca7aeeb74192ffebe2fd6/analysis/1543739636/

Arcon2825

Wäre es evtl. eine Idee, den ESO Ordner auf die Ausnahmeliste zu setzen, so dass er beim Scan ignoriert wird? Oder auch nur die Datei?
Auf die Dauer scheint es ja schon nervig zu sein.

OwenDaring

Es wäre eher 'ne Idee sich 'nen Virenscanner zu besorgen, der nicht so häufig daneben liegt.

Arcon2825

Naja, es gibt ja zwei Arten von Scans. Einerseits die Suche nach bekannten Viren, andererseits werden Programme auf auffälliges Verhalten hin untersucht:
IDP.Generic deutet eher auf Zweiteres hin.

Es waren ja bereits in der Vergangenheit Programmaufrufe und Frameworks in ESO enthalten, die irgendwas mit Was-klickst-Du-wo-Monetarisierung zu tun hatten.

So lange man nicht genau weiß, was Avast hier bemängelt, würde ich die Sau weder in die eine noch die andere Seite durchs Dorf treiben wollen.

OwenDaring

Arcon2825 schrieb: »

Naja, es gibt ja zwei Arten von Scans. Einerseits die Suche nach bekannten Viren, andererseits werden Programme auf auffälliges Verhalten hin untersucht:
IDP.Generic deutet eher auf Zweiteres hin.

Es waren ja bereits in der Vergangenheit Programmaufrufe und Frameworks in ESO enthalten, die irgendwas mit Was-klickst-Du-wo-Monetarisierung zu tun hatten.

So lange man nicht genau weiß, was Avast hier bemängelt, würde ich die Sau weder in die eine noch die andere Seite durchs Dorf treiben wollen.

Da bringst du was durcheinander. Diese Abfragen waren ausgegliedert in der Library RedShell.dll enthalten. Deswegen kann ESO nicht als „was_auch_immer“ eingestuft werden.

Wenn Avast als Desktop-Version einen falschen Alarm ausgibt & unter Virustotal nicht, dann liegt mMn an den Einstellungen der Desktop-Version, die dann augenscheinlich zu streng eingestellt sind.

UlfricWinterfell

Mach ne ausnahme regel und alles ist gut

Bin mit avast sehr zufrieden

Arcon2825

OwenDaring schrieb: »

show previous quotes

Arcon2825 schrieb: »

Naja, es gibt ja zwei Arten von Scans. Einerseits die Suche nach bekannten Viren, andererseits werden Programme auf auffälliges Verhalten hin untersucht:
IDP.Generic deutet eher auf Zweiteres hin.

Es waren ja bereits in der Vergangenheit Programmaufrufe und Frameworks in ESO enthalten, die irgendwas mit Was-klickst-Du-wo-Monetarisierung zu tun hatten.

So lange man nicht genau weiß, was Avast hier bemängelt, würde ich die Sau weder in die eine noch die andere Seite durchs Dorf treiben wollen.

Da bringst du was durcheinander. Diese Abfragen waren ausgegliedert in der Library RedShell.dll enthalten. Deswegen kann ESO nicht als „was_auch_immer“ eingestuft werden.

Wenn Avast als Desktop-Version einen falschen Alarm ausgibt & unter Virustotal nicht, dann liegt mMn an den Einstellungen der Desktop-Version, die dann augenscheinlich zu streng eingestellt sind.

Du hast Recht, ich hätte nicht nur das gewählte Beispiel benennen sollen.

Aber es gibt durchaus noch andere Möglichkeiten, die ein Virenscanner als „Verdächtig“ einstufen könnte, beispielsweise eine Anti-Cheat Engine, die nebenher laufende Prozesse analysiert usw.

Das bedeutet nicht, dass ich ZoS unterstelle, in der eso64.exe wäre etwas faul. Sondern ich wollte lediglich darauf hinweisen, dass manche Programmabläufe für einen Virenscanner verdächtig erscheinen können.

Schmetterfrosch

Ich halte es weder für sinnvoll, die Datei noch den Ordner zu whitelisten.

So oft kommt der Fehlalarm nicht vor und das whitelisten würde nur ein Sicherheitloch öffnen.

Das die heuristischen Suchen ggf. zu Fehlalarm neigen ist bekannt und ganz sicher kein Grund für ein überzogenes Urteil wie "besorge für einen anderen Virenscanner"


Ich wollte nur diesen Betrag nur andere User sensibilisieren, was der Grund sein kann,
wenn die exe wieder verschwunden ist.

Growlf

AVAST Free gibt eine Fehlermeldung als Fenster aus, dort läßt sich die .exe auch als Ausnahme einstellen. Alternativ unter Schutz > Viruscontainer wiederherstellen.

OwenDaring

Schmetterfrosch schrieb: »

Ich halte es weder für sinnvoll, die Datei noch den Ordner zu white listen.

