Avast y Windows Defender - Malware ¿falso positivo?

Buenas tardes, creo que esto ha sido un falso positivo, pero cuento mi caso para que los expertos me déis opinión:

Hoy encendí mi PC y, como siempre hago, lo primero es ver si hay actualizaciones de Windows y pasarle un análisis completo con AVAST Free, tengo esa costumbre. Salían varias actualizaciones desde Windows Update, entre ellas la de Enero de 2022 y la Acumulativa de Enero (Windows 11).

El caso es que todas se fueron descargando e instalando bien, pero cuando le tocó el turno a la acumulativa, cuando llegaba al 100% de instalación AVAST informaba que movía un archivo a la cuarentena por malware: Win64 Gen. El archivo tenía un nombre larguísimo y se ubicaba en la carpeta WinSxS, afectando al proceso TiWorker. Sé al 100% que esta detección se producía al intentar instalar la actualización porque al mover ese archivo a cuarentena, la descarga e instalación desde Windows Update comenzaba de nuevo, pero al llegar al 100% de instalada, saltaba el aviso y se repetía el proceso. No quise desactivar el antivirus o restaurar el archivo para seguir con la instalación por precaución.

Desde la cuarentena intenté eliminar del PC la amenaza, que salió 4 veces por 4 intentos de instalar la actualización, pero seguía en la cuarentena (imagino que por ser un archivo temporal interrumpido, ya que tiene que ver con la descarga de la actualización)

Como la actualización normal de enero y otras se instalaron, decidí reiniciar para que se instalasen 100% y tras hacerlo, la acumulativa se descargó e instaló sin avisos. De la cuarentena pude borrar las amenazas anteriores y ya está vacía.

Hice varios análisis del PC completos, de la carpeta Windows y la carpeta WinSxS con Windows Defender, AVAST, Malwarebytes y ESET Escaner y no han detectado nada, ni al analizar el PC completo ni esas carpetas específicamente: 0 amenazas, por lo que entiendo que, al tener la configuración extremadamente sensible de AVAST, ha sido un falso positivo, pero quería conocer su opinión, ya que todo ha sido desde un archivo que genera Windows Update.

Gracias de antemano.

PD: Por probar, probé a desinstalar la actualización acumulativa, ya que la normal no podía y al reinstalarla no saltó el mensaje de AVAST, el conflicto parecía estar antes de instalar la actualización de enero de 2023 al instalar la acumulativa, pero tras ese reinicio que comentaba más arriba donde instaló la de enero, ya la acumulativa no daba problemas, lo digo por si da pistas o algo de la situación.

Siempre corres ese riesgo al poner la heuristica al máximo con cualquier antivirus, deberías de dejar la q trae por defecto.

Sí, está todo lo más sensible posible, por lo que sería lógico lo del falso positivo…

Es cierto que tengo la sensibilidad extrema.

He realizado hace un rato estos análisis y no hubo positivos:

Windows Defender: Rápido y completo AVAST: Inteligente, rápido y completo ESET Online Scanner: Rápido y completo MalwareBytes: Completo

Todos de 1 en 1 y no a la vez, con el ordenador normal. Después reinicié en modo seguro e hice los siguientes análisis:

ESET Online Scanner: Rápido y completo MalwareBytes: Rápido y completo.

El resto de programas no cargaban: Windows Defender dejaba en blanco la ventana y AVAST daba error, imagino que por no tener red. En modo con red al no tirar de wifi no hice nada.

Y por último analicé con AVAST desde el arranque y tampoco salieron amenazas.

¿Por lo que les comenté y su opinión creen que fue falso positivo, o creen que alguna otra herramienra sería necesaria @nworder @Chicloi ?

Hola buenas @Chris57392847

Primero de todo intervengo en este tema con tu permiso @Chris57392847 y también con el del compañero @nworder

Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

He leído todo lo que comentas y YES, al tener la Heurística tan sensible como comentas, es muy probable en que la detección fuese un F.P. sin importancia. Más siendo que es el AVAST Free, esto huele mucho a … F.P y más siendo el tema de la actualización que comentas.

¿Tu O.S. es legal o es pirata ?

¿Tienes o has tenido en esta máquina algo crackeado o ?

Trae los siguientes informes de los programas que has comentado, es decir, solo me interesan: ESET Online Scanner y MalwareBytes.

Muy Importante Coloca los reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Hola @Marr0n te respondo y te muestro los resultados:

• Software original y actualizado hasta las de enero que han sido en las que ha salido el problema
• No, nada que no sea descargado de webs oficiales o cosas así, que yo recuerde

MALWAREBYTES

-Información del software-
Versión: 4.5.21.231
Versión de los componentes: 1.0.1890
Versión del paquete de actualización: 1.0.65157
Licencia: Prueba

-Información del sistema-
SO: Windows 11 (Build 22621.1194)
CPU: x64
Sistema de archivos: NTFS

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 266410
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 1 min, 31 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

ESET Online Scanner

31/01/2023 22:43:25
Archivos analizados: 257381
Archivos detectados: 0
Archivos desinfectados: 0
Tiempo total de análisis: 00:23:31
Estado del análisis: Finalizado

Como os comentaba, nada da positivos, lo que entiendo como buena señal, claro. En el MB está todo para analizarse y es completo y en el ESET es completo también.

Hola de nuevo. Mientras @Marr0n valora los resultados, comentar que he realizado con MalwareBytes análisis personalizados en vez del que sale en el menú de inicio y que yo entiendo como completo, buscando y no buscando rootkits y esos han durado bastante más, especialmente el más completo, +30’. Con 0 positivos también. La única diferencia por ejemplo es que en los resultados, en el análisis personalizado hay muchos más archivos analizados.

Una segunda pasada de ESET tampoco da positivos y la única diferencia, como tras cada análisis normal con MalwareBytes es que aumentaron los archivos analizados respecto a la otra vez, en una cantidad no llamativa, por ejemplo el análisis de MalwareBytes de mi último post arrojó 266 457 y el último que he hecho (no personalizado) sube a 266 544, imagino, ya que no he usado el PC que son cosas de archivos temporales y esas cosas, ya que con ESET subió también unos pocos.

Por si ayuda.

Buenas otra vez, mientras @Marr0n vuelve y me da su opinión, he pasado:

• Adware Cleaner
• Kapersky Removal Tool

Con 0 detecciones, por lo que, creo, son buenas noticias que seguirían confirmando que la heurística al máximo y ser tras intento de actualización vía Windows Update provocó falso positivo.