G Data maakt gebruik van de Avast! engine. Dus een FP van Avast! zal ook door G Data worden gemeld.

Bij twijfel over een FP kun je het beste even op het Avast forum kijken en dan kom je als je een beetje goed met Google kunt omgaan hier terecht:

http://forum.avast.com/index.php?topic=106089.0

Daar blijkt dus dat het om een FP gaat.

Oh, vergat er bij te vermelden dat ik het een onverstandige keuze vind om gedetecteerde malware automatisch in quarantaine te laten zetten. Nu is het een onschuldige FP, volgende keer kan het minder onschuldig zijn en dat valt je niet op als je net uit de kroeg komt... :)

Hai Ilja,

Dat volgens VirusTotal ook G Data een infectie lijkt te zien in je FINDER.EXE bestand, dat zegt niet zoveel.
G Data gebruikt naast de Bitdefender engine ook die van Avast, dus zal in veel gevallen ook vinden wat Avast vind, behalve wanneer er gecorrigeerd wordt door G Data's eigen regels en whitelisting. De resultaten op VirusTotal zijn dus niet per se dezelfde als die van de geïnstalleerde programma's. Een vergelijkbaar verhaal geldt voor HitmanPro.

Daarnaast: Avast heeft al éérder false-positives tegen FINDER.EXE opgeleverd, zoek het Avast forum er maar eens op na.
Enkele voorbeelden:
Januari 2011:
http://forum.avast.com/index.php?topic=69058
http://forum.avast.com/index.php?topic=69079
En gisteren:
http://forum.avast.com/index.php?topic=106089
(Of was die laatste mogelijk van jou?)


P.S.
Ah, toen ik nog mijn reactie aan het opstellen was, was LightFrame me net voor, dat zag ik pas na het posten.

Ja Spiff, dat typen valt niet mee he?
Meer dan 100 verscillende toetsen en elke keer weer de goede toets zien te vinden. Als ze nu alfabetisch gerangschikt waren... maar nee hoor, zelfs dat niet :)


Was maar een grapje hoor, ik kwam in ieder geval niet opeens als Anoniem boven jouw post te staan. Dat moeten ze toch echt een keer veranderen hier.

Als aanvulling op mijn reactie van 22:07

Nog in reactie op LightFrame's bijdrage van 22:04 -

Net als LightFrame vind ook ik het niet het verstandigste wat je kunt doen om een anti-malware programma zonder gebruikersinteractie bestanden te laten desinfecteren of in quarantaine te laten zetten (of brrr, zelfs te laten verwijderen).
Ik weet wel dat anti-malware programma's dat veelal standaard zo doen bij geplande systeemscans, maar voor een gebruiker die zelf in redelijke mate de vaardigheden bezit om te onderzoeken of een melding terecht is of een false-positive, vind ik het verstandiger om alleen de systeembeveiliging actief te hebben en systeemscans on-demand uit te voeren, en eventuele meldingen dan direct te beoordelen en zelf de beslissingen te nemen.


En ten slotte -
Naast checken door middel van VirusTotal en HitmanPro zoals je gedaan hebt, Ilja, kun je in een ander geval zo nodig ook de volgende online checkers nog toepassen:

Gedragsanalyse:
http://camas.comodo.com/
http://www.threatexpert.com/filescan.aspx

En met de SHA1 (bijvoorbeeld verkregen via Comodo CAMAS) kun je ook daarmee nog scannen:
selecteer Search by SHA1:
http://file-intelligence.comodo.com/

Eventueel kun je ook Comodo FVS nog proberen, maar ik weet niet hoe betrouwbaar die inmiddels is.
Een test zonet leverde direct een false positive op.
http://v.comodo.com/
http://v.comodo.com/About.html
(voorheen http://valkyrie.comodo.com)

Wellicht is dit ook wel een zwak punt in het hele MSI gebeuren.
Alles wat je ooit geinstalleerd en gepatched hebt wordt allemaal bewaard, zelfs als het later al weer overruled is door een nieuwere patch.
Daardoor wordt steeds meer diskruimte gebruikt (dat is tegenwoordig vaak niet zo erg meer maar op servers waar een aparte partitie voor C is gemaakt en de rest op D staat is het soms best wel vervelend).
En alles blijft ook in beeld staan voor scanners. Dus als er in een patch uit 2007 iets staat wat men nu een risico noemt dan blijft dat gevonden worden, zelfs al update je je pakket.

