Na een periodieke scan van de pc met MalwareBytes’ Anti-Malware kreeg ik de melding “1 Infectie gevonden. C:\Windows\System32\Msdirectx.exe –> Trojan.Netstop“. Een online scan van het betreffende bestand op Jotti.org gaf een twijfelachtig resultaat; 5 van de 21 scanners vonden een infectie, maar de bekendere scanners zoals Avast, AVG, G Data, Kaspersky, NOD32 en Panda gaven geen melding. Daarmee was de gedachte aan een ‘False Positive’ (valse melding) geboren.

Toen maar even het betreffende bestand zelf opgezocht en de eigenschappen bekeken, geen gegevens en ook geen digitale handtekening. Dus dat was geen goed teken. Op ons forum en op het forum van HijackThis.nl een topic geopend hierover inclusief een downloadlink (bestand tijdelijk op de webserver gezet). Naar aanleiding van dat topic kreeg ik een reactie van Daniel (Moderator) met de suggestie dat het zou kunnen gaan om een gecompileerde VisualBasic file. Na een online scan op Dr.Web was het resultaat 28/41, oftewel 68,3% van de scannners daar gaven een infectie melding. Dus dat het om een kwaadaardig bestand ging was eigenlijk wel duidelijk.

Toch maar even contact gezocht met Tony Krijnen van Microsoft, Rick den Breeijen van ESET (Spicylemon) en Jan van Haver van G Data. De reactie van Microsoft liet niet lang op zich wachten;

“Hi there, wij (microsoft) hebben geen bestand dat msdirectx.exe heet. Als je dit bestand ook download zie je dat het geen digitale handtekening heeft van Microsoft wat standaard is bij de onderdelen van het Microsoft OS.
Bij het downloaden kreeg ik ook gelijk een waarschuwing van mijn ForeFront Client Security dat dit bestand een Trojan is genaamd Win32/NetStop.B.

Geen False Positive dus, gewoon keihard een trojan. Meteen van je systeem verwijderen zou ik zeggen.”

Daarna kwam de reactie van Jan van Haver van G Data, maar ondertussen was het topic al opgelost. Jan van haver schreef dat hij de gedachte aan een ‘False Positive’ wel begreep omdat een aantal van de scanners op Jotti.org die aangaven dat er een probleem was, traditioneel hoog scoren op het gebied van “False Positives’.

Hierna aan MalwareBytes de ‘edele’ eer gegund om de betreffende Trojan definitief de nek om te draaien (met succes).

p.s. tot onze spijt heeft ESET tot op heden nog niet gereageerd op onze e-mail..