El problema es el método que utilizas para unir los ficheros al stub... Muchos AVs utilizan la heuristica para detectar comportamientos anormales en ejecutables... por ejemplo un comportamiento anormal sería que un ejecutable tenga otro ejecutable pegado al final del mismo (appending)... Para evitar este tipo de detecciones heuristicas lo que has de hacer es cifrar los ficheros que unas al Stub y agregarlo con una técnica diferente...
Sospecho que la técnica que usas es "pegar" el fichero al final del stub... si haces esto debes reparar la estructura PE para que incluya el nuevo fichero como si formase parte del Stub.. Así el AV cuando busque ficheros "pegados" al ejecutable no verá nada porque el fichero ya forma parte de este