News Vorsicht Avast-User: Bluescreen nach Reboot

Nero24

Administrator
Teammitglied
Mitglied seit
01.07.2000
Beiträge
24.058
Renomée
10.440
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
Seit heute laufen beim Autor dieser News die Drähte heiß! Zahlreiche Kunden und Leser melden sich, dass ihr Computer nicht mehr startet, nachdem er zuvor heruntergefahren oder rebootet wurde. Einige hatten dabei die letzten Windows-Updates eingespielt (die einen Reboot verlangen), daher war der erste Gedanke, dass eines der Windows-Updates fehlerhaft ist. Allerdings sind die Updates inzwischen bereits 2 Wochen alt und stammen vom <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1370985347">Juni-Patchday</a>. Wieso also die Probleme erst heute und nicht schon vor 2 Wochen?

Allen bisher betroffenen Anwendern gemein ist Windows 7 x64 sowie der Avast Free Virenscanner. Daher habe ich einen der betroffenen PCs analysiert:

<center><a href="http://www.planet3dnow.de/vbulletin/attachment.php?attachmentid=27756&stc=1&d=1372335000" target="_blank"><img src="http://www.planet3dnow.de/vbulletin/attachment.php?attachmentid=27756&stc=1&d=1372335000" width=" 550" border="0" alt=""></a></center>

Und tatsächlich: der Bluescreen PAGE_FAULT_IN_NONPAGED_AREA tritt in Kombination mit dem Systemtreiber aswSP.SYS auf, einem Treiber, der zum Avast Virenscanner gehört.

Das Unbequeme an der Sache ist, dass man nicht einmal mehr in den abgesicherten Modus kommt. Man muss eine Computerreparatur von DVD bemühen und dort die Systemwiederherstellung wählen; oder, falls der Computerschutz deaktiviert ist, aus der Konsole die aswsp.sys löschen. Nach geglückter Systemwiederherstellung habe ich sämtliche Windows-Updates des Juni-Patchdays einzeln durchprobiert, allerdings ist der Fehler bisher nicht wieder aufgetreten. Es ist also nicht die Schuld eines der MS-Updates.

Bei genauerer Analyse stellte sich dabei heraus, dass der aswSP.SYS Treiber nach der Systemwiederherstellung nun vom 09.05.2013 stammt. Der Treiber aus dem Bluescreen-Dump dagegen vom 24.06.2013. Ich habe daher ein manuelles Programmupdate von Avast angestoßen, um zu sehen, ob der Treiber aktualisiert wird. Wird er nicht, anscheinend hat Avast inzwischen bemerkt, dass mit dem Systemtreiber vom 24.06.2013 etwas nicht stimmt und das Update zurückgezogen.

<b>Aber: Es kann natürlich sein, dass sich ein Anwender das Update bereits unbemerkt "gezogen" hat. Da der Bluescreen nur beim Systemstart auftritt, tickt da womöglich bereits eine Zeitbombe, wenn der PC schon länger nicht mehr rebootet wurde, sondern womöglich nur in Standby versetzt wurde oder 24/7 an ist.</b>

Am leichtesten lässt sich überprüfen, ob man auf dieser "Bombe" sitzt, indem man sich das Datum des aswSP.SYS Treibers ansieht. Dazu die Konsole <i>cmd</i> starten, mit <i>cd\</i> ins Grundverzeichnis wechseln und dann mit dem Befehl <i>dir aswsp.sys /s</i> nach der Datei suchen:

<center><img src="http://www.planet3dnow.de/vbulletin/attachment.php?attachmentid=27757&stc=1&d=1372339426" alt="" border="0"></center>

Stammt sie vom 09.05.2013 oder einem anderen Tag, ist wohl alles ok und der PC kann gefahrenlos rebootet werden. Stammt sie jedoch vom 24.06.2013, sollte man es tunlichst vermeiden, den PC herunterzufahren oder neu zu starten; sonst kommt er womöglich nicht mehr hoch. In diesem Fall sicherheitshalber den Avast Virenscanner deinstallieren, ehe man den PC herunterfährt oder zumindest im Geräte-Manager mit aktivierter Option "Ausgeblendete Geräte anzeigen" den aswsp.sys deaktivieren, bis es eine fehlerbereinigte neuere Version gibt.

