False Positive With Multiboot System

Hello Peeps,

I am running a multiboot configuration of windows xp (32 bit) and vista (64 bit). Everytime Bitdefender AV 2009 under Vista runs a Full System Scan, it reports (and auto-deletes) multiple files from my windows XP installation.

\WINDOWS\system32\charmap.exe Trojan.Agent.AJBQ Deleted

\WINDOWS\system32\dllcache\charmap.exe Trojan.Agent.AJBQ Deleted

\WINDOWS\system32\bootok.exe Trojan.Generic.102337 Deleted

\WINDOWS\system32\dllcache\bootok.exe Trojan.Generic.102337 Deleted

\WINDOWS\system32\chkdsk.exe Trojan.Generic.102746 Deleted

\WINDOWS\system32\dllcache\chkdsk.exe Trojan.Generic.102746 Deleted

\WINDOWS\system32\dllcache\write.exe Trojan.Generic.102924 Deleted

\WINDOWS\system32\write.exe Trojan.Generic.102924 Deleted

\WINDOWS\system32\dllcache\rsvp.exe Trojan.Generic.103201 Deleted

\WINDOWS\system32\rsvp.exe Trojan.Generic.103201 Deleted

\WINDOWS\system32\chkntfs.exe Trojan.Generic.104984 Deleted

\WINDOWS\system32\dllcache\chkntfs.exe Trojan.Generic.104984 Deleted

\WINDOWS\system32\dllcache\verifier.exe Trojan.Generic.144642 Deleted

\WINDOWS\system32\verifier.exe Trojan.Generic.144642 Deleted

\WINDOWS\system32\dllcache\unsecapp.exe Trojan.Generic.144654 Deleted

\WINDOWS\system32\wbem\unsecapp.exe Trojan.Generic.144654 Deleted

\WINDOWS\system32\calc.exe Trojan.Generic.160525 Deleted

\WINDOWS\system32\dllcache\calc.exe Trojan.Generic.160525 Deleted

\WINDOWS\system32\dllcache\srdiag.exe Trojan.Generic.161593 Deleted

\WINDOWS\system32\Restore\srdiag.exe Trojan.Generic.161593 Deleted

\WINDOWS\system32\comp.exe Trojan.Generic.164455 Deleted

\WINDOWS\system32\dllcache\comp.exe Trojan.Generic.164455 Deleted

\WINDOWS\system32\dllcache\fc.exe Trojan.Generic.185193 Deleted

\WINDOWS\system32\fc.exe Trojan.Generic.185193 Deleted

\WINDOWS\system32\dllcache\typeperf.exe Trojan.Generic.25488 Deleted

\WINDOWS\system32\typeperf.exe Trojan.Generic.25488 Deleted

\WINDOWS\system32\dllcache\icwtutor.exe Trojan.Generic.27229 Deleted

\WINDOWS\system32\dllcache\wupdmgr.exe Trojan.Generic.27268 Deleted

\WINDOWS\system32\wupdmgr.exe Trojan.Generic.27268 Deleted

\WINDOWS\system32\dllcache\sc.exe Trojan.Generic.27277 Deleted

\WINDOWS\system32\sc.exe Trojan.Generic.27277 Deleted

\WINDOWS\system32\bootvrfy.exe Trojan.Generic.61096 Deleted

\WINDOWS\system32\dllcache\bootvrfy.exe Trojan.Generic.61096 Deleted

\WINDOWS\system32\dllcache\vssadmin.exe Trojan.Generic.61113 Deleted

\WINDOWS\system32\vssadmin.exe Trojan.Generic.61113 Deleted

\WINDOWS\system32\dllcache\ping6.exe Trojan.Generic.61134 Deleted

\WINDOWS\system32\ping6.exe Trojan.Generic.61134 Deleted

\WINDOWS\system32\dllcache\tracert6.exe Trojan.Generic.61150 Deleted

\WINDOWS\system32\tracert6.exe Trojan.Generic.61150 Deleted

\WINDOWS\system32\dllcache\mpnotify.exe Trojan.Generic.61175 Deleted

\WINDOWS\system32\mpnotify.exe Trojan.Generic.61175 Deleted

\WINDOWS\system32\dllcache\reset.exe Trojan.Generic.73980 Deleted

\WINDOWS\system32\reset.exe Trojan.Generic.73980 Deleted

\WINDOWS\system32\dwwin.exe Trojan.Generic.91963 Deleted

\WINDOWS\system32\dllcache\drwtsn32.exe Trojan.Generic.93270 Deleted

\WINDOWS\system32\drwtsn32.exe Trojan.Generic.93270 Deleted

\WINDOWS\system32\PreInstall\WinSE\wxp_x86_0413_v1\spupdsvc.exe.ref Trojan.Starter.CC Deleted

