Błędne wykrywanie zagrożeń MalwareBytes Anti Rookit


(Bogdan_G) #1

Pobrałem MBAR Utility i jestem zdziwiony, gdyż wykrył mi trojany. Z trzech screenów zlepiłem obraz, żeby zachować nazwy http://prntscr.com/1wpo77 Poszedłem dalej, ale nie użyłem tego MBARu tylko PeStudio i poszukałem plików http://prntscr.com/1wprct widać, że 48 antywirusów nic nie wykrywa w tym malwarebytes http://prntscr.com/1wps6s

Pozbycie się tych bibliotek, prawdopodobnie uwaliłoby system. Te dwie następne biblioteki dll też w virus total pokazują 0/48. Więc czyste.

Umieszczam temat, żeby nikt z użytkowników nie nabrał się na ten program, który może wyrządzić szkodę.


(Semtex) #2

No OK, ale to jest pytanie, przemyślnie, wolne wnioski?


(Bogdan_G) #3

Trochę się wystraszyłem. Pobrałem MBAR U i posprzątałem po nim, ale i tak zostawił sterowniki i dwa chronione klucze.

Wolne wnioski.


(Atis) #4

Nie wiem jaki masz system, ale na XP 32-bit nie ma systemowego folderu System64.


(Bogdan_G) #5

32 bit XP HE wersja 2002 sp2 zaktualizowane do sp3 http://prntscr.com/1wq3ut Zawsze tak było.


(Atis) #6

Ja mam XP SP3 i nie ma takiego folderu.

Jesteś pewny, że od czasu instalacji systemu masz ten folder?


(Bogdan_G) #7

Znaczy, że trzy lata temu była robiona reinstalacja w serwisie komputerowym. W domu, XP przez neta się normalnie sam aktywował, tylko mu trzeba było kliknąć. Gdy robiłem trzy lata temu sfc /scannow, to nie dało się, bo robiło monit o włożenie XP Proffesional sp3. http://prntscr.com/1wqajv a było na początku po reinstalacji, service pack 2 i pobierałem sp3. To nawet już raz opisałem w poście sprzed paru lat ciagle-blad-ladowania-systemu-t469550.html Zaznaczam, że naklejka i oryginalna płyta z windowsem, to XP HE wersja 2002 SP2.

Jak do tej pory, to bardzo szybko chodzi mi ten system, chociaż nie mam pojęcia, co odebrałem z punktu naprawy.


(Atis) #8

W takim razie nie pamiętasz czy ten folder od początku był na dysku.

ComboFix automatycznie kasuje ten folder:

http://www.elektroda.pl/rtvforum/download.php?id=540454

Moim zdaniem możesz usunąć folder i system powinien działać prawidłowo.


(Bogdan_G) #9

Właśnie na jesieni 2011 r użyłem combofixa. Dziwne, że wtedy nie posprzątał. Taka biblioteka Msvcr100.dll to wchodzi w skład visualC++ 2010 i powinien być w system 32, no i jest http://prntscr.com/1wqkcb w czterech miejscach. No, bo jest tak, że prawidłowo, to trzeba wyrejestrować dll, potem usuwać. Czy zapis wyrejestrowania nie nie obejmie tych samych nazw tego samego pliku w różnych lokalizacjach? Zastanawiam się ze względu na te dll. System chodzi sprawnie.

Po combofixie mam przynajmniej konsolę odzyskiwania.

Pozostaną pozycje w rejestrze: system64 http://prntscr.com/1wqmzf

-- Dodane 12.10.2013 (So) 8:42 --

Usunąłem folder i wszystkie wpisy w rejestrze. Znaczy też, że zrobiłem kopię usuniętych wpisów, oraz folder system64 mieszka w koszu. Nie stosowałem wyrejestrowania dll, bo to potrzebne biblioteki, a samo w sobie, to były pliki czyste, tylko ze względu na lokalizację zostały wykryte, jako trojany, których nie było. Tak więc, nie zaufam MBAR U. System po restarcie sprawny.