Bei Problem oder Fragen stehen natürlich das <a href="http://www.planet3dnow.de/vbulletin/index.php">Forum</a> oder die Kommentare dieser News zur Verfügung.
 
hm, bei mir ist es einmal der 9.05 und 2 mal der 26.06. beim desktop und 2 laptops. alles hute schon 2-3 mal neugestartet. noch ist nichts passiert :D
 
Oha, ich habe genau diese Kombination seit ein paar Tagen :-(.
 
Die 32Bit-Version des Selbstschutzmoduls vom 9.5 2013 meldet sich bei mir als version 8.0.1489.300.
Die 64Bit-Version ist bei mir vom 27.6.2013 mit Versionsnummer 8.0.1489.321.
Digitale signatur der 32Bit version vom 9.5, bei 64Bit vom 24.6.
Die 64er version ist 378.944 Bytes groß, die 32er so groß wie hier im Screenie.
 
Da ist doch echt die Frage, ob es nicht besser wäre, nur Security Essentials zu verwenden und auf den ganzen anderen Müll zu verzichten.

Scheint wohl so, als ob die Wahrscheinlichkeit, einen Virus zu bekommen geringer ist, als dass das Antivirenprogramm irgendeinen Blödsinn veranstaltet...
 
[3DC]Payne;4793188 schrieb:
Da ist doch echt die Frage, ob es nicht besser wäre, nur Security Essentials zu verwenden und auf den ganzen anderen Müll zu verzichten.

Laut Virustotal ist Security Essentials ein totaler Versager... in anderen Test scheidet er auch immer sehr schlecht ab (z. B. ct). Selbst bei Test der Virensignatur DB ist das Ergebnis bestenfalls gut und da schneiden eigendlich immer alle sehr gut ab.
 
Wenn ich mich recht entsinne, gab es beim MSE auch schon mal fehlerhafte Signaturen.
Außerdem ist mir dieses Programm zu schlüpfrig für Quälgeister.
 
Bleibt die Frage, ob der Treiber an sich das Problem ist oder nur in Kombination mit Win7. Ich hab als Supporter auch auf mehreren Kisten noch Avast drauf, aber alle davon nutzen WinXP. Bislang weiß ich nichts von solcherlei Problemen.

MfG Dalai
 
[3DC]Payne;4793188 schrieb:
Da ist doch echt die Frage, ob es nicht besser wäre, nur Security Essentials zu verwenden und auf den ganzen anderen Müll zu verzichten.

Scheint wohl so, als ob die Wahrscheinlichkeit, einen Virus zu bekommen geringer ist, als dass das Antivirenprogramm irgendeinen Blödsinn veranstaltet...
Erst gestern hatte ich den PC von einem User da, der sich den "Fake BKA-Virus" eingefangen hatte ("überweisen sie 100 EUR per Western Union nach X, dann schalten wir ihren PC wieder frei") - an den den Microsoft Security Essentials vorbei :P
 
Danke für die Warnung und den Artikel.

Habe hier WIn7 64bit und Avast Free.

Aber die aswSP.sys im SystemVerzeichnis ist vom 27.012.2012
Und geändert ist sie heute vor 6 Stunden

 
Zuletzt bearbeitet:
Meine ist vom 9.05., heute schon zwei Mal neugestartet. Mit der Windowswiederherstellung wär das so eine Sache auf nem Subnotebook ohne DVD-Laufwerk. Ich hoffe Avast wird mich nie enttäuschen denn bisher bin ich (fast) vollkommen überzeugt von dem Programm. Nur dieses komische Programmupdatergedönse, das irgendwann ungefragt bei nem Update mit installiert wurde, ließ mich einmal zweifeln.
 
meine ist wie bei Deniss 1x vom 09.05.2013 und 2x vom 27.06.2013. Musste heute auch schon mehrfach neu Starten und es ist Nix passiert.