\WINDOWS\system32\dllcache\syskey.exe Trojan.Starter.DM Deleted

\WINDOWS\system32\syskey.exe Trojan.Starter.DM Deleted

The strange thing is that i also have Bitdefender running on my Windows XP installation and when i run a Full System Scan with that one, it tells me nothing is wrong!

Can somebody please tell me how this is possible?

Thanks already

Find more posts tagged with

Comments

rootkit

Those files are infected !

Please do this:

Can you please download combofix you will find it here. Print the following instructions and read them carefully. Please post the output of the scan into your next post.

mvleus

Like i mentioned in the first post before:

When I am running Windows Vista as my Operating System, and I scan my XP "system32" folder (which is on a different harddrive) BD2009 tells me these files are infected.

When I am running Windows XP as my Operating System, and i scan my XP "system32" folder BD2009 tells me these files are NOT infected!

My BD2009 scan report looked as followed:

BitDefender Log bestand

Product: BitDefender Antivirus 2009

Versie: BitDefender UIScanner v.12

Scantaak: Contextueel scannen

Log datum: 17:59:07 10/11/2008

Log pad: C:\Documents and Settings\Marcel\Application Data\BitDefender\Desktop\Profiles\Logs\contextual\1226336347_1_00.xml

Scan paden:Pad 0000: C:\WINDOWS\system32

Scan Opties:Scannen op virussen: Ja

Scannen op adware: Ja

Scannen op spyware: Ja

Scannen op applicaties: Ja

Scannen op dialers: Ja

Scannen op rootkits: Nee

Doelselectie opties:Registersleutels scannen: Nee

Cookies scannen: Nee

Opstartsectoren scannen: Nee

Geheugen processen scannen: Nee

Archieven scannen: Ja

Runtime inpakprogramma's scannen: Ja

E-mails scannen: Ja

Alle bestanden scannen: Ja

Heuristische Scan: Ja

Gescande extensies:

Uitgesloten extensies:

Doelverwerking:Standaard actie voor geïnfecteerde objecten: Desinfecteren

Standaard actie voor verdachte objecten: Geen

Standaard actie voor verborgen objecten: Geen

Standaard actie voor geïnfecteerde gecrypteerde objecten: Geen

Standaard actie voor verdachte gecrypteerde objecten: Geen

Standaard actie voor wachtwoordbeschermde objecten: Geen

Scan motors samenvattingAantal virussignaturen: 2100496

Plug-ins voor archieven: 43

E-mail plug-ins: 6

Plug-ins voor scannen: 12

Systeemplug-ins: 5

Plug-ins uitpakken: 7

Totale scan samenvattingGescande items: 4386

Geïnfecteerde items: 0

Verdachte items: 0

Opgeloste items: 0

Onopgeloste items: 0

Met wachtwoord beschermde items: 0

Gevonden individuele virussen: 0

Gescande mappen: 292

Gescande opstart sectors: 0

Gescande archieven: 21

Invoer-uitvoer fouten: 11

Scantijd: 00:01:41

Bestanden per seconde: 43

Gescande processen samenvattingGescand: 0

Geïnfecteerd: 0

Gescande register sleutels samenvattingGescand: 0

Geïnfecteerd: 0

Gescande cookies samenvattingGescand: 0

Geïnfecteerd: 0

Sorry for the fact that this a Dutch report! dont have it in english!

Little Translation:

Ja = Yes

Nee = No

Geen = None

Tennoki

Like i mentioned in the first post before:

When I am running Windows Vista as my Operating System, and I scan my XP "system32" folder (which is on a different harddrive) BD2009 tells me these files are infected.

