# Помогите разобраться с результатом сканирования Anti-Malware



## Disput

Доброго времени! Ситуация следующая: после сканирования,утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов,в логах(текстовый документ) абсолютно всё чисто. Вопрос - кому верить,логу,или отчёту?


----------



## mike 1

> утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов


Не все что она находит обязательно является вирусом, поэтому нужно быть аккуратным в удалении чего либо через MBAM. Сделайте скриншот того что нашла MBAM.


----------



## regist

Disput, если подозреваете вирусы то вам сюда http://safezone.cc/threads/15/


----------



## Disput

По просьбе mike 1,высылаю скриншоты с подозрительными файлами.


----------



## mike 1

Disput, большая часть из найденного это ваши кряки. 2 часть из найденного относится к нежелательному ПО, которое может быть установлено без ведома пользователя, но опять же вирусом такое ПО не является.


----------



## regist

Не надо забывать, что под видом крэков к программам могут и вирусы распространять. Или двойного назначения файл может быть, вот пример.


----------



## mike 1

regist, для таких вещей есть вот https://www.virustotal.com/ru/ такой хороший ресурс, где можно проверить файл перед его использованием.


----------



## akok

VT не панацея, но хороший помощник.


----------



## Matias

Сегодня выполнил обычную проверку своего ноутбука MB4. Обычно она ничего не находит, а вот в этот раз нашла 16 объектов TrojanDisabledAV. Привожу полный лог программы




Код:



__
__
__



Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 22.04.2020
Время проверки: 16:58
Файл журнала: 5e81b1a2-84a1-11ea-aef5-10bf481e78af.json

-Информация о ПО-
Версия: 4.1.0.56
Версия компонентов: 1.0.835
Версия пакета обновления: 1.0.22770
Лицензия: Бесплатная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: NOTEBOOK\Matias

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 235578
Обнаружено угроз: 16
Помещено в карантин: 16
Затраченное время: 10 мин, 42 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Обнаружение
PUM: Предупредить

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 16
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 0
(Вредоносные программы не обнаружены)

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)


(end)


__

Троян препятствует запуску различного защитного ПО, добавляя его сертификаты в список недоверенных. Однако все защитное ПО, установленное на ноутбуке (Privatefirewall, Avira, ESET Online Scanner, Emsisoft Emergency Kit и сама MB4), работает в штатном режиме.
Какому ПО принадлежат эти сертификаты? Какая программа могла добавить их к списку недоверенных?


----------



## Matias

Если какой-то зловред все же похозяйничал в системе (хотя это крайне маловероятно), то почему MB4 нашла следы его деятельности, но не его самого? Ведь программа не обнаружила никаких файлов, она нашла только записи реестра, связанные с сертификатами определенного защитного ПО, попавшими в список недоверенных.


----------



## Sandor

Matias написал(а):


> но не его самого?


Само уничтожился. Вероятно остались еще скрытые папки ряда известных антивирусов. В разделе лечения провериться не хотите?


----------



## Matias

Sandor написал(а):


> Само уничтожился. Вероятно остались еще скрытые папки ряда известных антивирусов. В разделе лечения провериться не хотите?


Сейчас я проверю, не созданы ли в системе какие-нибудь папки, имеющие отношение к защитному софту. Думаю, в проверке системы нет нужды, поскольку ни одна из перечисленных мной программ не нашла ничего подозрительного.


----------



## Matias

Нашел на BleepingComputer статью про CertLock, в которой утверждается, что он прописывается в автозагрузку для однократного запуска. Странно, что Privatefirewall с его параноидальной проактивной защитой проморгал этого зловреда. Любой приличный файервол должен воспринимать запуск любой программы из временной папки как подозрительную активность и информировать об этом пользователя. В той же самой статье написано, что троян распространяется в качестве нежелательного довеска к другому ПО. Я прекрасно помню, что за последнюю неделю не устанавливал на ноутбук никаких программ. При прошлой проверке MB4 не обнаружила этого зловреда. Значит, неделю назад его в системе вообще не было.


