Avast не находит вирусы

[Ivanych]

Вчера была проверка сканером Malwarebytes Anti-Malware.
Был найден вирус PUM.Hijack.StartMenu в реестре!!!
Есть вирус,который ворует пароли с компьютера.
Это вирус
PUM.Hijack.StartMenu
Про него хорошо написано на этом сайте--
http://forum.ruterk.com/index.php?topic=565.0
Написано где его найти и как в реестре изменить ключи на нормальные.
А так же для борьбы с ним лучше скачать сканер бесплатный с сайта--
http://www.malwarebytes.org/free/
И при его установки не ставить галочку в квадратиках нигде рядом с надписями!
Этот сканер находит этот вирус!
Пожалуйста на всякий пожарный случай проверьте реестр у себя!!
А вот AIS его почему-то не находит!!

[Belobrov87]

MBAM определил это как нежелательную программу, но не как не вирус или троян
В Авасте поиск нежелательных программ включен был?

[Nikol@y]

Не было там наверняка ни вируса, ни нежелательных программ
ivanovich, как всегда, параноит...

Где по указанной ivanovich ссылке написано, что PUM.Hijack.StartMenu ворует пароли?
И где вообще сам вирус (ни у  ivanovich, ни у Southern нет конкретного указание на удалённый объект, ни на конкретные действия зловреда по воровству конфиденциальных данных). И вообще нет никаких намёков на борьбу с вирусом. Описана ситуация с незапускающимся антивирусом, вызванная, судя по дальнейшей информации в сообщении, проблемой с ключевым файлом (лицензией).

А что касается обнаруженных МБАМ изменений в реестре (из данных по ссылке), это штатные режимы стандартных ключей, применяемые для следующих настроек:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) ->  скрыть параметр "Выполнить" в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) ->  скрыть параметр "Помощь" в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> убрать опцию "Выйти из системы" в меню " Пуск".
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отсутствии антивируснй защиты.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отсутствии файрволла
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отключении автоматического обновления

то 99,99% это результат ручного отключения оповещений центра безопасности "на компьютере у бухгалтера" (большинство так называемых "админов" любят эту процедуру), плюс либо баловство с какими-нибудь твикерами- оптимизаторами, либо те же "админы" перемудрили с политиками безопасности - убрали из меню "Пуск" вызов справки, пункты "Выполнить" и "Выйти из системы". На это у них ума хватило, а вникнуть в суть выведенной МБАМ информации по ключам реестра видимо нет...

ИМХО

[Ivanych]

Nikol@y
Вы уж на пенсионера не обижайтесь.
Я человек простой,не подкован как Вы.
Раз MBAM выдал отчёт по этому таракану,я ему и поверил.
Другие сканеры и антивирусник AIS ничего не нашли.
Сейчас MBAM проверил-молчит паразит!
Но,тогда почему Защитник Windows записал в Журнале событий в разделе Журналы приложений и служб-Microsoft-Windows-WindowsDefender-Operation-под кодом 1013 эту запись-
"ЗащитникWindows удалила журнал программы-шпиона или другой потенциально-нежелательной программы ?
Вы можете это явление объяснить ?
Сейчас зашёл в реестр.
HKCU-Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced
Поменял 1 на 0 в ключах --
Start_ShowMyComputer  и Start_ShowMyDocs (восстановил как было раньше)
И просканировал опять сканером MBAM.
Прилагаю скрин.На нём видна угроза.
Как вы это можете объяснить?

[Nikol@y]

Сейчас зашёл в реестр.
HKCU-Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced
Поменял 1 на 0 в ключах --
Start_ShowMyComputer  и Start_ShowMyDocs (восстановил как было раньше)
И просканировал опять сканером MBAM.
Прилагаю скрин.На нём видна угроза.
Как вы это можете объяснить?

Это не угроза. Ещё раз - это штатная настройка меню "Пуск". Которое можно делать как непосредственно редактированием реестра

http://www.oszone.net/10959/start_menu#003

так и с помощью различных твикеров, которые в конечном счете также изменяют эти же параметры реестра.
Однако с изменив значения ключей с "1" на "0", вы скрыли соответствующие пункты меню "Пуск", (в данном случае "Компьютер" и
"Документы"), что не соответствует режиму "по умолчанию" ("заводским, рекомендуемым установкам"), о чём и сообщает МБАМ.

