Помогите разобраться с результатом сканирования Anti-Malware

Disput

Активный пользователь
Сообщения
2
Реакции
0
Баллы
171
Доброго времени! Ситуация следующая: после сканирования,утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов,в логах(текстовый документ) абсолютно всё чисто. Вопрос - кому верить,логу,или отчёту?
 

mike 1

Активный пользователь
Сообщения
2,415
Реакции
932
Баллы
453
утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов
Не все что она находит обязательно является вирусом, поэтому нужно быть аккуратным в удалении чего либо через MBAM. Сделайте скриншот того что нашла MBAM.
 

Disput

Активный пользователь
Сообщения
2
Реакции
0
Баллы
171
По просьбе mike 1,высылаю скриншоты с подозрительными файлами.
 

Вложения

mike 1

Активный пользователь
Сообщения
2,415
Реакции
932
Баллы
453
Disput, большая часть из найденного это ваши кряки. 2 часть из найденного относится к нежелательному ПО, которое может быть установлено без ведома пользователя, но опять же вирусом такое ПО не является.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,596
Реакции
6,103
Баллы
1,008
Не надо забывать, что под видом крэков к программам могут и вирусы распространять. Или двойного назначения файл может быть, вот пример.
 
Последнее редактирование модератором:

mike 1

Активный пользователь
Сообщения
2,415
Реакции
932
Баллы
453
regist, для таких вещей есть вот https://www.virustotal.com/ru/ такой хороший ресурс, где можно проверить файл перед его использованием.
 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
VT не панацея, но хороший помощник.
 

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Сегодня выполнил обычную проверку своего ноутбука MB4. Обычно она ничего не находит, а вот в этот раз нашла 16 объектов TrojanDisabledAV. Привожу полный лог программы
Код:
Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 22.04.2020
Время проверки: 16:58
Файл журнала: 5e81b1a2-84a1-11ea-aef5-10bf481e78af.json

-Информация о ПО-
Версия: 4.1.0.56
Версия компонентов: 1.0.835
Версия пакета обновления: 1.0.22770
Лицензия: Бесплатная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: NOTEBOOK\Matias

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 235578
Обнаружено угроз: 16
Помещено в карантин: 16
Затраченное время: 10 мин, 42 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Обнаружение
PUM: Предупредить

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 16
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 0
(Вредоносные программы не обнаружены)

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)


(end)
Троян препятствует запуску различного защитного ПО, добавляя его сертификаты в список недоверенных. Однако все защитное ПО, установленное на ноутбуке (Privatefirewall, Avira, ESET Online Scanner, Emsisoft Emergency Kit и сама MB4), работает в штатном режиме.
Какому ПО принадлежат эти сертификаты? Какая программа могла добавить их к списку недоверенных?
 
Последнее редактирование:

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Если какой-то зловред все же похозяйничал в системе (хотя это крайне маловероятно), то почему MB4 нашла следы его деятельности, но не его самого? Ведь программа не обнаружила никаких файлов, она нашла только записи реестра, связанные с сертификатами определенного защитного ПО, попавшими в список недоверенных.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Само уничтожился. Вероятно остались еще скрытые папки ряда известных антивирусов. В разделе лечения провериться не хотите?
Сейчас я проверю, не созданы ли в системе какие-нибудь папки, имеющие отношение к защитному софту. Думаю, в проверке системы нет нужды, поскольку ни одна из перечисленных мной программ не нашла ничего подозрительного.
 

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Нашел на BleepingComputer статью про CertLock, в которой утверждается, что он прописывается в автозагрузку для однократного запуска. Странно, что Privatefirewall с его параноидальной проактивной защитой проморгал этого зловреда. Любой приличный файервол должен воспринимать запуск любой программы из временной папки как подозрительную активность и информировать об этом пользователя. В той же самой статье написано, что троян распространяется в качестве нежелательного довеска к другому ПО. Я прекрасно помню, что за последнюю неделю не устанавливал на ноутбук никаких программ. При прошлой проверке MB4 не обнаружила этого зловреда. Значит, неделю назад его в системе вообще не было.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Не ставьте диагнозов, не факт, что это он. Подобный механизм блокировки много софта использует... посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
 

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
Ни одна из установленных на ноутбуке защитных программ не блокируется, но проверить не мешает. Форк HJT распространяется отдельно или его можно скачать только в составе Автологгера?
 

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Вчера выполнил проверку не только ноутбука с Семеркой, но и десктопа с XP. Там тоже были обнаружены недоверенные сертификаты защитного ПО. Ниже привожу часть лога MBAM 1.75:
Код:
Обнаруженные ключи в реестре:  8
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3AD010247A8F1E991F8DDE5D47989CB5202E5614 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6A2C691767C2F1999B8C020CBAB44756A99A0C41 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9FEB091E053D1C453C789E8E9C446D31CB177ED9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3FD325D0F2259F693DD789430E3A9430BB59B98 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
Никаких файлов программа не обнаружила.
 
Последнее редактирование:

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
.. посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,596
Реакции
6,103
Баллы
1,008
Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.
После того как вы удалили все следы в MBAM не удивительно, что там их уже не видно.

А вообще мне не понятно, с чего вы решили, что это вирус и что это сертификаты от антивирусов? Поверили на слово MBAM? Думал, все знают, что эта утилита часто ошибается.
Конечно после того как вычистили до создание лога Джека немного трудно говорить, что это было, но похоже это отозванные сертификаты которые выпускал комодо. Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.
 

Matias

Активный пользователь
Сообщения
126
Реакции
52
Баллы
328
Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.
Удаленные записи реестра можно без проблем восстановить из карантина MBAM.
 
Сверху Снизу