Антишпионы и иже с ними, обсуждаем, делимся впечатлениями, ссылками на оффсайты


Не смотря на то, что я не пользуюсь антишпионами, как отдельными продуктами, но многие пользуются, поэтому и решил создать такую тему.
Analyzer, насчёт борьбы Malwarebytes' Anti-Malware с вредоносным ПО согласен, но вот только этот продукт позиционируется не как антишпион, а как антивирус.
заблуждался, теперь буду знать :) и еще его можно использовать как сканер (с установкой) ;)
Да, он в основном и рекомендуется к использованию как второй установленный продукт, который в реальном времени не работает, а используется для сканирования по необходимости.
Не пользовался. Нужно будет на виртуалке "покрутить".
Malwarebytes' Anti-Malware Malwarebytes неплохо детектит заразу и хорошо чистит её остатки.
Интересная довольно ситуация получается с этой Malwarebytes Anti-Malware. Решил проверить её в работе и что из этого получилось?!
Совершенно не обьяснимая и не понятная ситуация.
Вобщем сканирую систему, Malwarebytes находит подозрительные обьекты в том числе (Trojan.Ransom.FG) находит его в проге скринсейвер
C:\Program Files\ScreenJazz\Sexy Underground Moves Screensaver\Screensaver.scr (Trojan.Ransom.FG)
естественно я удивился такому сюрпризу. Далее, скачиваю по новой этот файл, загружаю на проверку Antivirus scan for e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 at 2013-11-13 23:08:55 UTC - VirusTotal
всё нормально! Затем проверяю сам сайт http://antivirus-alarm.ru/proverka/?url=http://screenjazz.com/screensavers/SexyUndergroundMovesScreensaver.html
так же всё отлично.
И как это обьяснить???


Очень просто - поступай на обучение)
Malwarebytes Anti-Malware весьма действенное средство,но имеет свою специфику.
Соответственно и навыки должны быть соответствующие.
Надо было посмотреть лог и сначала отсеять то что попало в список по фальсу.
Koza Nozdri, regist, убедительные обьяснения ) хотя вопрос прямой, как Malwarebytes Anti-Malware признал что в скринсейвере-заставка (Trojan.Ransom.FG)
и почему virustotal ничего в нём не увидел а так же сайт virusinfo показал что тот ресурс (относительно) чистый, по крайней мере без игого?
Вот это можете обьяснить.
P.S. Исходя из логики если файл был заражен то virustotal должен был это определить.
Так же сайт с которого я скачивал этот скрин-заставкутак же должен был определиться.
На запускайте самостоятельно утилиты лечения и ничего не удаляйте без рекомендации хелпера!
regist, ничего не вижу в ней специфического и требующего сверх знаний.
Или вы все полагаете что Malwarebytes ни с того ни с сего нашел (Trojan.Ransom.FG) ?
Можно ответить более вразумительно или для этого нужно тему создавать!
machito, ответ в этой фразе
попало в список по фальсу
false - неверный, неправильный, ошибочный.
Т.е. простыми словами МВАМ очень подозрительна и в лог часто, очень часто, попадают ошибочные файлы.
Исходя из этого
Не запускайте самостоятельно утилиты лечения и ничего не удаляйте без рекомендации хелпера!
regist, ничего не вижу в ней специфического и требующего сверх знаний.
вот в этом вы ошибаетесь. У MBAM очень своеобразная и параноидальная логика определения зловредности файла, которая также зависит от того в какой папке лежит файл. Один тот же файл в разных папках может быть признан либо чистым либо зловредным. Поэтому ещё раз повторю, что:

Если вы не имеете опыта работы с этой утилитой, то настоятельно рекомендую ничего не самостоятельно не удаляйте, не посоветовавшись предварительно с хелпером.