When I am running Windows XP as my Operating System, and i scan my XP "system32" folder BD2009 tells me these files are NOT infected!

Hi,

Sorry to interrupt, but I thought it might be worth you knowing that I have also seen the same thing very recently on one of my systems. Bitdefender on Vista shows a Trojan infection while within XP it appears clear. As to why the difference in scans is possible, I have no idea, but I would consider the WinXP system to be compromised to the extent that you can't trust what it reports.

Having cleaned the system and run combofix on my system, the combofix logs do seem to back up the Vista scan.

Suggest you run a Deep System Scan from within Vista, as I suspect you will find some additional guests have made themselves at home in some of your archive files ...

good luck

Tenn

mvleus

I reinstalled a clean windows XP installation on another Harddrive without installing anything else but windows. No drivers, no updates! nothing. The installation comes from a original OEM CD of windows XP Pro Dutch version. So not from a downloaded version or anything!

Then i rebooted the system and started windows Vista. As soon as Vista was operational, i scanned the windows XP installation again within windows Vista. Results as followed:

BitDefender Log bestand

Product: BitDefender Antivirus 2009

Versie: BitDefender UIScanner v.12

Scantaak: Contextueel scannen

Log datum: 01:14:12 11/11/2008

Log pad: C:\Users\Marcel\AppData\Roaming\BitDefender\Desktop\Profiles\Logs\contextual\1226362452_1_01.xml

Scan paden:Pad 0000: \

Scan Opties:Scannen op virussen: Ja

Scannen op adware: Ja

Scannen op spyware: Ja

Scannen op applicaties: Ja

Scannen op dialers: Ja

Scannen op rootkits: Nee

Doelselectie opties:Registersleutels scannen: Nee

Cookies scannen: Nee

Opstartsectoren scannen: Nee

Geheugen processen scannen: Nee

Archieven scannen: Ja

Runtime inpakprogramma's scannen: Ja

E-mails scannen: Ja

Alle bestanden scannen: Ja

Heuristische Scan: Ja

Gescande extensies:

Uitgesloten extensies:

