[AVPE] suspicious: Trojan.Win32.FWKiller in msnmsgr.exe *

M'n zus stuurde me net een berichtje via MSN Messenger (geen file ofzo), en meteen meldde AntiVir Personal dat ie wat rare code vond in de vorm van bovenstaand "virus" in MSNMSGR.EXE.
Het werd overigens opgepikt door de heuristics, die op high staan.

Heb al gezocht maar google gaf geen resultaten.
Kent iemand dit ding toevallig, of ziet AntiVir MSN onterecht aan voor een virus?

Het volgende stukje komt steeds terug in het log file:

5/20/2004,13:04 WARNING: This file contains suspicious code Heuristic/Trojan.Win32.FWKiller!
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
Unable to move the file to the quarantine directory:
0x00000020 - The process cannot access the file because it is being used by another process.

wildhagen schreef op 20 mei 2004 @ 13:30:
Kan vals alarm zijn, heuristic detectie is vaak een beetje paranoide, zeker op een hoger niveau. Maar evengoed is het wel een virus.

Haal hem eens door de Jotti-scan (http://virusscan.jotti.dhs.org/), dan word hij gechecked door 6 scanners... als ze geen van alle alarm slaan is de kans op vals alarm redelijk groot. Slaat er wel één (of meer) alarm, dan weet je al meer...

Bedankt. Da's handig, zeg!
Zal ik zo doen.
AntiVir is nu zelf nog m'n hele systeem aan het scannen.
Met de handmatige scan vindt ie vooralsnog niks.

[edit]
Heb 'm er toch maar vast doorheen gehaald. OK zegt ie...
Ik vind het toch vreemd.

[edit2]

AntiVir heeft net een complete systeemscan gedaan, heb 'm alle files laten scannen voor de zekerheid.
En hij vind helemaal niets!
Maar als ik ook maar in de buurt kom van msnmsgr.exe dan begint ie wel te brullen dat er een virus in zit.

[ Voor 25% gewijzigd door Kipcorn op 20-05-2004 13:42 ]

Verwijderd schreef op 20 mei 2004 @ 13:44:
[...]

Je gebruikt de zojuist gereleasde AntiVir versie met heuristics?

Post datgene wat je zus je stuurde eens hier, mits mogelijk.
Gaarne tussen [code] tags.

AVPE flagde de gestuurde 'code', niet msnm zelf..(dat is iig meest waarschijnlijk)

Ik heb inderdaad de laatst gereleasede AVPE.
En bedoel je letterlijk posten wat ze zei? Dan zal ik ff m'n logs er bij pakken.

Verwijderd schreef op 20 mei 2004 @ 14:08:
Dus alleen de monitor flagt het ding?
Sluit msnm eens af en start hem opnieuw, en begin dan nog eens met iemand te praten.
Ik denk dat AVPE is gaan FPen @ txt.

Mja, ik zie in die tekst wel wat staan waar een AV op zou kunnen flaggen, wel überranzig though.

Nou je het zegt!
Crack... DUH!

Muhahahahaha!
Gooi ik de hele map MSN Messenger weg, heb 'm nog gedeinstalleerd met de installer.
Installeer ik hem opnieuw, en ja hoor, hij vindt 'm weer.

Tijdens de installie zelf, dus.

[ Voor 14% gewijzigd door Kipcorn op 20-05-2004 14:14 ]

Volgens mij flipte AntiVir echt op de logfile!
Heb de logfile weggegooid, msn er afgegooid, opnieuw opgestart, msn opnieuw geinstalleerd.
En hij vindt niks meer.

Weten we in elk geval dat de heuristics het doen.

Oh nog een vraagje.
Waarom krijgt een virus, dat eigenlijk geen virus is, toch een naam?
In dit geval dus Trojan.Win32.FWKiller.
Heeft iemand enig idee?

En nog bedankt voor de hulp trouwens!

[ Voor 32% gewijzigd door Kipcorn op 20-05-2004 14:23 ]

Verwijderd schreef op 20 mei 2004 @ 14:29:
[...]

Mja, ik vind het niet echt netjes..

Vandaar de
Erg netjes vind ik het ook niet, nee...

False Positive..
Ik weet niet of dit nu ligt aan een slechte signature voor die Trojan, of te happy heuristics, of beide.

Vind het iig toevallig dat dit komt direct nadat nieuwe heuristics zijn geïntroduceerd..
Mja, zou wel verklaren waarom ze standaard uitstaan.

Als de developers van dat spul op de hoogte zijn van dit soort slordigheden, zou je toch verwachten dat ze het uberhaupt niet releasen...

Verwijderd schreef op 20 mei 2004 @ 17:09:
Kun je het ding moven naar quarantine?
Je zou eens de inhoud van de file kunnen bekijken(hoewel het feit dat het ding een exe extensie heeft mij er niet bepaald van overtuigt dat er alleen txt instaat)..

Ik was iets te snel met verwijderen dit keer... Dan maar wachten op de volgende alert.

[edit]

Heb AVPE maar vast gedeinstalleerd. Symantec AV Corporate 9.0.0.338 staat er nu op.
Een volledige systeem scan heeft niets gevonden.
Ik ga er dus voorzichtig van uit dat AVPE's heuristics een beetje paranoide zijn.
Daar heb ik ze ook al een mailtje over gestuurd. Ben benieuwd wat ze zeggen.

[ Voor 29% gewijzigd door Kipcorn op 20-05-2004 18:37 ]