Windows defender vind trojan andere scanners niet.

vrijdag 22 maart 2019 11:36

Acties:

Topicstarter

Beste tweakers,

ik heb een windows 10 laptop die ik voor allerlei doeleinden gebruik. Zo gebruik ik deze ook voor het scannen van autos en het programmeren van extras op de autos.

echter kreeg ik laatst van windows defender een melding dat een bedreiging was aangetroffen. Het gaat om een trojan die in mijn software zou zitten voor het uitlezen van autos.

het gaat om win32/occamy.c
file: C:\Ross-Tech\VCDS\VCDS.exe

ik heb daarna direct malwarebytes binnengehaald en een scan laten doen, het maakt niet uit hoe veel scans ik doe met malwarebytes er wordt geen dreiging gevonden.

Daarna avg geprobeerd, weer geen dreigingen.

Ten slotte zelfs nog norton anti virus geprobeerd en weer geen dreigingen.

Mijn vraag is dan ook, is de melding van microsoft een valse melding? of moet ik toch echt stappen ondernemen? ik merk geen verschil in prestatie en kan ook geen vreemde activiteiten waarnemen in taakbeheer.

vrijdag 22 maart 2019 11:39

Acties:

iCore

Dat is dus een valse melding. Niet zo raar aangezien Windows Microsoft

Defender nogal

is. (edit: vind ik, is geen feit)

Scans van 3 verschillende virusscanners lijkt me wel genoeg. En anders kan je de melding even googlen. Of het bestand uploaden naar VirusTotal

[ Voor 22% gewijzigd door iCore op 22-03-2019 16:24 ]

Don't let perfect be the enemy of good.

vrijdag 22 maart 2019 11:40

Acties:

Room42

Heb je tijdens de scans met die andere scanners wel de defender uitgeschakeld? Anders hebben ze wellicht gewoon geen toegang gekregen tot het bestand.

Wat je kan doen is het bestand eens uploaden naar virustotal.com, dan wordt het door heel veel scanners gehaald.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 22 maart 2019 11:47

Acties:

Hackus

Lifting Rusty Iron !

ronald92 schreef op vrijdag 22 maart 2019 @ 11:36:
Beste tweakers,

ik heb een windows 10 laptop die ik voor allerlei doeleinden gebruik. Zo gebruik ik deze ook voor het scannen van autos en het programmeren van extras op de autos.

echter kreeg ik laatst van windows defender een melding dat een bedreiging was aangetroffen. Het gaat om een trojan die in mijn software zou zitten voor het uitlezen van autos.

het gaat om win32/occamy.c
file: C:\Ross-Tech\VCDS\VCDS.exe

ik heb daarna direct malwarebytes binnengehaald en een scan laten doen, het maakt niet uit hoe veel scans ik doe met malwarebytes er wordt geen dreiging gevonden.

Daarna avg geprobeerd, weer geen dreigingen.

Ten slotte zelfs nog norton anti virus geprobeerd en weer geen dreigingen.

Mijn vraag is dan ook, is de melding van microsoft een valse melding? of moet ik toch echt stappen ondernemen? ik merk geen verschil in prestatie en kan ook geen vreemde activiteiten waarnemen in taakbeheer.

Defender heeft het waarschijnlijk in 'quarantaine' gezet

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

vrijdag 22 maart 2019 12:00

Acties:

FunFair

iCore schreef op vrijdag 22 maart 2019 @ 11:39:
Dat is dus een valse melding. Niet zo raar aangezien Windows Microsoft Defender nogal is.

Scans van 3 verschillende virusscanners lijkt me wel genoeg. En anders kan je de melding even googlen. Of het bestand uploaden naar VirusTotal

Typ niet zo uit je nek. Windows Defender staat op de 6e plek als je sorteert op protection.
zie: https://www.av-test.org/en/antivirus/home-windows/

Het is een prima virusscanner voor de basis. Dat die een keer een false positive aanmerkt is ook niet zo bijzonder. Dat doen de betaalde antivirussen net zo goed.

vrijdag 22 maart 2019 12:10

Acties:

iCore

FunFair schreef op vrijdag 22 maart 2019 @ 12:00:
[...]

Typ niet zo uit je nek. Windows Defender staat op de 6e plek als je sorteert op protection.
zie: https://www.av-test.org/en/antivirus/home-windows/

He he, zo'n agressieve ''toon''' hoeft niet hoor. En 1 test zegt ook niet alles he. (Vaak genoeg gezien dat Windows Defender niks tegenhoud bij bepaalde testen) bijvooreeld, laatst bij een vriend: Paar dikke Virussen (cracked games volgensmij

) Windows Defender: Doet niks, niks waarschuwing, was al lang aanwezig, Ik download Avast (Premier, heb een licentie) en Malwarebytes, die halen er 7 (echte) virussen uit...
(Btw, het is niet 6de plek maar 6/6. toch?)

