Windows ISO Downloader, вредонос?!

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Утилита по скачиванию оригинальных образов (Windows ISO Downloader), знакома многим, и в моём компьютере лежала естественно давно, но, сегодня защитник windows, выдал такое сообщение:
Windows ISO Downloader.exe Trojan:Win32/Pellate.A!l уровень критический
В окне защитника перехожу по ссылке "узнать больше"
Trojan:Win32/Pellate.A!cl

Онлайн сканер ничего отрицательного - настораживающего не показал:
Antivirus scan for 497b583b4123027fafcc882370c7156de0dcc14b422dedf8e1791aec5ccc6212 at 2016-12-14 08:05:58 UTC - VirusTotal

Windows ISO Downloader - бесплатная программа, которая предназначена для простой загрузки официальных образов ОС Windows с серверов Microsoft.
Программа отображает список доступных операционных систем, для которых можно скачать образы. На данный момент это Windows 7, Windows 8.1, Windows 10 и Windows 10 Insider Preview, а также офисные пакеты MS Office 2007, 2010 и 2013/2016. После выбора соответствующей системы утилита отображает форму, схожую с сайтом Microsoft Techbench.
Загрузка готовых образов ISO операционной системы, которая уже установлена и используется на устройствах, является отличным методом для переустановки или восстановления системы.



У кого какие мнения, помогите разобраться, так ли это?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,168
Баллы
913
Судя по тому,что образы качаются с амазона,то реакция битдефендера понятна - явно уже имеется разногласие с описанием из первого поста.
Надо на выходных посмотреть что за программа,куда лезет,чем занимается еще.
 

Phoenix

Ветеран
Сообщения
2,107
Реакции
2,049
Баллы
503
Надо на выходных посмотреть что за программа,куда лезет,чем занимается еще.
Windows ISO Downloader 4.10 скачать бесплатно - Операционные системы
защитник windows, выдал такое сообщение: Windows ISO Downloader.exe Trojan:Win32/Pellate.A!l уровень критический
Моё мнение, что защитник windows защищает windows microsoft corporation :) а не пользователя windows как такового.
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Судя по тому, что образы качаются с амазона
в описании четко сказано (загрузить ИСО образы для Windows и Office, непосредственно с сервера Microsoft.) читаем внимательно.
Вердикт довольно таки серьезный, "Trojan:Win32/Pellate.A!l"
Надо на выходных посмотреть что за программа, куда лезет, чем занимается еще.
Думаю тогда станет ясно, кто кого защищает.
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503


@Phoenix, это вообще не понятно, это что было, жаль что сразу не заскринил. Сейчас вот решил направить сканер на утиль в папке,
и такая картина - все прекрасно, трояна нет.
Завтра попробую на другой железке, может опять сработает.
 

Вложения

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Documents and Settings отказывает доступ.
C:\ProgramData\Microsoft\Windows Defender\ где копать?
 

Phoenix

Ветеран
Сообщения
2,107
Реакции
2,049
Баллы
503
WIN+R (меню Выполнить) вставить строку адреса и ENTER
Желательно брать в кавычки, если есть пробелы в пути. Но на 10-ке и так работает.
Код:
"C:\Documents and Settings\All users\Application Data\Microsoft\Windows Defender\"
Попробуй этоим средством Microsoft Safety Scanner - Бесплатное средство обеспечения безопасной и стабильной работы ПК
Лог - C:\Windows\debug\msert.log
У меня нашёл что то. Не помню что это..
PHP:
Threat detected: PWS:Win32/Kurit!rts
    file://C:\Program Files\Directmedia\Uninstall.exe
        SigSeq: 0x00001667B900C8BC
        SHA1:   898a5ad23bfa14815928816e86cc8b7b8d4c34fb
    regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
    uninstall://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Электронная библиотека 4.1.0.33
Antivirus scan for 78172d9662d6c35afbf00bd35670b3608e69a23ade8eadc66c17e20cdcbbe597 at 2014-08-04 19:16:56 UTC - VirusTotal
По хэшу на VT вот 24 / 54
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
C:\ProgramData\All users\Application Data\Microsoft\Windows Defender\
Извиняюсь, сборщик логов из меня никакой)) где он находится, в корне папки?
Попробуй этоим средством
Еще одно чудо разработка мелких, она проявляет интерес к железу на все 100%. Хотя имеется опция выбора.
Полное не соответствие назначения функционала, где логика!
Зачем прикрутили эту функцию "выбрать отдельную папку", сканирование все равно начинается в полном обьеме но якобы "быстрое"
но какая разница, идет полный шмон ОС попутно с отчетом на майкрософт, что оговаривается в соглашении.

 

Вложения

Phoenix

Ветеран
Сообщения
2,107
Реакции
2,049
Баллы
503
В папке Scans, Quarantine, Support посмотри. У меня он заблокирован и там пусто. Или поиском .log или .txt
MSERT я быструю делал, а остальное долго сканирует.
 
Последнее редактирование:

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Логи только в одной лежали, в папке Support.
 

Вложения

Phoenix

Ветеран
Сообщения
2,107
Реакции
2,049
Баллы
503
Internal signature match:subtype=Lowfi, sigseq=0x00023EBD4DBA4EFC, signame=SLF:HighRiskHasMotW, cached=false, resource="\Device\HarddiskVolume3\ДИСК С\Windows ISO Downloader.exe"
В логе только это о нём. Может просто на анализ отправлял ?
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,197
Реакции
2,071
Баллы
503
Может просто на анализ отправлял ?
Да нет, конкретно было предьявлено обвинение на трояна, как видно из первого поста ссылка по факту обнаружения.
К стати, срабатывание было на тот что весит меньше, (480кб) хотя обычный вес 651кб, пробовал сканить на других железках, фаервол молчит.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,168
Баллы
913
Сильно заняться так времени и не было в итоге.
Что могу сказать:
Качаются образы действительно с
Код:
https://software-download.microsoft.com
Образы не битые,вот пример сумм:
Код:
Win8.1_Russian_x32.iso         fb10a76d2c2f8db76add14f83c41b10b3994ffb2    bce27dbe    99916b4306fe5d7829d4ab224de2340c73d91e161b6a6109fbd48faf1ffbce6f    1b4e298c84438e02d7b4e682d3376bd250adb122ca98cda1f25a72a00d0749c19a3ffd206ff381a7566301d01fcca4003a0c614999bd9cbcb11210a4b989873f    625f2a10408b2b357c50af598f849fb77137f78a8e0913ee786347bfeef945966f0a3b39f3613639ffad8d5245d1cd9f

Стучится постоянно сюда:
Код:
cs9.wpc.v0cdn.net
+ потребляет трафик даже тогда,когда ничего не качает.
ссылки и реклама на амазон - судя по всему вариант капитализации.

Что передает и что качает в состоянии покоя пока не выяснял.
machito, если время есть понаблюдай за сетевой активностью этого друга.
 
Последнее редактирование:
Сверху Снизу