Программа определяется Windows Defender и некоторыми прочими антивирусами как Trojan: Win32/RemcosRAT.RPQ!MTB

@al072 · Регистрация: 03.02.2010

Студворк — интернет-сервис помощи студентам

Доброго времени суток коллеги! Прошу помощи, есть собственный проект написанный в среде Visual Studio 2022 C++ Windows, по непонятным причинам Windows Defender и ряд других антивирусов определяет ее как Trojan: Win32/RemcosRAT.RPQ!MTB.

Подскажите пож-та может у кого то есть опыт как с этим бороться? Софт не имеет никакого отношения к вирусам и прочим программам которые каким-то образом стучаться в интернет или выполняют код удаленного администрирования.

@nmcf · 09.04.2024, 19:36

По непонятным? А что делает эта программа?
Что показывает Virustotal?
Если ты так уверен, что вирусов нет, то добавь в исключения.

@al072 · 09.04.2024, 19:44 **[ТС]**

Сообщение от nmcf

По непонятным? А что делает эта программа?
Что показывает Virustotal?
Если ты так уверен, что вирусов нет, то добавь в исключения.

Прога для управления роботом ардуино, говорю же мой собственный проект , и так пришлось в исключения добавить иначе defender файл после компиляции хоронить начинает

@SmallEvil · 09.04.2024, 20:33

Сообщение от al072

Прога для управления роботом ардуино, говорю же мой собственный проект

То что программа ваша, не означает что в ней нет вируса.
У меня раз такое было, вирус вшивался в бинарник прямо во время компиляции (это был один из KMS взломщиков для Офисса)

@nmcf · 09.04.2024, 20:46

Сообщение от SmallEvil

это был один из KMS взломщиков для Офисса

А как это связано с компиляцией?

@al072 · 09.04.2024, 20:48 **[ТС]**

Сообщение от SmallEvil

То что программа ваша, не означает что в ней нет вируса.

Это понятно, как с этой бедой бороться вот в чем вопрос! Сегодня написал в тех поддержку Windows Defender)))) посмотрим что ответят в столь не простые времена... самому интересно!!!

Погуглил по теме, вопрос не уникальный, некоторые даже писали что обычный Hello World из трех строчек на С как вирус палился на вирустотале..., в ряде случаев цифровая подпись спасала (но имхо это 200-500 баксов в год ради того чтобы проверить заработает или нет как то не хочется)., думаю в моем случае code signing не спасет, так как даже если просто копирую exe после компиляции из доверенной зоны на рабочий стол defender его сразу хоронить начинает моментально!

Не исключено что малварь на компе сидит какая - то и инжектится при компиляции, но тогда логика не работает так другие проги компилятся и работают нормально!!! Проект не маленький порядка 100к кода, понятно что по сигнатурам и эвристике чего там только в голову антивирям может прийти..., куча либ в проекте всяких разных, сиситемные вызовы, WIN API и т.д., вообщем руками отыскать чкакой кусок кода не понравился антивирю не реально...

Журнал Defendera сегодня покопал, вот что он говорит про мою прогу:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
 Product Name Антивирусная программа Microsoft Defender 
  Product Version 4.18.24020.7 
  Detection ID {664ADB22-AADA-4447-9B27-5148AB30E68D} 
  Detection Time 2024-04-09T14:07:23.464Z 
  Unused  
  Unused2  
  Threat ID 2147817732 
  Threat Name Trojan:Win32/RemcosRAT.RPQ!MTB 
  Severity ID 5 
  Severity Name Критический 
  Category ID 8 
  Category Name Троян 
  FWLink https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/RemcosRAT.RPQ!MTB&threatid=2147817732&enterprise=0 
  Status Code 3 
  Status Description  
  State 2 
  Source ID 3 
  Source Name Защита в реальном времени: 
  Process Name C:\Windows\explorer.exe 
  Detection User DESKTOP-Q4FGBEN\User 
  Unused3  
  Path file:_C:\Users\User\Desktop\RoboX.exe 
  Origin ID 1 
  Origin Name Локальный компьютер 
  Execution ID 1 
  Execution Name Приостановлено 
  Type ID 0 
  Type Name Конкретный 
  Pre Execution Status 0 
  Action ID 2 
  Action Name Поместить в карантин 
  Unused4  
  Error Code 0x00000000 
  Error Description Операция успешно завершена.  
  Unused5  
  Post Clean Status 0 
  Additional Actions ID 0 
  Additional Actions String No additional actions required 
  Remediation User NT AUTHORITY\СИСТЕМА 
  Unused6  
  Security intelligence Version AV: 1.409.148.0, AS: 1.409.148.0, NIS: 1.409.148.0 
  Engine Version AM: 1.1.24030.4, NIS: 1.1.24030.4