----------



## akok

Не ставьте диагнозов, не факт, что это он. Подобный механизм блокировки много софта использует... посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)


----------



## Matias

akok написал(а):


> посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)


Ни одна из установленных на ноутбуке защитных программ не блокируется, но проверить не мешает. Форк HJT распространяется отдельно или его можно скачать только в составе Автологгера?


----------



## Sandor

https://safezone.cc/resources/hijackthis-fork.201/ можно и отдельно.


----------



## Matias

Вчера выполнил проверку не только ноутбука с Семеркой, но и десктопа с XP. Там тоже были обнаружены недоверенные сертификаты защитного ПО. Ниже привожу часть лога MBAM 1.75:




Код:



__
__
__



Обнаруженные ключи в реестре:  8
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3AD010247A8F1E991F8DDE5D47989CB5202E5614 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6A2C691767C2F1999B8C020CBAB44756A99A0C41 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9FEB091E053D1C453C789E8E9C446D31CB177ED9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3FD325D0F2259F693DD789430E3A9430BB59B98 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.


__

Никаких файлов программа не обнаружила.


----------



## Matias

akok написал(а):


> .. посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)


Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.


----------



## regist

Matias написал(а):


> Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.


После того как вы удалили все следы в MBAM не удивительно, что там их уже не видно.

А вообще мне не понятно, с чего вы решили, что это вирус и что это сертификаты от антивирусов? Поверили на слово MBAM? Думал, все знают, что эта утилита часто ошибается.
Конечно после того как вычистили до создание лога Джека немного трудно говорить, что это было, но похоже это отозванные сертификаты которые выпускал комодо. Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.


----------



## Matias

regist написал(а):


> Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.


Удаленные записи реестра можно без проблем восстановить из карантина MBAM.


----------



## akok

Можете попробовать, посмотрим.


----------



## Matias

Фолс устранен. По мнению специалиста форума Malwarebytes, сертификаты были выпущены одним из УЦ ОАЭ. Этот специалист дал мне ссылку на эту новость на BleepingComputer.


----------



## Matias

Установил на ПК с XP MB3 вместо старой MBAM 1.75. После установки сразу же запустил полную проверку ПК, исключив только каталоги защитного ПО. Она длилась всего три с небольшим минуты. Старая версия тратила на такую же проверку более четверти часа. За счет чего удалось добиться столь значительного увеличения скорости сканирования?


----------



## regist

Pilate86 = Matias ?


----------



## Matias

Угу. Я никогда и не скрывал, что у меня несколько никнеймов.


----------



## Matias

Похоже, антируткит MB3 плохо совместим с XP. При включении опции поиска руткитов программа застревает на одном из файлов в папке %windir%Installer. Никаких руткитов в системе точно нет, поскольку я буквально несколько дней назад проверил обе машины на форуме Malwarebytes (админы зачем-то переместили созданную мной тему из раздела о ложных срабатываниях в раздел лечения и попросили выложить диагностические логи, что я и сделал. Ничего вредоносного, естественно, найдено не было, поскольку это был явный фолс программы, который в итоге был исправлен).


----------



## Matias

Кажется, я понял в чем дело. Русский перевод MB3 не совсем точен, и полная проверка вовсе не является таковой. При полной проверке сканируются только типичные места дислокации зловредов. Именно потому она и завершается так быстро. Для выполнения проверки всего ПК следует использовать выборочную проверку, где можно отметить все имеющиеся диски. Вот тогда проверка действительно будет полной.


----------



## gillranjeett

Какому ПО принадлежат эти сертификаты? Какая программа могла добавить их к списку недоверенных?


----------



## Sandor

Здравствуйте!

О каких сертификатах идёт речь?


----------



## gillranjeett

Кажется, я понял в чем дело. Русский перевод MB3 не совсем точен, и полная проверка вовсе не является таковой.


----------