Doelverwerking:Standaard actie voor geïnfecteerde objecten: Desinfecteren

Standaard actie voor verdachte objecten: Geen

Standaard actie voor verborgen objecten: Geen

Standaard actie voor geïnfecteerde gecrypteerde objecten: Geen

Standaard actie voor verdachte gecrypteerde objecten: Geen

Standaard actie voor wachtwoordbeschermde objecten: Geen

Scan motors samenvattingAantal virussignaturen: 2118991

Plug-ins voor archieven: 43

E-mail plug-ins: 6

Plug-ins voor scannen: 12

Systeemplug-ins: 5

Plug-ins uitpakken: 7

Totale scan samenvattingGescande items: 22854

Geïnfecteerde items: 89

Verdachte items: 0

Opgeloste items: 89

Onopgeloste items: 0

Met wachtwoord beschermde items: 0

Gevonden individuele virussen: 44

Gescande mappen: 591

Gescande opstart sectors: 0

Gescande archieven: 298

Invoer-uitvoer fouten: 0

Scantijd: 00:04:13

Bestanden per seconde: 90

Gescande processen samenvattingGescand: 0

Geïnfecteerd: 0

Gescande register sleutels samenvattingGescand: 0

Geïnfecteerd: 0

Gescande cookies samenvattingGescand: 0

Geïnfecteerd: 0

Opgeloste zaken:Object Naam Dreiging Naam Eind Status

\WINDOWS\system32\dllcache\msoobe.exe Backdoor.Generic.27044 Verwijderd

\WINDOWS\system32\oobe\msoobe.exe Backdoor.Generic.27044 Verwijderd

\WINDOWS\regedit.exe Backdoor.Hupigon.17830 Verwijderd

\WINDOWS\system32\dllcache\regedit.exe Backdoor.Hupigon.17830 Verwijderd

\WINDOWS\system32\charmap.exe Trojan.Agent.AJBQ Verwijderd

\WINDOWS\system32\dllcache\charmap.exe Trojan.Agent.AJBQ Verwijderd

\WINDOWS\system32\bootok.exe Trojan.Generic.102337 Verwijderd

\WINDOWS\system32\dllcache\bootok.exe Trojan.Generic.102337 Verwijderd

\WINDOWS\system32\chkdsk.exe Trojan.Generic.102746 Verwijderd

\WINDOWS\system32\dllcache\chkdsk.exe Trojan.Generic.102746 Verwijderd

\WINDOWS\system32\dllcache\write.exe Trojan.Generic.102924 Verwijderd

\WINDOWS\system32\write.exe Trojan.Generic.102924 Verwijderd

\WINDOWS\system32\dllcache\rsvp.exe Trojan.Generic.103201 Verwijderd

\WINDOWS\system32\rsvp.exe Trojan.Generic.103201 Verwijderd

\WINDOWS\system32\dllcache\help.exe Trojan.Generic.103527 Verwijderd

\WINDOWS\system32\help.exe Trojan.Generic.103527 Verwijderd

\WINDOWS\system32\cacls.exe Trojan.Generic.104136 Verwijderd

\WINDOWS\system32\dllcache\cacls.exe Trojan.Generic.104136 Verwijderd

\WINDOWS\system32\chkntfs.exe Trojan.Generic.104984 Verwijderd

\WINDOWS\system32\dllcache\chkntfs.exe Trojan.Generic.104984 Verwijderd

\WINDOWS\NOTEPAD.EXE Trojan.Generic.109461 Verwijderd

\WINDOWS\system32\dllcache\notepad.exe Trojan.Generic.109461 Verwijderd

\WINDOWS\system32\notepad.exe Trojan.Generic.109461 Verwijderd

\WINDOWS\system32\dllcache\verifier.exe Trojan.Generic.144642 Verwijderd

\WINDOWS\system32\verifier.exe Trojan.Generic.144642 Verwijderd

\WINDOWS\system32\dllcache\unsecapp.exe Trojan.Generic.144654 Verwijderd

\WINDOWS\system32\wbem\unsecapp.exe Trojan.Generic.144654 Verwijderd

\WINDOWS\system32\dllcache\drvqry.exe Trojan.Generic.160101 Verwijderd

\WINDOWS\system32\driverquery.exe Trojan.Generic.160101 Verwijderd

\WINDOWS\system32\calc.exe Trojan.Generic.160525 Verwijderd

\WINDOWS\system32\dllcache\calc.exe Trojan.Generic.160525 Verwijderd

\WINDOWS\system32\dllcache\fontview.exe Trojan.Generic.161575 Verwijderd

\WINDOWS\system32\fontview.exe Trojan.Generic.161575 Verwijderd

\WINDOWS\system32\dllcache\srdiag.exe Trojan.Generic.161593 Verwijderd

\WINDOWS\system32\Restore\srdiag.exe Trojan.Generic.161593 Verwijderd

\WINDOWS\system32\dllcache\evtrig.exe Trojan.Generic.161680 Verwijderd

\WINDOWS\system32\eventtriggers.exe Trojan.Generic.161680 Verwijderd

\WINDOWS\system32\comp.exe Trojan.Generic.164455 Verwijderd

\WINDOWS\system32\dllcache\comp.exe Trojan.Generic.164455 Verwijderd

\WINDOWS\system32\dllcache\shutdown.exe Trojan.Generic.171905 Verwijderd

\WINDOWS\system32\shutdown.exe Trojan.Generic.171905 Verwijderd

\WINDOWS\system32\dllcache\fc.exe Trojan.Generic.185193 Verwijderd

\WINDOWS\system32\fc.exe Trojan.Generic.185193 Verwijderd

\WINDOWS\system32\dllcache\typeperf.exe Trojan.Generic.25488 Verwijderd

\WINDOWS\system32\typeperf.exe Trojan.Generic.25488 Verwijderd

\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe Trojan.Generic.27229 Verwijderd