Da hab ich wohl Glück gehabt!:)
 
^^ The same here....
avastpmska.png
 
im prinzip ist nur der letzte wichtig, da dieser sich im "system32\drivers"-ordner befindet...
also meiner ist vom 09.05.2013, hatte aber den rechner diese woche noch nicht an gehabt.
 
´Zum Glück benutze ich Avast nicht mehr. Hab ihn früher gemocht, aber seit der letzten Version war das Herunterladen von Dateien eine Qual, jede Datei mußte man bestätigen, in Ausnahmen zufügen usw.

Aber solche BSOD-Probs gabs auch bei anderen Herstellern schon, z.B. AVG, McAffee usw
 
Danke für die News und die Anleitung wie man das Problem analysieren kann...zum Glück triffts mich nicht. Mach seit eh und je Updates nur noch manuell, wohl in dem speziellen Fall auch besser so =)
 
26.06.2013 19:50 Uhr - 378.944 Bytes - Müsste eigentlich mal wieder neustarten, aber werde mich erstmal mit Standby begnügen, bis es weitere Infos gibt... *noahnung*
 
Erst gestern hatte ich den PC von einem User da, der sich den "Fake BKA-Virus" eingefangen hatte ("überweisen sie 100 EUR per Western Union nach X, dann schalten wir ihren PC wieder frei") - an den den Microsoft Security Essentials vorbei :P
War das der Windows 7 MSE
oder war es der Win 8 Windows Defender?

Ich mache gerade positive Erfahrungen mit dem Win 8 Windows Defender.
Und mit Win 8.1 kommt auch noch eine Heuristik mit dazu.

Unseren Kunden installieren wir jetzt schon im 4. Jahr GData drauf und waren lange sehr zufrieden.
Und als ob Reputation nicht wichtig wäre kackt der GData jetzt mit der 2014er Version so richtig ab.
Mal so richtig ins Klo gegriffen.
Hatten wir den Gdata damals eigentlich ausgesucht, weil der auch auf Netbooks noch einigermaßen Ressourcen überließ, kann man das jetzt richtig knicken.
 
Das ist echt der Hammer was AV Lösungen von heute für Resourcen verschwenden. Ich rate Leuten mit alten Rechnern, die zumindest etwas Verstand besitzen sogar die Nutzung von Virenscannern ab. Dem Rest empfehle ich einen neuen Rechner mit SSD.

So hält man auch die Wirtschaft in Schwung.

Bei mir auf der Arbeit habe ich darauf bestanden dass ich den AV abstellen durfte, da ansonsten das Kompilieren von SW für einen Mikrocontroller 20 mal so lange dauert (!).
 
Sicherheit oder Speed, das muß jeder für sich entscheiden.

Aber wer einen Haufen persönlicher Daten auf dem PC hat sollte nicht ganz ohne Sicherheit dastehen
 
Und wieso bin ich der einzige, der im Windows/system32/drivers Ordner eine Version von Dezember 2012 hat?
 
Also bei mir in der Familie laufen 3 Rechner mit aktuellen gepatchten Win7 x86 oder x64 und dem Avast Scanner mit der neuen bösen Datei, die booten alle ganz lieb und machen kein Probleme
 
drake127 schrieb:
If you already received the update, you should have aswSnx.sys file in your drivers directory (C:\Windows\System32\drivers) with MD5 hash 8C0800CDB501CFC1164B286A0478DC10 (there is also aswSnx.sys.sum file where you can find the hash). Valid for Windows x64.
Ausm Avast Forum
 
Danke für den Tipp.

Hab tatsächlich die aswSnx.sys in (C:\Windows\System32\drivers) .
Und in der aswSnx.sys.sum Datei (mit Texteditor öffnen) steht der genannte MD5 hash 8C0800CDB501CFC1164B286A0478DC10

Das bugfix update schon drauf
 
Zurück
Oben Unten