AVG false positive? Cryptic.AXI

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Duesenberg J
  • Registratie: April 2006
  • Laatst online: 07:18
Gisteravond vond ik mijn computer terug met een melding van AVG. AVG beweert dat het een trojan heeft gedetecteerd. De gegevens in de waarschuwing waren als volgt:

File name: F:\Documents and Setttings\...\Menu Start\Programma's\Opstarten\gpupdate.exe
Threat name: Trojan horse Cryptic.AXI
detected on open
Process name: C:\WINDOWS\system32\wbem\wmiprvse.exe
Process ID: iets in de 1000

Zowel de file als het proces lijken mij te behoren tot windows. Zoekacties op internet en de AVG database leveren niets over de betreffende dreiging op, en de processen worden altijd als windows-gerelateerd genoemd. Omdat ik al eens eerder een corrupt kritiek windows bestand heb gehad door een AVG false positive, heb ik op ignore geklikt en de computer uitgezet.
Deze middag zet ik mijn computer aan, en wederom verschijnt deze melding, van dezelfde trojan, in dezelfde file. Het bijbehorende proces is deze keer echter F:\WINDOWS\explorer.exe (process ID 312)
Wederom lijkt het hier te gaan om doodnormale windows bestanden en processen, en nog steeds levert de naam van de trojan niets op.

Aanvullende informatie:
AVG free, version 8.5.448
Virus DB: 271.1.1/3190
Last update: 11-10-10, 15:04

Systeem: Windows XP professional SP3
Het systeem is op 2 schijven geïnstalleerd, C en D/F (D in het ene systeem, F in het andere. vaag, maarja)

Is het mogelijk met deze informatie te bepalen of het hier daadwerkelijk om een trojan gaat, of dat het wederom een false positive is. En in het laatste geval, wat de beste handelswijze is. (zou op 'heal' klikken mijn systeem onstabiel maken bijvoorbeeld)

Acties:
  • 0 Henk 'm!

  • Nikeo
  • Registratie: April 2007
  • Laatst online: 18:35

Nikeo

Jawelles

Om te beginnen lijkt het me niet dat windows bestanden in je Mijn documenten folder staan.
Het staat op normale computers hier: C:\Windows\System32\\gpupdate.exe

Waneer is het bestand gemaakt?

[ Voor 7% gewijzigd door Nikeo op 11-10-2010 16:09 ]


Acties:
  • 0 Henk 'm!

  • remco_k
  • Registratie: April 2002
  • Laatst online: 20:12

remco_k

een cassettebandje was genoeg

Duesenberg J schreef op maandag 11 oktober 2010 @ 16:04:
File name: F:\Documents and Setttings\...\Menu Start\Programma's\Opstarten\gpupdate.exe
Een executable bestand die in het Opstarten mapje staat?
Dat is wat mij betreft al reden genoeg om 'm te verdenken, nog los van een virus scanner die erop aanslaat.
In het Opstarten mapje staan wat mij betreft alleen snelkoppelingen naar executables in andere paden en nooit direct een executable. Maargoed, uitzonderingen daargelaten natuurlijk. Het kan namelijk wel gewoon...

[ Voor 10% gewijzigd door remco_k op 11-10-2010 16:11 ]

Alles kan stuk.


Acties:
  • 0 Henk 'm!

  • Gammo
  • Registratie: Oktober 2010
  • Niet online
Wat zij zeggen. ^^

Het is een veelvoorkomende tactiek van malware om bestandsnamen van legitieme (Windows-)bestanden te gebruiken. Zo raken mensen verward en weerhoud je ze er soms van om het bestand te verwijderen.

Ik ben de infectie zelf ook al een keer tegenkomen trouwens.

Je kan AVG het bestand gewoon laten verwijderen.

Mocht je je daardoor zekerder voelen, dan kan je het bestanden even laten scannen op een dienst als VirusTotal of VirSCAN, als je wilt. Dan zul je zien dater er meerdere antivirusprogramma's zijn die de infectie detecteren, en niet alleen AVG. :)

Acties:
  • 0 Henk 'm!

  • Duesenberg J
  • Registratie: April 2006
  • Laatst online: 07:18
OK, weer wat geleerd.

Heb even in de betreffende folder gekeken, en toen sloeg AVG weer alarm. Heb op remove infection geklikt, en AVG heeft het bestand nu naar de virus vault verplaatst. Heb de virus vault vervolgens geleegd.
Een executable bestand die in het Opstarten mapje staat?
Dat is wat mij betreft al reden genoeg om 'm te verdenken, nog los van een virus scanner die erop aanslaat
staat genoteerd.
bedankt!

edit:
Is het trouwens niet vreemd dat de AVG database niets vindt als ik zoek op de naam van de infectie? Of is die database gewoon zó incompleet dat het eerder regel dan uitzondering is?

[ Voor 17% gewijzigd door Duesenberg J op 11-10-2010 16:50 ]


Acties:
  • 0 Henk 'm!

  • remco_k
  • Registratie: April 2002
  • Laatst online: 20:12

remco_k

een cassettebandje was genoeg

Duesenberg J schreef op maandag 11 oktober 2010 @ 16:48:
edit:
Is het trouwens niet vreemd dat de AVG database niets vindt als ik zoek op de naam van de infectie? Of is die database gewoon zó incompleet dat het eerder regel dan uitzondering is?
Zoeken op de naam van de infectie levert geen gevaar op. Dus waarom zou AVG (of welke andere scanner) daar op aan moeten slaan?
Dat zou het oplossen van het mogelijke probleem alleen maar onmogelijk maken.
edit: owww... de post hieronder maakt het duidelijker. Laat maar. :+

Je bent er nog niet trouwens. Dat bestand is nu weg uit dat Opstarten mapje. Maar nu moet je je gaan afvragen hoe het daar kwam... Dat heeft doorgaans ook een oorzaak die het onderzoeken waard is - namelijk dat dat ook door een virus/malware/hijackware/blabla gedaan kan zijn die -niet- door AVG werd herkend.

[ Voor 4% gewijzigd door remco_k op 11-10-2010 21:28 ]

Alles kan stuk.


Acties:
  • 0 Henk 'm!

  • PeterSelie
  • Registratie: December 2002
  • Laatst online: 07-07 15:03
remco_k schreef op maandag 11 oktober 2010 @ 21:05:
[...]

Zoeken op de naam van de infectie levert geen gevaar op. Dus waarom zou AVG (of welke andere scanner) daar op aan moeten slaan?
Dat zou het oplossen van het mogelijke probleem alleen maar onmogelijk maken.
Hij doelt op zoeken binnen de database die AVG zelf bijhoudt, zoeken op de naam binnen de database van AVG zelf geeft over het algemeen informatie weer met betrekking tot de herkomst en effecten van de infectie.

[ Voor 5% gewijzigd door PeterSelie op 11-10-2010 21:10 ]

Pagina: 1