Sign in to follow this  
andrey

ЕАМ не видит заражение в ключе реестра?

Recommended Posts

Доброго всем времени суток!

Не обращаюсь в раздел заражений, т.к. (как будто) проблема решается...

МВАМ уже второй раз обнаруживает и удаляет Security.HiJack из реестра.

При этом ЕАМ-данный инфект не обнаружил ни вчера, ни сегодня.

Что это за заражение и почему появляется снова? Отчего появляется вновь после работы с Fx?

Или это МВАМ плохо удаляет?

Share this post


Link to post
Share on other sites

Добрый день,

Пуск - Выполнить - ввести regedit.exe

Пройти по пути, указанному на 3 скрине, и сделать скриншот раздела firefox.exe. Что там прописано для него.

Share this post


Link to post
Share on other sites

Вот скрин. Раздела firefox.exe - нет, ведь он в карантине МВАМ, так надо полагать?

Share this post


Link to post
Share on other sites

Это не обязательно заражение.

Это ветка может использоваться и для повышения приоритета процесса. Например, для быстродействия. Нужно поймать момент, когда есть запись про firefox. В любом случае, если запись удалена, ничего страшного не будет.

Share this post


Link to post
Share on other sites

Спасибо.

Правда, не совсем понятно - если не заражение - то что это за Security Hijack?

Ведь МВАМ настойчиво сообщает о заражении, причем уже дважды!

...Значит, важно просмотреть именно запись про Fx.

А как уловить этот момент?

Периодически (после работы с Fx) "заглядывать" в эту ветку?

Или, как вариант, при обнаружении МВАМ-не удалять Hijack сразу, а сделать скрин?

Share this post


Link to post
Share on other sites

MBAM лишь сообщает, что изменены настройки или произведены манипуляции важной ветки реестра. Потому как, эта ветка часто используется вредным ПО.

Share this post


Link to post
Share on other sites

Про сигнал МВАМ - ясно, хотя-он ведь(на мой взгляд, конечно) не просто сигнализирует об изменении в реестре, но и конретно прописывает инфект, как Hijack!

А отчего ЕАМ и ОА с включенной защитой реестра не реагируют на изменение данной ветки?

Share this post


Link to post
Share on other sites

Потому что то MBAM, а это ОА и EAM, и у них свои принципы, когда следует сигнализировать о манипуляциях.

Если боитесь, что у Вас заражение, то нужно обратиться в раздел по лечению. В противном случае, дожидайтесь появления записи и выкладывайте скрин. Строить догадки просто бесмысленно. Как вариант такого появления и не удаления, Firefox — какая-либо сборка, и каждый раз пытается прописать себя там для повышения быстродействия.

Share this post


Link to post
Share on other sites

Я сразу сказал, что не обращаюсь в раздел лечения, т.к. ЕАМ и ОА не сообщают о какой-либо угрозе - и явного повода нет! ( с чем я туда обращусь-с данными МВАМ?)

Строить предположения-естественно, бессмыссленно. Будет скрин, как только будет обнаружение Hijack.

Проконсультироваться хотел именно в связи с тем, что, очевидно, продукты EMSI не считают данные изменения в реестре опасным!

p.s.Fx-не сборка, стоит уже месяц, а данный детект МВАМ появился только два дня назад.

Share this post


Link to post
Share on other sites

МВАМ обнаруживает Security Hijack только при проверке(судя по скринам),несмотря на то,что стоит "про"-версия,которая мониторит в активном режиме,то есть в таком случае он не обнаруживает при серфинге(работе браузера) ничего,и это странно.Во-вторых: у МВАМ тоже бывают ложные срабатывания .Я полагаю,что угрозы там нет.Просто при запуске Ф-окс происходит безобидная модификация ключа реестра,к этому может быть причастно и одно из расширений Ф-окса.Проверьте систему любой сторонней утилитой,на всякий случай и все станет понятно.

Share this post


Link to post
Share on other sites

Спасибо. Да, МВАМ обнаруживает только при сканировании по требованию. При серфинге-действительно ничего.

Проверял HitmanPro 3.6.156, CureIt!ом (еще до обнаружения МВАМ) - чисто.

Дождусь "третьего" детекта, будет скрин ветки реестра с firefox.exe.

Share this post


Link to post
Share on other sites

Там ничего нет!Вполне возможно,что через пару дней и МВАМ уже ничего не найдет.Такое уже было.

Share this post


Link to post
Share on other sites

Доброго времени суток!

Чтобы уж закончить эту тему...

Я нашел причину такого детекта МВАМ (честно говоря, сразу подозревал Tuneup Utilities 2012).

Уважаемый Vladimir S., Вы были правы, когда сказали, что ветка используется для повышения приоритета процесса!

Этот Security.Hijack появляется, если включить автодеактивацию (и, соответственно, автореактивацию) Fx с помощью деактиватора программ от TU2012.

Вот и скрин.

Безусловно, проблематично, оказывает ли деактивация Fx действенное снижение нагрузки на систему(хотя TU2012 и оповещает о ее наличии).

Интересно узнать мнение о вредоносности этого Hijack-специалисты МВАМ считают, что ветку реестра необходимо непременно удалять, т.к. возможно использование "дыр" в браузере.

Но EMSI (конечно, ему доверия больше), похоже, не находит в этом ничего вредоносного! Сканирование при наличии ветки реестра с firefox.exe не находит ничего подозрительного.

Ну и самое, наверное, лучшее-просто отказаться от подобных оптимизаций...

Share this post


Link to post
Share on other sites

Все-таки, я бы Вам рекомендовал отказаться от подобных оптимизаций, если уже тем более, она идет через реестр. Не думаю, что Вы выигрываете от этого очень большого снижения нагрузки на систему.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.