Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MBAM false positive?

15-10-2009, 11:52 door Anoniem, 5 reacties
Ik ben met Malwareytes' Antimalware versie 1.41, database 2965 op verschillende Vista en XP pc's thuis een geïnfecteerde registersleutel tegengekomen, nog niet overal verwijderd, omdat ik later dacht dat het misschien een false positive kon zijn, want hij zat op veel computers en die zijn altijd up to date en worden redelijk regelmatig met verschillende scanners gescand. Ook hebben andere scanners (Hitman pro 3.5, Nod32, Kaspersky, Superantispyware) de infectie ook niet gevonden.

De sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe (Security.Hijack) -> Quarantined and deleted successfully.

Ik heb ook van een nog niet opgeruimde computer taskmgr.exe naar virustotal.com opgestuurd, niks gevonden.
Zou dit een false positive zijn? En kan het schadelijk zijn de sleutel te verwijderen?

alvast bedankt
Reacties (5)
15-10-2009, 16:42 door Anoniem
even nog een bumpje
15-10-2009, 17:43 door Erwtensoep
Nu met database 2967 wordt ie niet meer herkend, dus het was een false positive.

Is het nog verstandig om die sleutel opnieuw te maken, en waarvoor is ie?
16-10-2009, 14:42 door Erwtensoep
Door Anoniem: even nog een bumpje
16-10-2009, 17:16 door Bitwiper
http://www.avertlabs.com/research/blog/index.php/2008/12/09/image-file-execution-options/ en http://blogs.msdn.com/junfeng/archive/2004/04/28/121871.aspx bevatten heldere (Engelstalige) info over de key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ en de name-value pairs daaronder.

Op de XP-SP3 PC waarop ik dit zit te tikken staat er wel een redelijk lijstje (lijkt in grote lijnen op http://www.ozzu.com/mswindows-forum/image-file-execution-options-t89506.html). Als values onder de dll- en exe-subkeys kom ik alleen "CheckAppHelp", "ApplicationGoo", "DisableHeapLookaside" en "GlobalFlag" tegen; "Debugger" komt alleen voor onder de template subkey getiteld "Your Image File Name Here without a path".

Het programma "taskmgr.exe" komt geheel niet voor onder de subkey "Image File Execution Options" op mijn PC (maar staat er wel bij in http://www.ozzu.com/mswindows-forum/image-file-execution-options-t89506.html). Het lijkt me safe om taskmgr.exe weg te laten.

Bovendien moet er wel iets zinvols onder staan, weet je nog wat er precies onder de subkey "taskmgr.exe" aan name-value pairs stond? Als daar "Debugger=iets.exe" bij stond zou het om een legitieme app kunnen gaan (false positive dus), maar het zou ook om malware kunnen gaan die op de een of andere manier processen voor je probeert te verstoppen in taskmanager.

Overigens, als iemand zeker weet waar de value ApplicationGoo voor dient (ik zie alleen mensen vermoeden dat het om application compatibility gegevens gaat) dan hou ik me aanbevolen!
16-10-2009, 22:53 door Anoniem
Heb je avast antivirus pro geprobeerd?,die staat ook in het rijtje met een van de beste virusscanners.
Mogelijk verijderd die de hinderlijke rotzooi van je pc´s wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.