Dat die een keer een false positive aanmerkt is ook niet zo bijzonder. Dat doen de betaalde antivirussen net zo goed.

In de AV test die jij linkte had ie toch meer false positives, dan de ''Industry average''. Dus hij geeft wel degelijk meer fals positives dan de avarge virusscanner.

[ Voor 18% gewijzigd door iCore op 22-03-2019 12:17 ]

Don't let perfect be the enemy of good.

vrijdag 22 maart 2019 12:10

Acties:

ronald92

Topicstarter

Hackus schreef op vrijdag 22 maart 2019 @ 11:47:
[...]

Defender heeft het waarschijnlijk in 'quarantaine' gezet

Nee want daar heb ik hem handmatig uitgehaald en aan uitzonderingen toegevoegd want moest net een auto scannen toen het gebeurde

vrijdag 22 maart 2019 12:22

Acties:

Croga

The Unreasonable Man

iCore schreef op vrijdag 22 maart 2019 @ 12:10:
He he, zo'n agressieve ''toon''' hoeft niet hoor. En 1 test zegt ook niet alles he. (Vaak genoeg gezien dat Windows Defender niks tegenhoud bij bepaalde testen) bijvooreeld, laatst bij een vriend: Paar dikke Virussen (cracked games volgensmij ) Windows Defender: Doet niks, niks waarschuwing, was al lang aanwezig, Ik download Avast (Premier, heb een licentie) en Malwarebytes, die halen er 7 (echte) virussen uit...
(Btw, het is niet 6de plek maar 6/6. toch?)

Dan wil ik die tests van je wel eens zien. Alle tests die de afgelopen jaren uit komen stellen dat Windows Defender de beste balans tussen beveiliging en performance geeft. Met nagenoeg 100% beveiliging bij een minimale performance impact.

De gelinkte test zegt dat de beveiliging in 2 van de 4 tests 100% is en in 2 van de 4 tests 99.9%.

In de AV test die jij linkte had ie toch meer false positives, dan de ''Industry average''. Dus hij geeft wel degelijk meer fals positives dan de avarge virusscanner.

Nope. Ze zeggen dat ze 1 periode meer dan gemiddeld, 1 periode minder dan gemiddeld en gemiddeld over die perioden zo'n 66% van gemiddeld. Dus nee, ook niet meer false positives dan gemiddeld.

vrijdag 22 maart 2019 13:21

Acties:

Hackus

Lifting Rusty Iron !

@iCore Windows Defender en Microsoft Sec Es. zijn prima. MWB erbij of iets dergelijks en je bent prima beschermt. Voordeel is dat het gratis is, en meegeleverd en te gebruiken met je (legale) OS.

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

vrijdag 22 maart 2019 14:22

Acties:

TheVMaster

Moderator WOS

iCore schreef op Friday 22 March 2019 @ 11:39:
Dat is dus een valse melding. Niet zo raar aangezien Windows Microsoft Defender nogal is.

Scans van 3 verschillende virusscanners lijkt me wel genoeg. En anders kan je de melding even googlen. Of het bestand uploaden naar VirusTotal

Defender is zeer zeker niet

Weet niet onder welke steen jij leeft de laatste jaren, maar met Defender in Windows 10 is niets mis.

vrijdag 22 maart 2019 15:44

Acties:

iCore

@JackSparrow @Hackus Ik heb anders toch hele andere ervaringen (Ja, gewoon in 2018/2019. Niet in 2008/2009) Maar in de AV test (en andere, soms vage testen) scoort die goed. Dus het zal wel

Don't let perfect be the enemy of good.

vrijdag 22 maart 2019 15:48

Acties:

Hackus

Lifting Rusty Iron !

iCore schreef op vrijdag 22 maart 2019 @ 15:44:
@JackSparrow @Hackus Ik heb anders toch hele andere ervaringen (Ja, gewoon in 2018/2019. Niet in 2008/2009) Maar in de AV test (en andere, soms vage testen) scoort die goed. Dus het zal wel

Je moet altijd 'oppassen' waar je wat weghaalt, en dat eerst scannen. Er zijn natuurlijk altijd andere wegen om je systeem te beschermen, maar dan neemt niet weg dat eerder genoemde prima zijn. oa Firewall van Zonealarm of Comodo en nog veel meer mogelijkheden.

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

vrijdag 22 maart 2019 16:01

Acties:

SuBBaSS

-has Ryzen

iCore schreef op vrijdag 22 maart 2019 @ 12:10:
[...]

He he, zo'n agressieve ''toon''' hoeft niet hoor. En 1 test zegt ook niet alles he. (Vaak genoeg gezien dat Windows Defender niks tegenhoud bij bepaalde testen) bijvooreeld, laatst bij een vriend: Paar dikke Virussen (cracked games volgensmij ) Windows Defender: Doet niks, niks waarschuwing, was al lang aanwezig, Ik download Avast (Premier, heb een licentie) en Malwarebytes, die halen er 7 (echte) virussen uit...
(Btw, het is niet 6de plek maar 6/6. toch?)

