• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Windows ISO Downloader, вредонос?!

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#1
Утилита по скачиванию оригинальных образов (Windows ISO Downloader), знакома многим, и в моём компьютере лежала естественно давно, но, сегодня защитник windows, выдал такое сообщение:
Windows ISO Downloader.exe Trojan:Win32/Pellate.A!l уровень критический
В окне защитника перехожу по ссылке "узнать больше"
Trojan:Win32/Pellate.A!cl

Онлайн сканер ничего отрицательного - настораживающего не показал:
Antivirus scan for 497b583b4123027fafcc882370c7156de0dcc14b422dedf8e1791aec5ccc6212 at 2016-12-14 08:05:58 UTC - VirusTotal

Windows ISO Downloader - бесплатная программа, которая предназначена для простой загрузки официальных образов ОС Windows с серверов Microsoft.
Программа отображает список доступных операционных систем, для которых можно скачать образы. На данный момент это Windows 7, Windows 8.1, Windows 10 и Windows 10 Insider Preview, а также офисные пакеты MS Office 2007, 2010 и 2013/2016. После выбора соответствующей системы утилита отображает форму, схожую с сайтом Microsoft Techbench.
Загрузка готовых образов ISO операционной системы, которая уже установлена и используется на устройствах, является отличным методом для переустановки или восстановления системы.



У кого какие мнения, помогите разобраться, так ли это?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,129
Симпатии
5,706
#2
Судя по тому,что образы качаются с амазона,то реакция битдефендера понятна - явно уже имеется разногласие с описанием из первого поста.
Надо на выходных посмотреть что за программа,куда лезет,чем занимается еще.
 

Phoenix

Активный пользователь
Сообщения
2,091
Симпатии
2,038
#3
Надо на выходных посмотреть что за программа,куда лезет,чем занимается еще.
Windows ISO Downloader 4.10 скачать бесплатно - Операционные системы
защитник windows, выдал такое сообщение: Windows ISO Downloader.exe Trojan:Win32/Pellate.A!l уровень критический
Моё мнение, что защитник windows защищает windows microsoft corporation :) а не пользователя windows как такового.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#4
Судя по тому, что образы качаются с амазона
в описании четко сказано (загрузить ИСО образы для Windows и Office, непосредственно с сервера Microsoft.) читаем внимательно.
Вердикт довольно таки серьезный, "Trojan:Win32/Pellate.A!l"
Надо на выходных посмотреть что за программа, куда лезет, чем занимается еще.
Думаю тогда станет ясно, кто кого защищает.
 

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#6


@Phoenix, это вообще не понятно, это что было, жаль что сразу не заскринил. Сейчас вот решил направить сканер на утиль в папке,
и такая картина - все прекрасно, трояна нет.
Завтра попробую на другой железке, может опять сработает.
 

Вложения

Phoenix

Активный пользователь
Сообщения
2,091
Симпатии
2,038
#7
Завтра попробую на другой железке, может опять сработает.
Там есть его логи в
C:\Documents and Settings\All users\Application Data\Microsoft\Windows Defender\
или
C:\ProgramData\Microsoft\Windows Defender\
 

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#8
Documents and Settings отказывает доступ.
C:\ProgramData\Microsoft\Windows Defender\ где копать?
 

Phoenix

Активный пользователь
Сообщения
2,091
Симпатии
2,038
#9
WIN+R (меню Выполнить) вставить строку адреса и ENTER
Желательно брать в кавычки, если есть пробелы в пути. Но на 10-ке и так работает.
Код:
"C:\Documents and Settings\All users\Application Data\Microsoft\Windows Defender\"
Попробуй этоим средством Microsoft Safety Scanner - Бесплатное средство обеспечения безопасной и стабильной работы ПК
Лог - C:\Windows\debug\msert.log
У меня нашёл что то. Не помню что это..
PHP:
Threat detected: PWS:Win32/Kurit!rts
    file://C:\Program Files\Directmedia\Uninstall.exe
        SigSeq: 0x00001667B900C8BC
        SHA1:   898a5ad23bfa14815928816e86cc8b7b8d4c34fb
    regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
    uninstall://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
Antivirus scan for 78172d9662d6c35afbf00bd35670b3608e69a23ade8eadc66c17e20cdcbbe597 at 2014-08-04 19:16:56 UTC - VirusTotal
По хэшу на VT вот 24 / 54
 

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#10
C:\ProgramData\All users\Application Data\Microsoft\Windows Defender\
Извиняюсь, сборщик логов из меня никакой)) где он находится, в корне папки?
Попробуй этоим средством
Еще одно чудо разработка мелких, она проявляет интерес к железу на все 100%. Хотя имеется опция выбора.
Полное не соответствие назначения функционала, где логика!
Зачем прикрутили эту функцию "выбрать отдельную папку", сканирование все равно начинается в полном обьеме но якобы "быстрое"
но какая разница, идет полный шмон ОС попутно с отчетом на майкрософт, что оговаривается в соглашении.

 

Вложения

Phoenix

Активный пользователь
Сообщения
2,091
Симпатии
2,038
#11
В папке Scans, Quarantine, Support посмотри. У меня он заблокирован и там пусто. Или поиском .log или .txt
MSERT я быструю делал, а остальное долго сканирует.
 
Последнее редактирование:

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#12
Логи только в одной лежали, в папке Support.
 

Вложения

Phoenix

Активный пользователь
Сообщения
2,091
Симпатии
2,038
#13
Internal signature match:subtype=Lowfi, sigseq=0x00023EBD4DBA4EFC, signame=SLF:HighRiskHasMotW, cached=false, resource="\Device\HarddiskVolume3\ДИСК С\Windows ISO Downloader.exe"
В логе только это о нём. Может просто на анализ отправлял ?
 

machito

Команда форума
Супер-Модератор
Сообщения
2,048
Симпатии
2,024
#14
Может просто на анализ отправлял ?
Да нет, конкретно было предьявлено обвинение на трояна, как видно из первого поста ссылка по факту обнаружения.
К стати, срабатывание было на тот что весит меньше, (480кб) хотя обычный вес 651кб, пробовал сканить на других железках, фаервол молчит.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,129
Симпатии
5,706
#15
Сильно заняться так времени и не было в итоге.
Что могу сказать:
Качаются образы действительно с
Код:
https://software-download.microsoft.com
Образы не битые,вот пример сумм:
Код:
Win8.1_Russian_x32.iso         fb10a76d2c2f8db76add14f83c41b10b3994ffb2    bce27dbe    99916b4306fe5d7829d4ab224de2340c73d91e161b6a6109fbd48faf1ffbce6f    1b4e298c84438e02d7b4e682d3376bd250adb122ca98cda1f25a72a00d0749c19a3ffd206ff381a7566301d01fcca4003a0c614999bd9cbcb11210a4b989873f    625f2a10408b2b357c50af598f849fb77137f78a8e0913ee786347bfeef945966f0a3b39f3613639ffad8d5245d1cd9f

Стучится постоянно сюда:
Код:
cs9.wpc.v0cdn.net
+ потребляет трафик даже тогда,когда ничего не качает.
ссылки и реклама на амазон - судя по всему вариант капитализации.

Что передает и что качает в состоянии покоя пока не выяснял.
machito, если время есть понаблюдай за сетевой активностью этого друга.
 
Последнее редактирование: