Kindly be advised we cannot cancel subscriptions or issue refunds on the forum.
You may cancel your Bitdefender subscription from Bitdefender Central or by contacting Customer Support at: https://www.bitdefender.com/consumer/support/help/

Thank you for your understanding.

False Positive With Multiboot System

Options
mvleus
mvleus
in False positive reporting

Hello Peeps,


I am running a multiboot configuration of windows xp (32 bit) and vista (64 bit). Everytime Bitdefender AV 2009 under Vista runs a Full System Scan, it reports (and auto-deletes) multiple files from my windows XP installation.


D:\WINDOWS\system32\charmap.exe Trojan.Agent.AJBQ Deleted


D:\WINDOWS\system32\dllcache\charmap.exe Trojan.Agent.AJBQ Deleted


D:\WINDOWS\system32\bootok.exe Trojan.Generic.102337 Deleted


D:\WINDOWS\system32\dllcache\bootok.exe Trojan.Generic.102337 Deleted


D:\WINDOWS\system32\chkdsk.exe Trojan.Generic.102746 Deleted


D:\WINDOWS\system32\dllcache\chkdsk.exe Trojan.Generic.102746 Deleted


D:\WINDOWS\system32\dllcache\write.exe Trojan.Generic.102924 Deleted


D:\WINDOWS\system32\write.exe Trojan.Generic.102924 Deleted


D:\WINDOWS\system32\dllcache\rsvp.exe Trojan.Generic.103201 Deleted


D:\WINDOWS\system32\rsvp.exe Trojan.Generic.103201 Deleted


D:\WINDOWS\system32\chkntfs.exe Trojan.Generic.104984 Deleted


D:\WINDOWS\system32\dllcache\chkntfs.exe Trojan.Generic.104984 Deleted


D:\WINDOWS\system32\dllcache\verifier.exe Trojan.Generic.144642 Deleted


D:\WINDOWS\system32\verifier.exe Trojan.Generic.144642 Deleted


D:\WINDOWS\system32\dllcache\unsecapp.exe Trojan.Generic.144654 Deleted


D:\WINDOWS\system32\wbem\unsecapp.exe Trojan.Generic.144654 Deleted


D:\WINDOWS\system32\calc.exe Trojan.Generic.160525 Deleted


D:\WINDOWS\system32\dllcache\calc.exe Trojan.Generic.160525 Deleted


D:\WINDOWS\system32\dllcache\srdiag.exe Trojan.Generic.161593 Deleted


D:\WINDOWS\system32\Restore\srdiag.exe Trojan.Generic.161593 Deleted


D:\WINDOWS\system32\comp.exe Trojan.Generic.164455 Deleted


D:\WINDOWS\system32\dllcache\comp.exe Trojan.Generic.164455 Deleted


D:\WINDOWS\system32\dllcache\fc.exe Trojan.Generic.185193 Deleted


D:\WINDOWS\system32\fc.exe Trojan.Generic.185193 Deleted


D:\WINDOWS\system32\dllcache\typeperf.exe Trojan.Generic.25488 Deleted


D:\WINDOWS\system32\typeperf.exe Trojan.Generic.25488 Deleted


D:\WINDOWS\system32\dllcache\icwtutor.exe Trojan.Generic.27229 Deleted


D:\WINDOWS\system32\dllcache\wupdmgr.exe Trojan.Generic.27268 Deleted


D:\WINDOWS\system32\wupdmgr.exe Trojan.Generic.27268 Deleted


D:\WINDOWS\system32\dllcache\sc.exe Trojan.Generic.27277 Deleted


D:\WINDOWS\system32\sc.exe Trojan.Generic.27277 Deleted


D:\WINDOWS\system32\bootvrfy.exe Trojan.Generic.61096 Deleted


D:\WINDOWS\system32\dllcache\bootvrfy.exe Trojan.Generic.61096 Deleted


D:\WINDOWS\system32\dllcache\vssadmin.exe Trojan.Generic.61113 Deleted


D:\WINDOWS\system32\vssadmin.exe Trojan.Generic.61113 Deleted


D:\WINDOWS\system32\dllcache\ping6.exe Trojan.Generic.61134 Deleted


D:\WINDOWS\system32\ping6.exe Trojan.Generic.61134 Deleted


D:\WINDOWS\system32\dllcache\tracert6.exe Trojan.Generic.61150 Deleted


D:\WINDOWS\system32\tracert6.exe Trojan.Generic.61150 Deleted


D:\WINDOWS\system32\dllcache\mpnotify.exe Trojan.Generic.61175 Deleted


D:\WINDOWS\system32\mpnotify.exe Trojan.Generic.61175 Deleted


D:\WINDOWS\system32\dllcache\reset.exe Trojan.Generic.73980 Deleted


D:\WINDOWS\system32\reset.exe Trojan.Generic.73980 Deleted


D:\WINDOWS\system32\dwwin.exe Trojan.Generic.91963 Deleted


D:\WINDOWS\system32\dllcache\drwtsn32.exe Trojan.Generic.93270 Deleted


D:\WINDOWS\system32\drwtsn32.exe Trojan.Generic.93270 Deleted