Если вы посмотрите темы в разделах лечения, то увидите много случаев, когда MBAM ругался на системные файлы! Какие могут быть последствия после бездумного удаления всех "троянов" в MBAM я думаю пояснять не надо.
Или вы все полагаете что Malwarebytes ни с того ни с сего нашел (Trojan.Ransom.FG) ?
Можно ответить более вразумительно или для этого нужно тему создавать!
если вы хотите сообщить о ложном срабатывание MBAM, то можете сделать это создав тему на форуме MBAM, но перед этим обязательно прочитайте Please read before reporting a false positive.
regist, а ты не разбирался\не узнавал, чем отличается запуск МВАМ в режиме разработчика от обычного?
лично не проверял, но там на форуме у них где-то раньше читал, что в этом режиме лог более подробный и туда добавляются дополнительные сведения по каким признакам MBAM посчитал этот файл вредоносным. То есть я так понимаю это как минидамп и полный дамп при BSOD.@icotonev, вроде входит в группу специалистов форума MBAM. Возможно он более точно ответит на этот вопрос.
Посмотрел справку, есть интересные ключи (полный путь можно не указывать). Не пойму при каких параметрах создаётся папка с логом, один раз получилось..
  • mbam.exe /logtofolder C:\mbam_log_files
  • mbam.exe /scan -full -log -terminate
Command Line Parameters
Malwarebytes Anti-Malware supports a variety of command line parameters, which can be used from either a command prompt, batch file or script. (Note: some of these parameters are available in the PRO version only.)

mbam.exe <parameters>

(where parameters is one or more of the following)

  • /errorsilent: suppresses all critical errors and writes the last error to <root-drive>\mbam-error.txt where <root-drive> is the hard drive where Windows is installed, also known as the System Drive.


    mbam.exe /errorsilent will suppress all errors when the program is running.
  • /proxy <required server> <optional port> <optional username> <optional password>: allows the user to update through a proxy server. Leave blank to remove any proxy settings previously set.

    • mbam.exe /proxy will remove the proxy settings.
    • mbam.exe /proxy proxy.com 80 will use proxy.com on port 80 with no credentials.
    • mbam.exe /proxy proxy.com 80 admin password will use proxy.com with the specified credentials.

  • /logtofolder <optional path>: allows the user to save all log files to the specified folder. If this folder does not exist, Malwarebytes Anti-Malware attempts to create it. If the path is blank, changes are reverted to default settings. These logs do not show up on the Logs tab.


    mbam.exe /logtofolder C:\mbam_log_files will save all future log files to the location C:\mbam_log_files.

    Note: Protection logs created by the protection module will be saved to the same location you select
  • /logtofile <optional path>: allows the user to save all log files to the specified file. If this file does not exist, Malwarebytes Anti-Malware attempts to create it. Newest entries are appended to top of the file. If the path is blank, changes are reverted to default settings. This log does not show up on the Logs tab.

    mbam.exe /logtofile C:\mbam_log_files\mbam-log.txt will save all future log files to the location C:\mbam_log_files\mbam-log.txt.

    Limitations: The path, in the above case C:\mbam_log_files, must exist. This option will not create folders if they don't exist, only the log file.

    Note: Protection logs created by the protection module will always still only be saved to the default location
  • /register: allows the user to register the program without displaying the main dialog box.


    mbam.exe /register 12345-67890 AAAA-BBBB-CCCC-DDDD will register the product using the license key passed in the parameters.

    Limitations: Protection must be enabled using the program user interface if it is to be enabled before the system restarts.
  • /developer: this command line parameter is used to execute the program in developer mode and will create a log with encrypted information on items detected in a scan. It is used for reporting false positives and allows the researchers to determine why an item is being detected.

    Example: mbam.exe /developer will start the program with detailed detection information.

    Note: When reporting a false positive, please be sure to use the /developer switch and provide the resulting log to the researchers.

  • /update <optional -silent>: allows the user to update the product and database.

    • mbam.exe /update will attempt to update the database or program, depending on settings.
    • mbam.exe /update -silent will attempt to update the database or program silently. The -silent switch will not function in the Free version.

  • /scan <optional -quick or -full or -flash> <optional -silent> <optional -remove> < optional -terminate> <optional -reboot> <optional -log>: initiates a scan with the selected options.

    • -quick: initiates a quick scan.
    • -full: initiates a full scan using saved drives in the registry.
    • -flash: initiates a flash scan of memory and heuristics only.
    • -terminate: closes the program after a scan completes and no threats were found (cannot be used with -silent). If an item is detected, the program remains open so that the user can decide whether or not to remove the detected threat(s). The -terminate switch will not function in the Free version.
    • -log: overrides the save log checkmark on the settings tab. If the Automatically save log after scan completes option is unchecked, a log file will still be saved when the -log parameter is used.
    • -silent: hides the GUI while scanning (does not need to be used with -terminate). The -silent switch will not function in the Free version.
    • -reboot: reboots the computer if necessary, only valid if -remove is used. The -reboot switch will not function in the Free version.
    • -remove: automatically removes threats and saves a log file. Unless -silent is specified, GUI stays open. The -remove switch will not function in the Free version.
    • mbam.exe /scan will run a default scan.
    • mbam.exe /scan -full will run a full scan.
    • mbam.exe /scan -flash -terminate will run a flash scan and terminate if no objects are detected.
    • mbam.exe /scan -quick -log -silent -remove -reboot will run a quick scan silently, save logs, automatically remove threats, and reboot if necessary.
    • -terminate parameter cannot be used with the -silent parameter since the program will automatically terminate when the -silent parameter is used.
    • -reboot parameter is only valid if used with the -remove parameter.

