Author Topic: False alert? (Read 1932 times)

REDACTED · « **on:** March 18, 2015, 07:13:06 PM »

I just came back after being AFK for maybe 10 to 20 minutes and was greeted by this message:

I asked avast to put the file in the quarantene thingy and it told me that it failed. The warning popped up a few times.

Quote

18.03.2015 18:30:42 C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.E809961f3#\42963fd354ea21b8bcb8df5637b29f1d\Microsoft.Expression.Markup.ni.dll [L] Win32:Evo-gen [Susp] (0)
18.03.2015 18:31:39 C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.E809961f3#\42963fd354ea21b8bcb8df5637b29f1d\Microsoft.Expression.Markup.ni.dll [L] Win32:Evo-gen [Susp] (0)
Datei erfolgreich in Container verschoben... (moved file successfully to a container)
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden (failed to delete the file because it could not be found)
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Löschen der Datei ist ein Fehler aufgetreten: Das System kann die angegebene Datei nicht finden
Beim Verschieben in den Container ist ein Fehler aufgetreten: Zugriff verweigert (could not move file to container: access denied)

So now I am a little bit worried what exactly has happened. I've not done anything special on the system today. Yesterday I installed Microsoft Visual Studio 2013 and some frameworks that come with it. The source of that installation looked pretty legit. The file seems to be part of that. I extracted the file from the quarantene and asked VirusTotal about it: https://www.virustotal.com/de/file/82d446774e15dc3975f81f22c5ccbe902fa6e45975b1d22b4674666cabe7ec1d/analysis/1426701243/
No findings. Not even avast shows a warning.
A minute or two later the real time file protection alarted me again about the dll file, that I had extracted to my desktop "Virus found".

Is this some heuristic detection going mad at some microsoft framework?

Pondus · « **Reply #1 on:** March 18, 2015, 07:19:08 PM »

Win32:Evo-gen [ susp ] = Suspicious

Probably because it is new First submission 2015-02-20 21:27:41 UTC ( 3 weeks, 4 days ago )

Quote

Copyright© Microsoft Corporation. All rights reserved.
Publisher Microsoft Corporation
Product Microsoft® Visual Studio® 2013
Original name Microsoft.Expression.Markup.dll
Internal name Microsoft.Expression.Markup.dll
File version 12.0.31101.0
Description Microsoft.Expression.Markup.dll
Comments Microsoft.Expression.Markup.dll

Report as false positive here https://support.avast.com/ > avast virus lab

REDACTED · « **Reply #2 on:** March 18, 2015, 07:34:16 PM »

okay will do that

Author Topic: False alert? (Read 1932 times)

REDACTED

False alert?

Pondus

Re: False alert?

REDACTED

Re: False alert?