\WINDOWS\system32\dllcache\icwtutor.exe Trojan.Generic.27229 Verwijderd

\WINDOWS\system32\dllcache\wupdmgr.exe Trojan.Generic.27268 Verwijderd

\WINDOWS\system32\wupdmgr.exe Trojan.Generic.27268 Verwijderd

\WINDOWS\system32\dllcache\sc.exe Trojan.Generic.27277 Verwijderd

\WINDOWS\system32\sc.exe Trojan.Generic.27277 Verwijderd

\WINDOWS\system32\dllcache\taskkill.exe Trojan.Generic.27365 Verwijderd

\WINDOWS\system32\taskkill.exe Trojan.Generic.27365 Verwijderd

\Program Files\Movie Maker\moviemk.exe Trojan.Generic.279006 Verwijderd

\WINDOWS\system32\dllcache\moviemk.exe Trojan.Generic.279006 Verwijderd

\WINDOWS\system32\bootvrfy.exe Trojan.Generic.61096 Verwijderd

\WINDOWS\system32\dllcache\bootvrfy.exe Trojan.Generic.61096 Verwijderd

\WINDOWS\system32\dllcache\vssadmin.exe Trojan.Generic.61113 Verwijderd

\WINDOWS\system32\vssadmin.exe Trojan.Generic.61113 Verwijderd

\WINDOWS\system32\dllcache\ping6.exe Trojan.Generic.61134 Verwijderd

\WINDOWS\system32\ping6.exe Trojan.Generic.61134 Verwijderd

\WINDOWS\system32\dllcache\tracert6.exe Trojan.Generic.61150 Verwijderd

\WINDOWS\system32\tracert6.exe Trojan.Generic.61150 Verwijderd

\WINDOWS\system32\dllcache\mpnotify.exe Trojan.Generic.61175 Verwijderd

\WINDOWS\system32\mpnotify.exe Trojan.Generic.61175 Verwijderd

\WINDOWS\system32\dllcache\reset.exe Trojan.Generic.73980 Verwijderd

\WINDOWS\system32\reset.exe Trojan.Generic.73980 Verwijderd

\WINDOWS\system32\autofmt.exe Trojan.Generic.75270 Verwijderd

\WINDOWS\system32\dllcache\autofmt.exe Trojan.Generic.75270 Verwijderd

\WINDOWS\system32\autochk.exe Trojan.Generic.75280 Verwijderd

\WINDOWS\system32\dllcache\autochk.exe Trojan.Generic.75280 Verwijderd

\WINDOWS\system32\attrib.exe Trojan.Generic.86101 Verwijderd

\WINDOWS\system32\dllcache\attrib.exe Trojan.Generic.86101 Verwijderd

\WINDOWS\system32\dllcache\dwwin.exe Trojan.Generic.91963 Verwijderd

\WINDOWS\system32\dwwin.exe Trojan.Generic.91963 Verwijderd

\WINDOWS\system32\dllcache\drwtsn32.exe Trojan.Generic.93270 Verwijderd

\WINDOWS\system32\drwtsn32.exe Trojan.Generic.93270 Verwijderd

\WINDOWS\system32\dllcache\syskey.exe Trojan.Starter.DM Verwijderd

\WINDOWS\system32\syskey.exe Trojan.Starter.DM Verwijderd

\WINDOWS\system32\dllcache\stimon.exe Trojan.Starter.DN Verwijderd

\WINDOWS\system32\stimon.exe Trojan.Starter.DN Verwijderd

\WINDOWS\system32\dllcache\mmc.exe Trojan.Starter.EA Verwijderd

\WINDOWS\system32\mmc.exe Trojan.Starter.EA Verwijderd

\WINDOWS\system32\dllcache\mspaint.exe Trojan.Starter.IV Verwijderd

\WINDOWS\system32\mspaint.exe Trojan.Starter.IV Verwijderd

\WINDOWS\system32\dllcache\ws2_32.dll Trojan.WSPatch.B Verwijderd

\WINDOWS\system32\ws2_32.dll Trojan.WSPatch.B Verwijderd

\Program Files\Windows NT\Bureau-accessoires\wordpad.exe Win32.Worm.Wace.J Verwijderd

\WINDOWS\system32\dllcache\wordpad.exe

Anybody has an idea how this is possible?

mvleus

After placing another false positive related with this one:

http://forum.bitdefender.com/index.php?showtopic=9819

a new BD2009 update seem to be available! i updated my BD and now it seems that it does not find any infected files in the system32 of my Windows XP installation folder anymore!

Problem solved i think?

Thanks peeps