D:\WINDOWS\system32\PreInstall\WinSE\wxp_x86_0413_v1\spupdsvc.exe.ref Trojan.Starter.CC Deleted


D:\WINDOWS\system32\dllcache\syskey.exe Trojan.Starter.DM Deleted


D:\WINDOWS\system32\syskey.exe Trojan.Starter.DM Deleted


The strange thing is that i also have Bitdefender running on my Windows XP installation and when i run a Full System Scan with that one, it tells me nothing is wrong!


Can somebody please tell me how this is possible?


Thanks already

Comments

  • rootkit
    rootkit ✭✭✭
    Options

    Those files are infected ! :)


    Please do this:


    Can you please download combofix you will find it here. Print the following instructions and read them carefully. Please post the output of the scan into your next post.

  • mvleus
    mvleus
    edited November 2008
    Options

    Like i mentioned in the first post before:


    When I am running Windows Vista as my Operating System, and I scan my XP "system32" folder (which is on a different harddrive) BD2009 tells me these files are infected.


    When I am running Windows XP as my Operating System, and i scan my XP "system32" folder BD2009 tells me these files are NOT infected!


    My BD2009 scan report looked as followed:


    BitDefender Log bestand


    Product: BitDefender Antivirus 2009


    Versie: BitDefender UIScanner v.12


    Scantaak: Contextueel scannen


    Log datum: 17:59:07 10/11/2008


    Log pad: C:\Documents and Settings\Marcel\Application Data\BitDefender\Desktop\Profiles\Logs\contextual\1226336347_1_00.xml


    Scan paden:Pad 0000: C:\WINDOWS\system32


    Scan Opties:Scannen op virussen: Ja


    Scannen op adware: Ja


    Scannen op spyware: Ja


    Scannen op applicaties: Ja


    Scannen op dialers: Ja


    Scannen op rootkits: Nee


    Doelselectie opties:Registersleutels scannen: Nee


    Cookies scannen: Nee


    Opstartsectoren scannen: Nee


    Geheugen processen scannen: Nee


    Archieven scannen: Ja


    Runtime inpakprogramma's scannen: Ja


    E-mails scannen: Ja


    Alle bestanden scannen: Ja


    Heuristische Scan: Ja


    Gescande extensies:


    Uitgesloten extensies:


    Doelverwerking:Standaard actie voor geïnfecteerde objecten: Desinfecteren


    Standaard actie voor verdachte objecten: Geen


    Standaard actie voor verborgen objecten: Geen


    Standaard actie voor geïnfecteerde gecrypteerde objecten: Geen


    Standaard actie voor verdachte gecrypteerde objecten: Geen


    Standaard actie voor wachtwoordbeschermde objecten: Geen


    Scan motors samenvattingAantal virussignaturen: 2100496


    Plug-ins voor archieven: 43


    E-mail plug-ins: 6


    Plug-ins voor scannen: 12


    Systeemplug-ins: 5


    Plug-ins uitpakken: 7


    Totale scan samenvattingGescande items: 4386


    Geïnfecteerde items: 0


    Verdachte items: 0


    Opgeloste items: 0


    Onopgeloste items: 0


    Met wachtwoord beschermde items: 0


    Gevonden individuele virussen: 0


    Gescande mappen: 292


    Gescande opstart sectors: 0


    Gescande archieven: 21


    Invoer-uitvoer fouten: 11


    Scantijd: 00:01:41


    Bestanden per seconde: 43


    Gescande processen samenvattingGescand: 0


    Geïnfecteerd: 0


    Gescande register sleutels samenvattingGescand: 0


    Geïnfecteerd: 0


    Gescande cookies samenvattingGescand: 0


    Geïnfecteerd: 0


    Sorry for the fact that this a Dutch report! dont have it in english!


    Little Translation:


    Ja = Yes


    Nee = No


    Geen = None

  • Tennoki
    Tennoki
    Options
    Like i mentioned in the first post before:


    When I am running Windows Vista as my Operating System, and I scan my XP "system32" folder (which is on a different harddrive) BD2009 tells me these files are infected.


