Author Topic: ¿Falso positivo?  (Read 8713 times)

0 Members and 1 Guest are viewing this topic.

Offline GLL

  • Newbie
  • *
  • Posts: 6
¿Falso positivo?
« on: December 06, 2011, 12:11:38 PM »
Esta mañana, después de la última actualización de la base de datos (111206-0) me ha aparecido un aviso de virus en el archivo "sfloppy.sys" localizado en el directorio "C:\windows\system32\drivers".

¿Es posible que se trate de un falso positivo? (Curiosamente, minutos después, al volver a analizar el archivo, ya no detecta nada sospechoso en él.)

Offline Lisandro

  • Avast team
  • Certainly Bot
  • *
  • Posts: 67194
Re: ¿Falso positivo?
« Reply #1 on: December 06, 2011, 01:15:51 PM »
Puede ser...
Por que no lo mandas a www.virustotal.com para comprobar?
The best things in life are free.

Kupula

  • Guest
Re: ¿Falso positivo?
« Reply #2 on: December 06, 2011, 03:37:42 PM »
Me pasa igual.

Mirando por internet he visto que solo lo detecta Avast, también he subido el archivo a virustotal y no lo marca como amenaza.

Avast lo detecta, pero no puede eliminarlo. También te manda hacer un análisis de arranque, en el que no encuentra nada. Una vez dentro del sistema, vuelve a aparecer la amenaza. También si le das a analizar.



¿Puede ser un falso positivo? Espero que sí, porque no hay manera de que avast lo arregle.

julibeabe

  • Guest
Re: ¿Falso positivo?
« Reply #3 on: December 06, 2011, 03:47:41 PM »
Curiosamente a mi me pasa lo mismo desde esta mañana y he hecho lo mismo que vosotros , que es lo que aconseja avast,dándome los mismos resultados: sigue apareciendo el dichoso cartel de amenaza rootkit. Yo además he pasado un programa antimalware extra y otro antirookit online pero sin conseguir nada en absoluto. Tras leer aqui esto del posible falso positivo me quedo un poco más tranquila. A ver si alguien sabe algo al respecto.

Online DavidR

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 88900
  • No support PMs thanks
Re: ¿Falso positivo?
« Reply #4 on: December 06, 2011, 03:57:30 PM »
See this topic, http://forum.avast.com/index.php?topic=89963.0, anti-rootkit detection in XP systems.

Windows 10 Home 64bit/ Acer Aspire F15/ Intel Core i5 7200U 2.5GHz, 8GB DDR4 memory, 256GB SSD, 1TB HDD/ avast! free 24.2.6105 (build 24.2.8918.824) UI 1.0.799/ Firefox, uBlock Origin, uMatrix/ MailWasher Pro/ Avast! Mobile Security

Offline GLL

  • Newbie
  • *
  • Posts: 6
Re: ¿Falso positivo?
« Reply #5 on: December 06, 2011, 05:12:03 PM »
Sí, también lo he subido a Virus total y ningún antivirus detecta nada. Parece que a muchos les pasa lo mismo y que, efectivamente, debe ser un falso positivo. No se exactamente para que sirve ese archivo, pero parece arriesgado eliminarlo así como así.

Online DavidR

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 88900
  • No support PMs thanks
Re: ¿Falso positivo?
« Reply #6 on: December 06, 2011, 05:25:07 PM »
Uploading to VirusTotal won't show anything as it is unable to replicate the anti-rootkit scan, which can only be carried out on a live system. That would be whyt even avast doesn't detect it on VT.