[...]

In de AV test die jij linkte had ie toch meer false positives, dan de ''Industry average''. Dus hij geeft wel degelijk meer fals positives dan de avarge virusscanner.

"Cracked games" en 'echte virussen'.
In de regel zijn die aangepaste game-files (waar de 'crack' op berust) geen 'echte virussen' maar juist false positives.
En ja, daar gaat defender wel van over z'n theewater ja. Maar liever wat meer false positives dan detectie die meer doorlaat.

Daarnaast, malwarebytes doet niets met virussen (het is geen anti-virus), dus er valt wel wat op je punten aan te merken.

Ook hier geen issues met defender. Zo nu en dan wel scannen met een andere scanner + MBAM en dat gaat al jaren prima.

vrijdag 22 maart 2019 16:12

Acties:

iCore

@SuBBaSS Nee ik bedoel illegaal gedownloade games (Nintendo only games, die uiteraard niet werken op pc) en dus uiteraard ook niks deden. Had ie zomaar ergens van het internet gedownload. Ook op VirusTotal getest, de meeste virusscanners gaven aan dat het een positive was.

En met Malwarebytes bedoelde ik hun Adware scanner. (Sorry, weinig tijd om goed uit te typen)

En voor een onvoorzichtige (verstandloze) vriend is Windows Defender niet genoeg. Voor mij was Windows Defender ook genoeg, maar ja wij hebben gezond verstand (toch?

)

Don't let perfect be the enemy of good.

vrijdag 22 maart 2019 16:32

Acties:

TheVMaster

Moderator WOS

iCore schreef op Friday 22 March 2019 @ 15:44:
@JackSparrow @Hackus Ik heb anders toch hele andere ervaringen (Ja, gewoon in 2018/2019. Niet in 2008/2009) Maar in de AV test (en andere, soms vage testen) scoort die goed. Dus het zal wel

Maar goed, in 2019 is (in ieder geval in een zakelijke omgeving) een 'eenvoudige' virusscanner niet meer voldoende. Daar zul je een ATP oplossing aan toe moeten voegen, wil je een beetje zeker weten dat je geen last hebt van 'indringers' (of het nu virussen, malware of hackers zijn).

zaterdag 23 maart 2019 12:09

Acties:

ronald92

Topicstarter

op virustotaal komt het bestand tot Detectieverhouding: 17/69
Afbeeldingslocatie: https://tweakers.net/ext/f/IzW8mYjDEQuH3A553sIEckal/full.jpg?nohitcount=1

Afbeeldingslocatie: https://tweakers.net/ext/f/IzW8mYjDEQuH3A553sIEckal/full.jpg?nohitcount=1

zonder het bestand werkt mijn scan tool niet, moet ik me nu zorgen maken of niet?

zaterdag 23 maart 2019 13:36

Acties:

Room42

ronald92 schreef op zaterdag 23 maart 2019 @ 12:09:
op virustotaal komt het bestand tot Detectieverhouding: 17/69
[Afbeelding]

zonder het bestand werkt mijn scan tool niet, moet ik me nu zorgen maken of niet?

Ja, dat zou ik wel even controleren bij de originele bron. Check of het bestand in de installatiebestanden dezelfde hash heeft of upload die zelf eens naar VirusTotal.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 25 maart 2019 11:57

Acties:

ronald92

Topicstarter

Room42 schreef op zaterdag 23 maart 2019 @ 13:36:
[...]

Ja, dat zou ik wel even controleren bij de originele bron. Check of het bestand in de installatiebestanden dezelfde hash heeft of upload die zelf eens naar VirusTotal.

het rapport wat hierboven staat is het gescande bestand geupload naar virustotaal

omschrijving van de trojan is dat deze de pc zou gebruiken voor bitcoin mining enzovoort.. maar hou hele tijd me taakbeheer in de gaten en alles is mega laag kwa gebruik.

processor tussen 2-6%
geheugen 10-20%
schijf 0%
wifi 0kbs

dus lijkt ook niet dat de laptop van buiten af wordt gebruikt

[ Voor 28% gewijzigd door ronald92 op 25-03-2019 12:02 ]

maandag 25 maart 2019 12:05

Acties:

Room42

@ronald92 Ik bedoel dat je het betreffende bestand op byteniveau moet vergelijken met de versie uit het installatiepakket. Je kunt hem ook gewoon opnieuw uitpakken en overschrijven om er zeker van te zijn dat dit is wat de fabrikant bedoelde.

En wat ik schreef was dat je het originele bestand ook eens naar VT kan uploaden om te zien of die daar al als gevaarlijk herkend wordt. Het kan natuurlijk een false-positive zijn.

[ Voor 27% gewijzigd door Room42 op 25-03-2019 12:07 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

Vraag

Alle reacties