So oft kommt der Fehlalarm nicht vor und das white listen würde nur ein Sicherheitsloch öffnen.

Das die heuristischen Suchen ggf. zu Fehlalarm neigen ist bekannt und ganz sicher kein Grund für ein überzogenes Urteil wie "besorge für einen anderen Virenscanner"


Ich wollte nur diesen Betrag nur andere User sensibilisieren, was der Grund sein kann,
wenn die exe wieder verschwunden ist.

Die Frage ist doch eher: „Warum erzeugt die Desktop-Version einen falschen Alarm, die Version bei VirusTotal jedoch nicht?“

Kann evtl. an der Konfiguration deiner Desktop-Version liegen. Aber ja, du hast Recht… solche Dinge sollten erwähnt werden, damit das Rad nicht dauernd neu erfunden werden muss.

Schmetterfrosch

OwenDaring schrieb: »

show previous quotes

Schmetterfrosch schrieb: »

Ich halte es weder für sinnvoll, die Datei noch den Ordner zu white listen.

So oft kommt der Fehlalarm nicht vor und das white listen würde nur ein Sicherheitsloch öffnen.

Das die heuristischen Suchen ggf. zu Fehlalarm neigen ist bekannt und ganz sicher kein Grund für ein überzogenes Urteil wie "besorge für einen anderen Virenscanner"


Ich wollte nur diesen Betrag nur andere User sensibilisieren, was der Grund sein kann,
wenn die exe wieder verschwunden ist.

Die Frage ist doch eher: „Warum erzeugt die Desktop-Version einen falschen Alarm, die Version bei VirusTotal jedoch nicht?“

Kann evtl. an der Konfiguration deiner Desktop-Version liegen. Aber ja, du hast Recht… solche Dinge sollten erwähnt werden, damit das Rad nicht dauernd neu erfunden werden muss.

Ähm .. nö. Das war und ist nicht die Fragestellung dieses Threads.

Dessen Intention hatte ich im ersten und in dem von Dir zitierten Beitrag glaube ich klargestellt.

Mein Thread richtete sich an User, deren Exe verschwunden ist!
Und die nicht in Panik verfallen sollen oder komische Dinge mit Ihrem PC ausprobieren,
wie z.B. stundenlang Eso reparieren oder sogar den Rechner neu installieren.
Diese sollten eine Lösung für Ihre Problem bekommen!

Und einen Anregung, was es sein könnte, wenn sie einen anderen Virenscanner haben aber auf ein ähnlich gelagertes Problem mit "verschwundenen Dateien" stoßen.

Deine Frage „Warum erzeugt die Desktop-Version einen falschen Alarm, die Version bei VirusTotal jedoch nicht?“,
ist eher etwas für den Adminstammtisch und vielleicht einen anderen Thread.

Aber um Deine Frage zu beantworten:
Keine Ahnung. Ich weiß nicht, mit welchen Einstellungen die Virenscanner bei Virustotal betrieben werden.
Wenn es auch sonst niemand hier genau weiß, werden wir den Punkt auch kaum abschließend klären können und in Vermutungen schwelgen.

Jedenfalls verwendet lokal Avast Behavior Detection und das Modul ist in meiner Version aktiv. Das ist der Defaultzustand.

Wenn ich eine Vermutung anstellen müsste, würde ich denken, dass genau diese Funktion bei dem Online Virenscanner nicht gegeben ist, da die Exe dort weder läuft, noch in einer Sandbox ausgeführt wird.
Und das diese auf dem Desktop bei mir angeschlagen hat. Leider gibt es keine Logs die das bestätigen.

Ich würde somit damit deiner Vermutung zustimmen, dass dies der Unterschied zwischen "meiner" Desktop-Version und dem Onlinescanner ist.

Wie dem auch sei. Ich halte die Ursache für die meisten User für irrelevant, da es nicht im Sinne des Erfinders ist,
wenn die User anfangen mit tollen Tipps ihren Virenscanner so zu "erziehen", dass der nicht mehr anschlägt.

*Ironie on
Denn es liegt ja immer am User der seinen PC und Virenscanner nicht bedienen kann.

Deaktiviere doch diese komische Komponente "Verhaltensschutz", dann ist das Problem weg.
Oh.. Avast hat eine Einstellung für "Wirkungsgrad" in vier Stufen, ändere den Defaultwert von Mittel (Default) auf "Niedrig"
dann bekommst Du weniger Fehlalarme.
Installiere doch einen anderen Virenscanner, der richtig scannt und weniger Viren meldet. Ist ja auch blöd wenn der anspringt.
Und whiteliste doch diese Ordner.
Klasse Tipps, die bestimmt zu einer höheren Sicherheit führen.
*ironie off


Wenn Du Interesse hast und das Thema weiter recherchieren möchtest, kann ich Dir per PN meine Avast Konfig senden.
Dann kannst Du die mit Virustotal vergleichen.