    When I am running Windows XP as my Operating System, and i scan my XP "system32" folder BD2009 tells me these files are NOT infected!


    Hi,


    Sorry to interrupt, but I thought it might be worth you knowing that I have also seen the same thing very recently on one of my systems. Bitdefender on Vista shows a Trojan infection while within XP it appears clear. As to why the difference in scans is possible, I have no idea, but I would consider the WinXP system to be compromised to the extent that you can't trust what it reports.


    Having cleaned the system and run combofix on my system, the combofix logs do seem to back up the Vista scan.


    Suggest you run a Deep System Scan from within Vista, as I suspect you will find some additional guests have made themselves at home in some of your archive files ...


    good luck


    Tenn

  • mvleus
    mvleus
    Options

    I reinstalled a clean windows XP installation on another Harddrive without installing anything else but windows. No drivers, no updates! nothing. The installation comes from a original OEM CD of windows XP Pro Dutch version. So not from a downloaded version or anything!


    Then i rebooted the system and started windows Vista. As soon as Vista was operational, i scanned the windows XP installation again within windows Vista. Results as followed:


    BitDefender Log bestand


    Product: BitDefender Antivirus 2009


    Versie: BitDefender UIScanner v.12


    Scantaak: Contextueel scannen


    Log datum: 01:14:12 11/11/2008


    Log pad: C:\Users\Marcel\AppData\Roaming\BitDefender\Desktop\Profiles\Logs\contextual\1226362452_1_01.xml


    Scan paden:Pad 0000: D:\


    Scan Opties:Scannen op virussen: Ja


    Scannen op adware: Ja


    Scannen op spyware: Ja


    Scannen op applicaties: Ja


    Scannen op dialers: Ja


    Scannen op rootkits: Nee


    Doelselectie opties:Registersleutels scannen: Nee


    Cookies scannen: Nee


    Opstartsectoren scannen: Nee


    Geheugen processen scannen: Nee


    Archieven scannen: Ja


    Runtime inpakprogramma's scannen: Ja


    E-mails scannen: Ja


    Alle bestanden scannen: Ja


    Heuristische Scan: Ja


    Gescande extensies:


    Uitgesloten extensies:


    Doelverwerking:Standaard actie voor geïnfecteerde objecten: Desinfecteren


    Standaard actie voor verdachte objecten: Geen


    Standaard actie voor verborgen objecten: Geen


    Standaard actie voor geïnfecteerde gecrypteerde objecten: Geen


    Standaard actie voor verdachte gecrypteerde objecten: Geen


    Standaard actie voor wachtwoordbeschermde objecten: Geen


    Scan motors samenvattingAantal virussignaturen: 2118991


    Plug-ins voor archieven: 43


    E-mail plug-ins: 6


    Plug-ins voor scannen: 12


    Systeemplug-ins: 5


    Plug-ins uitpakken: 7


    Totale scan samenvattingGescande items: 22854


    Geïnfecteerde items: 89


    Verdachte items: 0


    Opgeloste items: 89


    Onopgeloste items: 0


    Met wachtwoord beschermde items: 0


    Gevonden individuele virussen: 44


    Gescande mappen: 591


    Gescande opstart sectors: 0


    Gescande archieven: 298


    Invoer-uitvoer fouten: 0


    Scantijd: 00:04:13


    Bestanden per seconde: 90


    Gescande processen samenvattingGescand: 0


    Geïnfecteerd: 0


    Gescande register sleutels samenvattingGescand: 0


    Geïnfecteerd: 0


    Gescande cookies samenvattingGescand: 0


    Geïnfecteerd: 0


    Opgeloste zaken:Object Naam Dreiging Naam Eind Status


    D:\WINDOWS\system32\dllcache\msoobe.exe Backdoor.Generic.27044 Verwijderd


    D:\WINDOWS\system32\oobe\msoobe.exe Backdoor.Generic.27044 Verwijderd


    D:\WINDOWS\regedit.exe Backdoor.Hupigon.17830 Verwijderd


    D:\WINDOWS\system32\dllcache\regedit.exe Backdoor.Hupigon.17830 Verwijderd


    D:\WINDOWS\system32\charmap.exe Trojan.Agent.AJBQ Verwijderd


    D:\WINDOWS\system32\dllcache\charmap.exe Trojan.Agent.AJBQ Verwijderd


    D:\WINDOWS\system32\bootok.exe Trojan.Generic.102337 Verwijderd


    D:\WINDOWS\system32\dllcache\bootok.exe Trojan.Generic.102337 Verwijderd


    D:\WINDOWS\system32\chkdsk.exe Trojan.Generic.102746 Verwijderd


    D:\WINDOWS\system32\dllcache\chkdsk.exe Trojan.Generic.102746 Verwijderd


    D:\WINDOWS\system32\dllcache\write.exe Trojan.Generic.102924 Verwijderd


    D:\WINDOWS\system32\write.exe Trojan.Generic.102924 Verwijderd


    D:\WINDOWS\system32\dllcache\rsvp.exe Trojan.Generic.103201 Verwijderd


    D:\WINDOWS\system32\rsvp.exe Trojan.Generic.103201 Verwijderd


    D:\WINDOWS\system32\dllcache\help.exe Trojan.Generic.103527 Verwijderd


    D:\WINDOWS\system32\help.exe Trojan.Generic.103527 Verwijderd


    D:\WINDOWS\system32\cacls.exe Trojan.Generic.104136 Verwijderd


    D:\WINDOWS\system32\dllcache\cacls.exe Trojan.Generic.104136 Verwijderd


    D:\WINDOWS\system32\chkntfs.exe Trojan.Generic.104984 Verwijderd


    D:\WINDOWS\system32\dllcache\chkntfs.exe Trojan.Generic.104984 Verwijderd


    D:\WINDOWS\NOTEPAD.EXE Trojan.Generic.109461 Verwijderd


    D:\WINDOWS\system32\dllcache\notepad.exe Trojan.Generic.109461 Verwijderd


    D:\WINDOWS\system32\notepad.exe Trojan.Generic.109461 Verwijderd


    D:\WINDOWS\system32\dllcache\verifier.exe Trojan.Generic.144642 Verwijderd


    D:\WINDOWS\system32\verifier.exe Trojan.Generic.144642 Verwijderd


    D:\WINDOWS\system32\dllcache\unsecapp.exe Trojan.Generic.144654 Verwijderd


    D:\WINDOWS\system32\wbem\unsecapp.exe Trojan.Generic.144654 Verwijderd


    D:\WINDOWS\system32\dllcache\drvqry.exe Trojan.Generic.160101 Verwijderd


    D:\WINDOWS\system32\driverquery.exe Trojan.Generic.160101 Verwijderd


    D:\WINDOWS\system32\calc.exe Trojan.Generic.160525 Verwijderd


    D:\WINDOWS\system32\dllcache\calc.exe Trojan.Generic.160525 Verwijderd


    D:\WINDOWS\system32\dllcache\fontview.exe Trojan.Generic.161575 Verwijderd


    D:\WINDOWS\system32\fontview.exe Trojan.Generic.161575 Verwijderd


    D:\WINDOWS\system32\dllcache\srdiag.exe Trojan.Generic.161593 Verwijderd


    D:\WINDOWS\system32\Restore\srdiag.exe Trojan.Generic.161593 Verwijderd


    D:\WINDOWS\system32\dllcache\evtrig.exe Trojan.Generic.161680 Verwijderd


    D:\WINDOWS\system32\eventtriggers.exe Trojan.Generic.161680 Verwijderd


    D:\WINDOWS\system32\comp.exe Trojan.Generic.164455 Verwijderd


    D:\WINDOWS\system32\dllcache\comp.exe Trojan.Generic.164455 Verwijderd


    D:\WINDOWS\system32\dllcache\shutdown.exe Trojan.Generic.171905 Verwijderd


    D:\WINDOWS\system32\shutdown.exe Trojan.Generic.171905 Verwijderd


    D:\WINDOWS\system32\dllcache\fc.exe Trojan.Generic.185193 Verwijderd


    D:\WINDOWS\system32\fc.exe Trojan.Generic.185193 Verwijderd


    D:\WINDOWS\system32\dllcache\typeperf.exe Trojan.Generic.25488 Verwijderd


    D:\WINDOWS\system32\typeperf.exe Trojan.Generic.25488 Verwijderd


    D:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe Trojan.Generic.27229 Verwijderd