@Ilja: ik zit momenteel aan een XP-SP3 PC waar ik qua beheer niets over te vertellen heb en die qua updates mogelijk niet helemaal bij is (ik heb geen admin account). Er staat een Nederlandse Office 2003 op.

In "c:\Program Files\Microsoft Office\OFFICE11\" staat een bestand FINDER.EXE: met als SHA1SUM: d9ec9c3580d4c7fd349dd6d502c1844be5cd8f92

De digitale handtekening onder het bestand is gezet op: 23 March, 2007 04:06:37
Het gebruikte code signing certificaat is geldig van 04 April, 2006 21:43:46 tot 04 October, 2007 21:53:46.
Het certificaat van de time stamping service is geldig van 16 September, 2006 03:55:22 tot 16 September, 2011 04:05:22.

Formeel zijn beide certificaten verlopen, maar Microsoft's truc genaamd "Authenticode" stelt dat het certificaat geldig was op het moment van ondertekenen, en dit wordt gewaarborgd door de signed time stamp. Als hashalgoritme (voor het bestand zonder de erachter geplakte digitale handtekening) is SHA1 gebruikt.

Nb mogeijk heeft Avast op jouw PC het bestand FINDER.EXE onder Program Files in quarantaine gezet.

Als jij een vergelijkbare digitale handtekening onder FINDER.EXE ziet, gezet door Microsoft en niet gebruik makend van MD5 (slechts van SHA1), dan kan ik me niet voorstellen dat die FINDER.EXE op jouw PC daadwerkelijk besmet is. Kun je wat vergelijkbare details posten?

Ik heb "mijn" FINDER.EXE nog even geüpload naar virustotal. Dat bleek iemand (niet ik) eergisteren ook al te hebben gedaan: Ik heb het bestand opnieuw geüpload, zie https://www.virustotal.com/file/cc782518a810c9f2c782a6f9e04dc2095b94ac028a962e1630878749f0fff641/analysis/1348477331/ - opnieuw 0/43.

Unsigned msp files lijken me vreemd. Misschien heb je Stuxnet of een "Bundestrojaner" op je PC?

Allen alsvast bedankt voor de snelle reacties.

Spiff & Lightframe, het was niet in me opgekomen om op het Avast-forum te kijken, uiteraard de eerste plek in dit soort gevallen.
Ik gebruik trouwens geen automatische quarantaine, AV rapporteert & wacht netjes tot ik zeg wat er moet gebeuren, anders moet ik iedere keer mijn JS:ShellCode-DI [Expl]'s weer uit de kluis halen.

Bitwiper: Ik heb de FINDER.EXE in Office 11 ook even na laten kijken,& ik werd dus meteen doorgestuurd naar jouw hash, dus die is ok. Volgens de RootKitScan & Hitman Pro heb ik geen Stuxnet of BundesTrojaner o.i.d.

Heb ik de eerder uit de .msp gehaalde FINDER.EXE opnieuw laten scannen, krijg ik dus nu hetvolgende:

https://www.virustotal.com/file/bfe58e1fad1a6da4742ad6c2c2e59f71dfb373088867196547d1c3c33f420cfa/analysis/1348489662/

Het rare is dat die .msp er eigenlijk al sinds 2007 inzit, want deze (rag-)computer is dus bijna 9 jaar oud, & vorige week was met dezelfde scan alles in orde. Nu is 1 & hetzelfde bestand 2x gemuteerd in 3 dagen, & opeens een besmet .msp?

P.S. Erratum: Had ik echt quarantaine met een e geschreven!?!?...

