AVG false positive wintrust.dll

Jep, dit probleem heb ik hier nu ook op meerdere machines.
Met een andere virusscanner heb ik tot nu toe geen virus gevonden.

Gek genoeg lijkt het alsof het door windows update komt.
Ik had bij een PC die wat dagen uit staat eerst de netwerkkabel eruit genomen.
Die starte normaal op. AVG update uitgeschakeld en windows update gestart.
Vanaf dat moment ook op die PC gezeik...

De machines hebben allemaal win XP en AVG versie 9

[ Voor 6% gewijzigd door Proxxima op 14-03-2013 09:35 ]

Dit probleem heb ik hier ook inderdaad tot nu toe alleen windows XP en AVG 9
Virustotal.com geeft 1/45 (alleen AVG ziet het dus als virus)

Op dit moment ondervind ik dit probleem ook op mijn pc met windows XP. Bij mij staat gelukkig de functie automatisch verwijderen uit, waardoor ik zelf moet kiezen of ik het bestand wilt verwijderen. Nu heb ik het bestand in de uitzonderingen gezet, waardoor ik de melding niet meer krijg. Kan ik nu nog wel mijn pc veilig opnieuw opstarten?

AVG heeft een update uitgebracht. Hopelijk is het hiermee opgelost. De medingen zijn in elkgeval weg.

Maar de BSOD's die sommige systemen nu hebben is daar niet mee opgelost. Mooi product dat AVG

Ik had AVG 2012 er op staan en wilde die vervangen voor 2013, maar 2013 krijg ik niet geinstalleerd op mijn systeem, ook niet na alle opties op de website van AVG te hebben geprobeerd.

AVG kan er niet mee omgaan dat mijn user-files op de D-schijf staan en het systeem op de C-schijf.

Sinds die tijd maar Microsoft Security Essentials geinstalleerd.

En ik was echt jarenlang een voorstander van AVG...

[ Voor 7% gewijzigd door roches op 14-03-2013 16:00 ]

Microsoft Security Essentials is meuk: https://www.security.nl/a...als_slechtste_getest.html

Mwah, zo'n meuk is het nou ook weer niet. Hij is alleen een heeeel stuk minder aggressief en dus minder false positives. En dus ook minder dit soort geintjes. Het is maar wat je meuk noemt.

s.lenders schreef op donderdag 14 maart 2013 @ 16:01:
Microsoft Security Essentials is meuk: https://www.security.nl/a...als_slechtste_getest.html

En dan hier de gefundeerde reactie van Microsoft op jou meuk-verhaal:
https://www.security.nl/a..._Security_Essentials.html
Hetzelfde verhaal als de vorige poster, maar dan voor jouw speciaal in het nederlands.

[ Voor 9% gewijzigd door roches op 14-03-2013 16:12 ]

Tja ze kunnen veel zeggen maar ik heb toch al verschillende problemen met deze scanner gehad de laatste maanden. Gewoon besmette machines waar MSE zich niets van aantrekt.

s.lenders schreef op donderdag 14 maart 2013 @ 16:11:
Tja ze kunnen veel zeggen maar ik heb toch al verschillende problemen met deze scanner gehad de laatste maanden. Gewoon besmette machines waar MSE zich niets van aantrekt.

We zijn niet allemaal bezig de pr0n-sites af te struinen.

Moet je mij niet voor aankijken maar die gebruikers/klanten

Alle virusscanners zijn meuk!

Wanneer je actieve landing pages van bijv. BlackHole bekijkt dan zie je vaak voor zowel exploits als malware een detectie van 4/45 virusscanners ofzo. Ook al is full undetectable malware (FUD) malware ook geen uitzondering, zeker met wat alternatievere exploit kits.

Ook al is het grootste gedeelte van de malware gewoon afkomstig uit speciale build kits dan als nog falen virusscanners bij het detecteren.

Beste oplossing is patchen, geen warez en gezond verstand. En daar bovenop kan av sommige stukken malware eruit halen.

photofreak,

Heb jij echt alle antivirus- en anti-malware programma's al eens getest tegen malware die via exploits wordt geïnstalleerd?
FUD staat voor Fear, Uncertainty and Doubt.

Wat betreft patchen en geen troep installeren heb je wel gelijk.

Verwijderd schreef op vrijdag 15 maart 2013 @ 01:57:
photofreak,

Heb jij echt alle antivirus- en anti-malware programma's al eens getest tegen malware die via exploits wordt geïnstalleerd?
FUD staat voor Fear, Uncertainty and Doubt.

Wat betreft patchen en geen troep installeren heb je wel gelijk.

zomaar, FUD betekent toch echt in termen van malware: Fully UnDetectable

oke hierbij een voorbeeldje van een pdf exploit die ik gisteren tegenkwam op een Impact Exploit Kit landing page: link

Verder werkt ook een redelijk deel van de av boeren met signatures.
Neem een bekend stukje malware met 34/45 detectie, verander met vim 1 char in een string en detectie is naar 20/45. Om even duidelijk te zijn, malware doet het dan gewoon nog en ook bijv. McAfee wordt zo gebypassed.

Als je nog meer virustotal scans wilt zien met redelijke av-bypass: http://malware.dontneedcoffee.com/

photofreak,

Virustotal toont alleen de on-demand detectiecapaciteit van die scanners. Veel anti-virus/anti-malware programma's maken gebruik van meer technieken om malware te detecteren en blokkeren. Het bewuste pdf bestand op zich zal 't systeem niet infecteren, maar iets proberen te downloaden en uit te voeren. Dat wat gedownload wordt (payload) zal een heel ander resultaat geven op virustotal en dan nog kunnen programma's die dat op virustotal niet detecteren in staat zijn om infectie van het systeem te voorkomen.

Natuurlijk zijn er ook programma's die alleen maar afhankelijk zijn van signatures, en dan moet je maar hopen dat de malware aan de hand van de signatures wordt gedetecteerd.

De enige juiste manier om de verschillende anti-virus en anti-malware programma's te testen en te kunnen vergelijken is een test waarbij wordt geprobeerd het systeem te infecteren op dezelfde manier zoals dat dagelijks in de praktijk gebeurt.

@ zomaar

Naar mijn zeggen is het al te laat als het stukje malware al runt
En natuurlijk weet ik ook dat de meeste exploits gewoon als dropper functioneren, maar dan als nog biedt AV geen garantie.

photofreak,

Ik heb het pdf bestand nogmaals op VT laten analyseren (zie bestandsnaam in VT resultaat) en de detectie werd er niet veel beter op. Als ik er tijd voor heb zal ik er dit weekend eens mee spelen en kijken of HIPS of een andere techniek bescherming biedt zonder specifiek product X of Y aan te prijzen.