    D:\WINDOWS\system32\dllcache\icwtutor.exe Trojan.Generic.27229 Verwijderd


    D:\WINDOWS\system32\dllcache\wupdmgr.exe Trojan.Generic.27268 Verwijderd


    D:\WINDOWS\system32\wupdmgr.exe Trojan.Generic.27268 Verwijderd


    D:\WINDOWS\system32\dllcache\sc.exe Trojan.Generic.27277 Verwijderd


    D:\WINDOWS\system32\sc.exe Trojan.Generic.27277 Verwijderd


    D:\WINDOWS\system32\dllcache\taskkill.exe Trojan.Generic.27365 Verwijderd


    D:\WINDOWS\system32\taskkill.exe Trojan.Generic.27365 Verwijderd


    D:\Program Files\Movie Maker\moviemk.exe Trojan.Generic.279006 Verwijderd


    D:\WINDOWS\system32\dllcache\moviemk.exe Trojan.Generic.279006 Verwijderd


    D:\WINDOWS\system32\bootvrfy.exe Trojan.Generic.61096 Verwijderd


    D:\WINDOWS\system32\dllcache\bootvrfy.exe Trojan.Generic.61096 Verwijderd


    D:\WINDOWS\system32\dllcache\vssadmin.exe Trojan.Generic.61113 Verwijderd


    D:\WINDOWS\system32\vssadmin.exe Trojan.Generic.61113 Verwijderd


    D:\WINDOWS\system32\dllcache\ping6.exe Trojan.Generic.61134 Verwijderd


    D:\WINDOWS\system32\ping6.exe Trojan.Generic.61134 Verwijderd


    D:\WINDOWS\system32\dllcache\tracert6.exe Trojan.Generic.61150 Verwijderd


    D:\WINDOWS\system32\tracert6.exe Trojan.Generic.61150 Verwijderd


    D:\WINDOWS\system32\dllcache\mpnotify.exe Trojan.Generic.61175 Verwijderd


    D:\WINDOWS\system32\mpnotify.exe Trojan.Generic.61175 Verwijderd


    D:\WINDOWS\system32\dllcache\reset.exe Trojan.Generic.73980 Verwijderd


    D:\WINDOWS\system32\reset.exe Trojan.Generic.73980 Verwijderd


    D:\WINDOWS\system32\autofmt.exe Trojan.Generic.75270 Verwijderd


    D:\WINDOWS\system32\dllcache\autofmt.exe Trojan.Generic.75270 Verwijderd


    D:\WINDOWS\system32\autochk.exe Trojan.Generic.75280 Verwijderd


    D:\WINDOWS\system32\dllcache\autochk.exe Trojan.Generic.75280 Verwijderd


    D:\WINDOWS\system32\attrib.exe Trojan.Generic.86101 Verwijderd


    D:\WINDOWS\system32\dllcache\attrib.exe Trojan.Generic.86101 Verwijderd


    D:\WINDOWS\system32\dllcache\dwwin.exe Trojan.Generic.91963 Verwijderd


    D:\WINDOWS\system32\dwwin.exe Trojan.Generic.91963 Verwijderd


    D:\WINDOWS\system32\dllcache\drwtsn32.exe Trojan.Generic.93270 Verwijderd


    D:\WINDOWS\system32\drwtsn32.exe Trojan.Generic.93270 Verwijderd


    D:\WINDOWS\system32\dllcache\syskey.exe Trojan.Starter.DM Verwijderd


    D:\WINDOWS\system32\syskey.exe Trojan.Starter.DM Verwijderd


    D:\WINDOWS\system32\dllcache\stimon.exe Trojan.Starter.DN Verwijderd


    D:\WINDOWS\system32\stimon.exe Trojan.Starter.DN Verwijderd


    D:\WINDOWS\system32\dllcache\mmc.exe Trojan.Starter.EA Verwijderd


    D:\WINDOWS\system32\mmc.exe Trojan.Starter.EA Verwijderd


    D:\WINDOWS\system32\dllcache\mspaint.exe Trojan.Starter.IV Verwijderd


    D:\WINDOWS\system32\mspaint.exe Trojan.Starter.IV Verwijderd


    D:\WINDOWS\system32\dllcache\ws2_32.dll Trojan.WSPatch.B Verwijderd


    D:\WINDOWS\system32\ws2_32.dll Trojan.WSPatch.B Verwijderd


    D:\Program Files\Windows NT\Bureau-accessoires\wordpad.exe Win32.Worm.Wace.J Verwijderd


    D:\WINDOWS\system32\dllcache\wordpad.exe


    Anybody has an idea how this is possible?

  • mvleus
    mvleus
    Options

    After placing another false positive related with this one:


    http://forum.bitdefender.com/index.php?showtopic=9819


    a new BD2009 update seem to be available! i updated my BD and now it seems that it does not find any infected files in the system32 of my Windows XP installation folder anymore!


    Problem solved i think?


    Thanks peeps

All Time Leaders

Categories

Defenders of the month