Ah, gelukkig, het verbaasde me al.
LightFrame en ik zijn blijkbaar op het verkeerde been gezet door de manier van rapporteren door Avast, met steeds een vermelding van de Actie, Foutnummer, en "Deze operatie is niet ondersteund bij dit archieftype". Die rapportage betekent dus wellicht dat is ingesteld dat die actie niet zonder toestemming van de gebruiker mag worden uitgevoerd, neem ik nu aan.

Hmm, opvallend is dat in https://www.virustotal.com/file/bfe58e1fad1a6da4742ad6c2c2e59f71dfb373088867196547d1c3c33f420cfa/analysis/1348489662/ (met de mogelijk besmette variant) de volgende tekst onder Sigcheck ontbreekt terwijl ik verder (op de 3 virusmeldingen na) geen verschillen zie:Ik zou dat bestand wel eens willen bekijken om te onderzoeken of er met de digitale handtekening is gerommeld. Zou je die FINDER.EXE ergens kunnen uploaden, bij voorkeur gezipped met wachtwoord infected?

Mocht je uploaden, vanavond heb ik een afspraak, op z'n vroegst kan ik er vanavond laat naar kijken. Nb. even goede vrienden als je dat niet wilt, mag of zin in hebt!

Is goed, graag Bitwiper, & het heeft echt geen haast, hoor..! ;) Wel razend nieuwsgierig hoe er nou een ineens patch besmet geraakt lijkt.

Ik heb het even op mijn Skydrive gezet, gezipt zoals geinstrueerd met 7z als .zip & aes-256 encryptie (inplaats van ZipCrypto).

https://skydrive.live.com/redir?resid=649072D7C6F6C6F4!302

Als het goed is kan iedereen erbij. Zo niet hoor ik het wel.

SHA-256 Checksum:
2D44E44C293BDF00CFA8D1F312E045569793482172A3A716614C69BF1E5CEF6E

Dank voor het uploaden! Dat bestand heb ik gedownload en uitgepakt als FINDER.MALWARE.

Daarna heb ik de "schone" finder.exe die ik al had vergeleken met "jouw" finder.malware:
Hexdumps van de laatste 16 bytes van elk van de files:Conclusie: dit is geen malware; door slechts 2 bytes in het gebied met certificaatgegevens te wijzigen krijg je geen kwaadaardige code. Door die wijziging is de digitale handtekening deels ongeldig geworden (het lijkt erop dat de signature van de time stamp beschadigd is).

Waarom sommige virusscanners beweren dat "jouw" bestand malware is, is me een raadsel. Er lijkt maar wat te worden aangerommeld door AV boeren. Opvallend is ook dat nu andere AV boeren dan Avast! er malware in herkennen.

Ik vermoed dat het "aa0cb.msp" bestand met daarin (gecomprimeerd) FINDER.EXE corrupt is geraakt. Dat kan al gebeurd zijn voordat het op jouw PC terechtkwam, maar ook tijdens het schrijven naar schijf, bijv. t.g.v. defect geheugen (dat kan DRAM zijn in jouw PC, cachegeheugen, maar oook geheugenchips in je harddisk, netwerkkaart, switch of router).

Als je meer corrupte bestanden hebt moet je jouw hardware eens goed onder de loep nemen. In elk geval kan ik me niet voorstellen dat dit iets met malware te maken heeft!

PS je kunt het bovenstaande verifiëren: als je 8D 43 aan het einde van jouw bestand (voor de nullen) met een hex editor wijzigt in 36 00 en dat bestand opslaat, zal deze gelijk zijn aan het bestand dat ik al had en dus ook een sha1sum van d9ec9c3580d4c7fd349dd6d502c1844be5cd8f92 hebben.

Wanneer een bestand wordt gedetecteerd door AV merk X op VirusTotal dan gebeurt het regelmatig dat andere AV's de hash van dat bestand in de definities opnemen. Het bestand wordt op dat moment helemaal niet geanalyseerd door die andere AV's.
Dat mag, en is vaak wel een makkelijke en snelle oplossing. Probleem is alleen dat als AV merk X de FP heeft gefixed, dat die andere AV's van niets weten en die hash nog geruime tijd in de definities kan blijven zitten en dus een FP veroorzaakt.