  • /schedule <options /update or /scan -quick or /scan -full or /scan -flash> <options /realtime or /hourly or /daily or /weekly or /monthly or /once or /onreboot>: these items allow the user to choose the frequency for the scheduled update or scan to occur:
    • <optional /starting mm/dd/yyyy hh:mm:ss>: this item allows the user to set the time for the scheduled scan or update to start.
    • For /realtime omit this - the current time is assumed.
    • For /random - this item selects a random time to set the scheduled scan or update to occur. /random may only be used with /hourly or /daily and randomizes the Hour and Minute or Hour and Minute and Second respectively

      Limitations: Not supported with /onreboot for scans or /realtime or /onreboot for updates.

    • <optional /every X where X is a number for the frequency of the scan or update to occur, this is required for every option except /monthly,/once and /onreboot> <optional /recover X where X is the number of hours for the scan or update to attempt to run again if the computer was unavailable during the scheduled time, this is not valid with /onreboot or /realtime>
    • <optional /wakefromsleep>: may be used with a scan or an update. Malwarebytes Anti-Malware will attempt to wake the computer from sleep to perform the scheduled scan or update.

      Limitations: Not supported with /onreboot for scans or /realtime or /onreboot for updates.
    • <optional /flash executes a Flash Scan after a successful update

      Note: only used with /update>
    • /schedule /scan -quick -remove -terminate -log /daily /starting 08/10/2010 23:00:00 /every 1 /silent /wakefromsleep will schedule silent daily Quick Scan starting on August 10th, 2010 at 11:00PM that will repeat every 1 day, remove threats, reboot if necessary, force the creation of a scan log and will attempt to wake the computer from sleep to perform the scan.
    • /schedule /update /flash /realtime /every 5 will schedule an update to occur in real-time once every 5 minutes and set a Flash Scan to occur after each successful update.

  • /unschedule <optional /all or /all -update or /all -scan>.
    Note: You can remove individual scans or updates by not including the /all switch and specifying the exact switches used to create the scan or update
    • /all removes all scheduled scans and updates.
    • /all -update removes all scheduled updates.
    • /all -scan removes all scheduled scans.
    • /unschedule /all will delete all scheduled updates and scans
    • /unschedule /all -scan will delete all scheduled scans
    • /unschedule /all -update will delete all scheduled updates
    • /unschedule /scan -quick -remove -terminate -log /daily /starting 08/10/2010 23:00:00 /every 1 /silent will delete a scheduled silent daily Quick Scan that was set to start on August 10th, 2010 at 11:00PM that was set to repeat every 1 day, remove threats, reboot if necessary, and force the creation of a scan log.
    • /unschedule /update /flash /realtime /every 5 will delete a scheduled update that was to occur in real-time once every 5 minutes and with a Flash Scan set to occur after each successful update.

  • /setpassword sets or changes the password to access certain features of the product. Quotes are required around the password you wish to set if it contains any non alpha-numeric characters and the actual character " is not allowed within the password itself.

    • /setpassword "malwarebytes" sets the password to malwarebytes
    • /setpassword "newpassword" "oldpassword" changes the password from oldpassword to newpassword
    • /setpassword "P^&#2@" sets the password to P^&#2@

  • /clearpassword <password>: removes the password.

    • /clearpassword "malwarebytes" removes all password protection if the password was malwarebytes
    • /clearpassword "P^&#2@" removes all password protection if the password was P^&#2@
разобрался -
  • mbam.exe /logtofolder C:\mbam_log_files
так создаётся папка для логов (но лучше руками создать и выполнить команду, тогда все отчёты туда идут. /logtofile - все логи будут писаться в один файл (дописываться)).В cmd (bat) так будет выглядеть.
"C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /logtofolder C:\mbam_log_files
"C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /scan -quick -log -terminate
Или так
"C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /logtofolder %userprofile%\desktop\mbam_log_files
"C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /developer /scan -full -log -terminate
