Программа определяется Windows Defender и некоторыми прочими антивирусами как Trojan: Win32/RemcosRAT.RPQ!MTB

@al072 · Регистрация: 03.02.2010

Студворк — интернет-сервис помощи студентам

Доброго времени суток коллеги! Прошу помощи, есть собственный проект написанный в среде Visual Studio 2022 C++ Windows, по непонятным причинам Windows Defender и ряд других антивирусов определяет ее как Trojan: Win32/RemcosRAT.RPQ!MTB.

Подскажите пож-та может у кого то есть опыт как с этим бороться? Софт не имеет никакого отношения к вирусам и прочим программам которые каким-то образом стучаться в интернет или выполняют код удаленного администрирования.

@nmcf · 09.04.2024, 19:36

По непонятным? А что делает эта программа?
Что показывает Virustotal?
Если ты так уверен, что вирусов нет, то добавь в исключения.

@al072 · 09.04.2024, 19:44 **[ТС]**

Сообщение от nmcf

По непонятным? А что делает эта программа?
Что показывает Virustotal?
Если ты так уверен, что вирусов нет, то добавь в исключения.

Прога для управления роботом ардуино, говорю же мой собственный проект , и так пришлось в исключения добавить иначе defender файл после компиляции хоронить начинает

@SmallEvil · 09.04.2024, 20:33

Сообщение от al072

Прога для управления роботом ардуино, говорю же мой собственный проект

То что программа ваша, не означает что в ней нет вируса.
У меня раз такое было, вирус вшивался в бинарник прямо во время компиляции (это был один из KMS взломщиков для Офисса)

@nmcf · 09.04.2024, 20:46

Сообщение от SmallEvil

это был один из KMS взломщиков для Офисса

А как это связано с компиляцией?

@al072 · 09.04.2024, 20:48 **[ТС]**

Сообщение от SmallEvil

То что программа ваша, не означает что в ней нет вируса.

Это понятно, как с этой бедой бороться вот в чем вопрос! Сегодня написал в тех поддержку Windows Defender)))) посмотрим что ответят в столь не простые времена... самому интересно!!!

Погуглил по теме, вопрос не уникальный, некоторые даже писали что обычный Hello World из трех строчек на С как вирус палился на вирустотале..., в ряде случаев цифровая подпись спасала (но имхо это 200-500 баксов в год ради того чтобы проверить заработает или нет как то не хочется)., думаю в моем случае code signing не спасет, так как даже если просто копирую exe после компиляции из доверенной зоны на рабочий стол defender его сразу хоронить начинает моментально!

Не исключено что малварь на компе сидит какая - то и инжектится при компиляции, но тогда логика не работает так другие проги компилятся и работают нормально!!! Проект не маленький порядка 100к кода, понятно что по сигнатурам и эвристике чего там только в голову антивирям может прийти..., куча либ в проекте всяких разных, сиситемные вызовы, WIN API и т.д., вообщем руками отыскать чкакой кусок кода не понравился антивирю не реально...

Журнал Defendera сегодня покопал, вот что он говорит про мою прогу:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
 Product Name Антивирусная программа Microsoft Defender 
  Product Version 4.18.24020.7 
  Detection ID {664ADB22-AADA-4447-9B27-5148AB30E68D} 
  Detection Time 2024-04-09T14:07:23.464Z 
  Unused  
  Unused2  
  Threat ID 2147817732 
  Threat Name Trojan:Win32/RemcosRAT.RPQ!MTB 
  Severity ID 5 
  Severity Name Критический 
  Category ID 8 
  Category Name Троян 
  FWLink https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/RemcosRAT.RPQ!MTB&threatid=2147817732&enterprise=0 
  Status Code 3 
  Status Description  
  State 2 
  Source ID 3 
  Source Name Защита в реальном времени: 
  Process Name C:\Windows\explorer.exe 
  Detection User DESKTOP-Q4FGBEN\User 
  Unused3  
  Path file:_C:\Users\User\Desktop\RoboX.exe 
  Origin ID 1 
  Origin Name Локальный компьютер 
  Execution ID 1 
  Execution Name Приостановлено 
  Type ID 0 
  Type Name Конкретный 
  Pre Execution Status 0 
  Action ID 2 
  Action Name Поместить в карантин 
  Unused4  
  Error Code 0x00000000 
  Error Description Операция успешно завершена.  
  Unused5  
  Post Clean Status 0 
  Additional Actions ID 0 
  Additional Actions String No additional actions required 
  Remediation User NT AUTHORITY\СИСТЕМА 
  Unused6  
  Security intelligence Version AV: 1.409.148.0, AS: 1.409.148.0, NIS: 1.409.148.0 
  Engine Version AM: 1.1.24030.4, NIS: 1.1.24030.4