Aha, & meteen weer wat geleerd over hex-editors, & bedankt voor het feit dat je er nachtwerk van hebt gemaakt! |-)

Ok, de computer is oud, Packard Bell iMedia uit 2003, & ik heb het herbouwd in 2004, sindsdien staat die eigenlijk 24/7/365 aan tenzij de stroom (in de wijk) uitvalt of ik langer dan een dag van huis ben. Hardeschijven zijn iets jonger, worden minstens eens per jaar gewist, getest, gepartitioneerd, geformatteerd & gecontroleerd alvorens de backup's terug te schuiven. Dit meegerekent heb ik 4x een akkefietje gehad, waarvan 1 een paar jaar geleden, & dankzij een lid van security.nl d.m.v. hele duidelijke instructie & m.b.v. SysInternals & Combofix (ook MBAM dacht ik, kan het bericht even niet zo snel terug vinden), heb ik dat kunnen verhelpen.

De schijven worden elke 2de woensdag van de maand gecontroleerd na de Update-rondes, eerst met de Herstel Console, dan gedefragmenteerd, & dan word er meteen onder Windows nog een schijven controle gepland & bij de opstart uitgevoerd. SFC word ook eens in de ongeveer 3 maanden gedraaid.

Die .msp's staan verder vast & eigenlijk onbewegelijk op de schijf. Na woensdag de 12de nog Avast-updates gehad, & die vrijdag erop was er geen probleem mee. Pas een week later, vrijdag j.l...

Ik heb 3 oplossingen, & ik zit er nog over te denken welke de beste is:

Volgens mij zit die .msp in Office ServicePack 3, in ieder geval PCW_CAB_H15000_1, alleen heet aa0cb.msp daarin MAINSP3.msp. FINDER.EXE is dezelfde (goede) versie. Office SP3 opnieuw installeren.
Lijkt me de beste, omdat er mogelijk meer bestanden gecorrumpeerd zijn.

Alle Outlook updates deinstalleren via Configuratiescherm, & dan opnieuw handmatig updaten via Microsoft Update.

FINDER.EXE terug zetten uit de backup. Snel, maar geen zekerheid over andere gecorrumpeerde bestanden.

Dan ter afsluiting nog even Maandag,10:32 door Anoniem:

Ik begrijp de denkwijze, ik herinner een Microsoft artikel daarover, & in principe kunnen die .msp's in Installer wel verplaatst &/of zelfs verwijderd worden, een probleem ontstaat als je Windows onderuit gaat, want dan kunnen die noodzakelijk zijn voor de reparatie. Op zo'n moment zijn ze dan vaak lastig terug te zetten.

Zeker als je er na het verplaatsen/verwijderen er ook nog eens een Register-Cleaner zoals Ccleaner er over heen haalt, dan heeft zelfs terug zetten geen zin meer.

Bovendien staan er ook patches in van andere producenten, met idem probleem.

Maar ach, daar heb je uiteraard backup's voor... ;-)

Iedereen bedankt voor de inzet & reacties. Ik zal deze FP nog even bij Avast melden.

Update:

De wekelijkse volledige systeemscan Avast! is net voltooid, & laat de FINDER.EXE in zowel Windows\Installer als de uit de .msp geviste versie met rust.

Nog even door VirusTotal gehaald, ^ na het berekenen van de hash kwam er een 6/43 resultaat uit, nog een keer het hele bestand opnieuw laten scannen met een 5/43 resultaat.

Deze keer staat zelfs Kaspersky erbij:

https://www.virustotal.com/file/bfe58e1fad1a6da4742ad6c2c2e59f71dfb373088867196547d1c3c33f420cfa/analysis/1348880776/

Test voltooid, geslaagd, deze computer gaat onder in groot onderhoud. Even geduld A.U.B... ;-)