Dziwny program w autostarcie Product Authentication Service

Zawsze jak przeinstalowuję Windowsa, to w którymś momencie pojawia się piękny exe w autostarcie “Product Authentication Service” firmy ResolveDevOps Limited. W internetach można dowiedzieć się tylko, że czasem pod tą nazwą pojawiają się wirusy. Kiedyś myślałem, że to od GTA V, ale zwątpiłem.
Ktoś może pomoże? Jakieś screeny albo coś mam podrzucić?

Uruchom roguekiller. Zobaczysz. A jakby co, to znajdź log z usuwania - program na C utworzy folder. Treść logu z usuwania daj na wlkejto, albo pastebin i tu wklej linka

Sugerujesz, że MS ma zawirusowane obrazy, czy nie instalujesz jednak oryginalnego systemu?

Nie. Sugeruję, że podczas instalacji jakiejś gry lub programu z zaufanego źródła ten plik pojawia się z nikąd.
Poza tym jestem przewrażliwiony na kwestie bezpieczeństwa i każdy plik pobierany przez http, każdy program pobierany z db, instalki bądź pc format jest wnikliwie analizowany, i to często od razu szukam “bezpiecznej” wersji albo rezygnuję z użytkowania, wywalając pobrane dobra z dysku. A pobranie obrazu Windows’a ze strony innej niż microsoft.com to byłby strzał nie w kolano, a od razu w potylicę.

Log ze skanu standardowego.
Same ostrzeżenia wyglądają niegroźnie, bowiem dotyczą FiveM’a. Będąc pracownikiem Rockstara prawdopodobnie tak samo powiedziałbym, że to wirus.
Jakiś Malwarebytes czy od razu lecimy z Farbarem? Ten PAS zaczyna być dziwnie przerażający w moich oczach, gdy spoglądam na niego w Menedżerze Zadań po raz n-ty.

wiec To najpewniej jakieś zabezpieczenie antycheatowe, ale możesz go przelecieć virustotal.com

Za mało informacji podałeś.
Skąd pobrany obraz, co instalujesz itd…
Podpis cyfrowy pliku exe.

Zaczniemy od tego. Link na co trza uważać przy pobieraniu programów z e stron tego typu jak ta.


Drugi link to o Pas.
https://www.file.net/process/pas.exe.html
P.S. Farbarem można przelecieć czy coś nie tak.

Pobraz obrany z microsoft.com. Mogę przesłać całą listę ze Steama + inne platformy oraz listę programów (tak, tyle się przewala przez system).
Podpis sha256 pliku pas.exe

A temu przyciskowi to wolno ufać? image
Zwłasza, gdy pobrany plik pochodzi ze strony wydawcy? image

A te informacje o PAS to nietrudno znaleźć, ameryki nie odkryłeś. Poza tym czytanie ze zrozumieniem poprzednich postów się kłania :wink:

Skan VirusTotal: https://www.virustotal.com/gui/file/9b9e362814beb417b4d49bbef933dcca2b16d6bcc877e6fa8d291c26a9dc3904/detection

Żaden istniejący silnik antywirusowy nie zgłosił nawet podejrzenia że to wirus. W takim razie odinstaluj ten program z czystym sumieniem i patrz która gra nie będzie działać :wink: Wtedy wyjaśni ci się sprawa.

1lajk

Nie przeczytałeś dokładnie co pisze Picasso. Programy pobiera się wyłącznie od producentów.
Odinstaluj ten co się instaluje. Wykasuj te pliki jeśli zostały. Poszukaj w rejestrze wpisów po tym programie a programy które używasz pobierz od producentów. A gdy je będziesz instalował to patrz co jeszcze możesz zainstalować razem z nim. Taki Flash Plajer jak nie odhaczysz, to ci coś z McAfiego będzie instalował.
Problem z instalatorami nie polega na tym ze sa zawirusowane ale ze przy okazji mogą sciagać i instalować dodatkowe badziewie.
Ja wiem ze przeczytanie tego co Picasso napisała może być męczące ale to ona w tym momencie, po przejściu Farbara na emeryturę zaimuje się FIRST-em. Więc chyba można polegać na jej wiedzy.

Farbar to FRST. Może mialeś na mysli OTL.
Prawda jest taka, że instaluje się najczystsze wersje programów nawet od producenta. Przykładowo burnaware free - producent udostępnia wersję free ale na widoku jest free z opcjonalnymi ofertami, a na samiutkim dole strony producenta jest czyściutka wersja free bez ofert opcjonalnych. Dawniej to był malware candy w tym programie.

Also you can download free version without optional offers.

Farbar Recovery Scan Tool to nazwa pełna nazwa programu. Jego twórcą jest Farbar. Taka ksywka. Dlatego tak go nazwał. Współpracownikami są emeraldnzl i picasso

P.S. Na DB jest program 7zip 19.01. Ponoć oryginalny ale na oficjalnej stronie Pavłowa nie ma takiego pliku.
Jest wyłącznie dostępna wersja 19.00 i 19.02 alfa. A tu jest 19.01 i taką się pobiera. Ciekawe skąd, skoro jej nie ma ?
To nie mnie się non stop to samo instaluje.

Z tym FRST też są inne:


Tak samo jest problem z panda dome free. Producent PDfree udostępnia instalator online - tylko, a w necie jest pełno jakiejś pandy free - linki prowadzą na durne strony, gdzie handlują takimi pandami i nie ma free. Pełny internet tej pandy z instalatorów offline - eset, nano av w Virus Total online pokazuje na te wszystkie offline, że fake. A ze strony producenta czyściutka panda dome free https://www.pandasecurity.com/en/homeusers/solutions/free-antivirus/

Zawsze jest jeden aktualny. Pobierany z dwóch autoryzowanych stron.

  1. https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    2.http://www.geekstogo.com/forum/files/file/435-frst-farbars-recovery-scan-tool/
    I tylko stamtąd jest gwarancja ze to nie badziewie. To strony autorskie.

Fajnie fajnie, ale funkcja wyłączenia programu z Autostartu mam w Menedżerze Zadań. Polecam aktualizację do Windowsa 10 :wink:
Pluskiew keyloggerowych i antywirusów nie mam w zwyczaju instalować, więc dziękuję.
A i myślałem, że kultura obowiązuje, ale jak wolisz obrażać starych wyjadaczy, to idź załóż swój temat.

To jest wirus prawdopodobnie z jakiegoś oprogramowania, które jest z internetu ściągnięte i niekoniecznie legalne. Czy masz wszystko oryginalne / legalne zainstalowane?

Temat przeniesiony do odpowiedniego działu. Za długo to trwa. Autorze daj logi FRST i czekaj za ekspertami. Co do pewnych osób. Moglibyście nie obrażać nikogo.

1lajk