ничего полезного я по крайней мере здесь не вижу

@SmallEvil · 09.04.2024, 21:03

Сообщение от nmcf

А как это связано с компиляцией?

Ну взломщик висел как KMS сервер активаии Офисса, и вот такой туда впаяли хитрый вирус, который спит и ждет очередного программера. Мало ли извращенцев на планете ))

@al072 · 09.04.2024, 21:06 **[ТС]**

Сообщение от nmcf

Что показывает Virustotal?

Вот что VirusTotal показывает : 4 из 70

@SmallEvil · 09.04.2024, 21:07

Сообщение от al072

другие проги компилятся и работают нормально

Значит не свезло =)

@nmcf · 09.04.2024, 22:36

Сообщение от SmallEvil

Ну взломщик висел как KMS сервер активаии Офисса

Так это был настоящий KMS с вирусом или вирус, который выдавал себя за KMS?

Добавлено через 3 минуты
al072, а другие проекты проверял? На них есть реакция?

@SmallEvil · 09.04.2024, 22:41

Сообщение от nmcf

Так это был настоящий KMS с вирусом или вирус, который выдавал себя за KMS?

Это давно было. Скачал где то с торрента. Стоял антивирус тогда ещё.
Установка офисса, всё чисто, висит себе тот кмс сервер никого не трогает.
Начал я что то кодить, и сразу аларм от антивируса на каждый скомпилированный бинарник.
Методом научного тыка выгружал всех подозрительных из процессов.

Думаю, взяли KMS активатор, вшили туда свою вирусню, не трудно же упаковать его.

@user983 · 30.05.2024, 17:34

Здравствуйте.

Интересует существование лиц или организаций, которые помогают с подписью кода ПО. Бюджет ограничен, покупать Code Signing Certificate cами не планируем

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@al072 17 / 19 / 4 Регистрация: 03.02.2010 Сообщений: 262

	Программа определяется Windows Defender и некоторыми прочими антивирусами как Trojan: Win32/RemcosRAT.RPQ!MTB 09.04.2024, 16:51. Показов 5039. Ответов 11 Метки trojan, visual studio, с++ (Все метки) Доброго времени суток коллеги! Прошу помощи, есть собственный проект написанный в среде Visual Studio 2022 C++ Windows, по непонятным причинам Windows Defender и ряд других антивирусов определяет ее как Trojan: Win32/RemcosRAT.RPQ!MTB. Подскажите пож-та может у кого то есть опыт как с этим бороться? Софт не имеет никакого отношения к вирусам и прочим программам которые каким-то образом стучаться в интернет или выполняют код удаленного администрирования. 0

@nmcf 7804 / 6568 / 2988 Регистрация: 14.04.2014 Сообщений: 28,705
	09.04.2024, 19:36
	По непонятным? А что делает эта программа? Что показывает Virustotal? Если ты так уверен, что вирусов нет, то добавь в исключения. 1

@user983 0 / 0 / 0 Регистрация: 30.05.2024 Сообщений: 2
	30.05.2024, 17:34
	Здравствуйте. Интересует существование лиц или организаций, которые помогают с подписью кода ПО. Бюджет ограничен, покупать Code Signing Certificate cами не планируем 0