... тогда почему Защитник Windows записал в Журнале событий в разделе Журналы приложений и служб-Microsoft-Windows-WindowsDefender-Operation-под кодом 1013 эту запись-
"ЗащитникWindows удалила журнал программы-шпиона или другой потенциально-нежелательной программы ?

Это вы уж сами анализируйте, что за запись и на что выдал вам защитник. Но в вашем сообщений от 26.12.2013 http://forum.avast.com/index.php?topic=140419.msg1040740#msg1040740
нет и намёка на какие либо действия защитника Windows и я думаю, что это была реакция совсем на другой случай. Можно посмотреть журнал защитника ...
http://www.oszone.net/10961/windows_defender#013
http://windows.microsoft.com/ru-ru/windows-vista/view-or-clear-the-history-in-windows-defender

P.S. Я кстати сам пенсионер, двое внуков уже ... 

[Ivanych]

Nikol@y
"Есть вирус,который ворует пароли с компьютера.
Это вирус
PUM.Hijack.StartMenu"------
Целый день проверял ноут!
И сканером MBAM быстрая и полная проверки делал.Выдавало сообщение об этом гаде.Проверял дисками вчера до загрузки ОС.Всё перерыл в сети.А потом взял скачал и сдуру запустил сканер DrWebCureIt.И он мне такое напортачил в системе,что роутер не соединял с сайтами,и тормозило систему.Удалил гада и всё без толку!Тогда взял откат сделал на 1-00 ночи!Стал проверять опять сканерами MBAM и Emsisoft.Затем включился Защитник Windows по расписанию и выдал что Чисто!Полез дальше.И только на форуме нашёл истину!
http://www.oszone.net/10959/start_menu
Там в разделе-
Настройка правой панели меню «Пуск»
Нашёл данные раздела этого в реестре.
Стал проверять и реестр и твики реестра.
Оказывается в меню Пуск нужно чтобы раздел Компьютер был там.Тогда в ключе,где MBAM находил гада должна стоять цифра 2 !!А не Единица!И после проверки сканером MBAM -ЧИСТО!!!!!!!!!!!!!!!Всё во мне успокоилось!!!А вот по поводу журнала-Шпиона я сделал следующее:Удалил AdobeReader программой RevoUnistaller-ом на все 99%.Она у меня всегда запускалась в системе,хоть и всё по этому приложению было выключено,даже и в реестре.
Теперь всё в системе спокойно стало.Спасибо за Ваше стойкое внимание!Кстати у меня 2 дочери и сын,внук и внучка.Всего Вам доброго!

[Nikol@y]

Оказывается в меню Пуск нужно чтобы раздел Компьютер был там...

Обязательно нужно по мнению МБАМ?
По умолчанию MS его туда и помещает, но мало ли какие предпочтения есть у пользователя. На вкус и цвет... Ведь значок "Компьютер" на рабочем столе по функциональности полностью аналогичен пункту "Компьютер" меню Пуск. Кто-то желает что-то другое поместить в Пуск, а загромождать не хочется.

... .Тогда в ключе,где MBAM находил гада должна стоять цифра 2 !!А не Единица!И после проверки сканером MBAM -ЧИСТО!!!!!!!!!!!!!!!

Ну, вообще-то все три параметра имеют право на жизнь ("0", "1" и "2"). Зависит от предпочтений пользователя.
Цитата с oszone.net:
Также расположением всех этих элементов (меню "Пуск") можно управлять при помощи реестра, где для скрытия элемента значение параметра должно быть dword:00000000, для отображения в виде ссылки - dword:00000001, а для отображения в виде меню - dword:00000002:

А показания таких сканеров как МБАМ надо подвергать тщательному анализу... ИМХО твёрдое

[Ivanych]

Nikol@y
Пока всё работает нормально!
Всем всего хорошего!