Subir a VirusTotal no se mostrará nada, ya que no es capaz de replicar el escaneo anti-rootkit, que sólo puede llevarse a cabo en un sistema vivo. Eso sería incluso whyt avast no lo detecta en VT.
Windows 10 Home 64bit/ Acer Aspire F15/ Intel Core i5 7200U 2.5GHz, 8GB DDR4 memory, 256GB SSD, 1TB HDD/ avast! free 24.2.6105 (build 24.2.8918.824) UI 1.0.799/ Firefox, uBlock Origin, uMatrix/ MailWasher Pro/ Avast! Mobile Security

julibeabe

  • Guest
Re: ¿Falso positivo?
« Reply #7 on: December 06, 2011, 05:53:14 PM »
Como seguía saliendo constantemente el cartel de amenaza lo llevé al baúl de cuarentena, pero eso no pareció servir de nada, tras lo cual me arriesgué a buscar la ruta y eliminarlo manualmente,así lo hice e incluso vacié la papelera de reciclaje y le pasé el CCleaner y cual no sería mi sorpresa cuando después de todas estas maniobras allí estaba de nuevo el cartel de amenaza rootkit y el archivo en cuestión en su carpeta C\windows\Drivers\sistems32\sfloopy.sis

iroc9555

  • Guest
Re: ¿Falso positivo?
« Reply #8 on: December 06, 2011, 05:55:07 PM »
Esta confirmado como un falso positivo por Milos del equipo de Avast y supuestamente no se detectara con la siguiente actualizacion VPS 111206-2.

http://forum.avast.com/index.php?topic=89963.msg716205#msg716205

Saludos.

  

Online DavidR

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 88900
  • No support PMs thanks
Re: ¿Falso positivo?
« Reply #9 on: December 06, 2011, 05:55:50 PM »
As mentioned ensure you have the latest VPS update 111206-2 and reboot 8 minutes after the boot the rootkit happens and you shouldn't get an alert.

See image extract of the end of the aswAR.log file run after a reboot on my system with that VPS.

Como se mencionó asegurarse de que tiene la última actualización VPS 111206-2 y reiniciar 8 minutos después de arrancar el rootkit pasa y usted no debe recibir una alerta.

Ver extracto de imágenes de la final del archivo aswAR.log ejecuta después de un reinicio en mi sistema con el SPV.
Windows 10 Home 64bit/ Acer Aspire F15/ Intel Core i5 7200U 2.5GHz, 8GB DDR4 memory, 256GB SSD, 1TB HDD/ avast! free 24.2.6105 (build 24.2.8918.824) UI 1.0.799/ Firefox, uBlock Origin, uMatrix/ MailWasher Pro/ Avast! Mobile Security

iroc9555

  • Guest
Re: ¿Falso positivo?
« Reply #10 on: December 06, 2011, 06:05:09 PM »
Ok Un poquito de explicacion de la Goolgle traduccion de DavidR. BTW thank you for your input in the spanish forum.

Actualizen Avast e inmediatamente reinicien el PC. El scan de rootkit que Avast hace 8 minutos despues de empesar el PC no deberia de encontrar el rootkit.

Si lo colocaron el el baul de cuarentena pueden devolverlo a su sitio. Sfloppy.sys es un controlador de Microsoft para el lector floppy.

Saludos

Offline GLL

  • Newbie
  • *
  • Posts: 6
Re: ¿Falso positivo?
« Reply #11 on: December 06, 2011, 06:18:04 PM »
De acuerdo, así pues parece que el tema está resuelto.

Noobsaibot73

  • Guest
Re: ¿Falso positivo?
« Reply #12 on: December 06, 2011, 09:18:31 PM »

Hola a todos,

Ese archivo va en "System32" (en la carpeta "Drivers"), se encarga de controlar la unidad de disco de 3 1/2, sí, esa que ahora no es más que un adorno y que ha sido reemplazada por los pendrives.

SÓLO cuando os aparezca fuera de System32 (de la carpeta "Drivers"), debéis preocuparos, es un archivo legítimo del sistema y TODOS los que tengáis aún una unidad de disco de 3 1/2 conectada, NO debéis borrarlo.

¿Por qué reaparece cuando lo borráis? Sencillo, Windows XP lleva activado un respaldo de los archivos del sistema, si borras uno, automáticamente el respaldo lo vuelve a colocar en su sitio (eso se hizo así, para evitar que un usuario que no supiera lo que hacía, se cargase el sistema operativo por error).

Sencillamente es un falso positivo, si no recuerdo mal, la última actualización del Avast, la 111206-2, soluciona dicho problema, si aún no la tenéis instalada (o no os ha saltado el actualizador), actualizad manualmente y listo, el problema será historia.


Un saludo a todos.