ничего полезного я по крайней мере здесь не вижу

@SmallEvil · 09.04.2024, 21:03

Сообщение от nmcf

А как это связано с компиляцией?

Ну взломщик висел как KMS сервер активаии Офисса, и вот такой туда впаяли хитрый вирус, который спит и ждет очередного программера. Мало ли извращенцев на планете ))

@al072 · 09.04.2024, 21:06 **[ТС]**

Сообщение от nmcf

Что показывает Virustotal?

Вот что VirusTotal показывает : 4 из 70

@SmallEvil · 09.04.2024, 21:07

Сообщение от al072

другие проги компилятся и работают нормально

Значит не свезло =)

@nmcf · 09.04.2024, 22:36

Сообщение от SmallEvil

Ну взломщик висел как KMS сервер активаии Офисса

Так это был настоящий KMS с вирусом или вирус, который выдавал себя за KMS?

Добавлено через 3 минуты
al072, а другие проекты проверял? На них есть реакция?

@SmallEvil · 09.04.2024, 22:41

Сообщение от nmcf

Так это был настоящий KMS с вирусом или вирус, который выдавал себя за KMS?

Это давно было. Скачал где то с торрента. Стоял антивирус тогда ещё.
Установка офисса, всё чисто, висит себе тот кмс сервер никого не трогает.
Начал я что то кодить, и сразу аларм от антивируса на каждый скомпилированный бинарник.
Методом научного тыка выгружал всех подозрительных из процессов.

Думаю, взяли KMS активатор, вшили туда свою вирусню, не трудно же упаковать его.

@user983 · 30.05.2024, 17:34

Здравствуйте.

Интересует существование лиц или организаций, которые помогают с подписью кода ПО. Бюджет ограничен, покупать Code Signing Certificate cами не планируем

Новые блоги и статьи Все статьи Все блоги /
Автозаполнение реквизитов при создании документа Maks 26.03.2026 Код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки на предмет заполнения реквизитов реализован с целью установки значения по умолчанию,. . .	Команды "Заполнить" и "Очистить" на форме документа Maks 26.03.2026 1. Команда формы "ЗаполнитьЗапчасти". На примере нетипового документа разработанного в конфигурации КА2. В качестве источника данных указан регистр накопления, в который записываются данные о. . .	Кому нужен AOT? DevAlt 26.03.2026 Решил сделать простой ланчер Написал заготовку: dotnet new console --aot -o UrlHandler var items = args. Split(":"); var tag = items; var id = items; var executable = args;. . .	Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .
модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .

@al072 17 / 19 / 4 Регистрация: 03.02.2010 Сообщений: 262

	Программа определяется Windows Defender и некоторыми прочими антивирусами как Trojan: Win32/RemcosRAT.RPQ!MTB 09.04.2024, 16:51. Показов 5205. Ответов 11 Метки trojan, visual studio, с++ (Все метки) Доброго времени суток коллеги! Прошу помощи, есть собственный проект написанный в среде Visual Studio 2022 C++ Windows, по непонятным причинам Windows Defender и ряд других антивирусов определяет ее как Trojan: Win32/RemcosRAT.RPQ!MTB. Подскажите пож-та может у кого то есть опыт как с этим бороться? Софт не имеет никакого отношения к вирусам и прочим программам которые каким-то образом стучаться в интернет или выполняют код удаленного администрирования. 0

@nmcf 7804 / 6568 / 2988 Регистрация: 14.04.2014 Сообщений: 28,705
	09.04.2024, 19:36
	По непонятным? А что делает эта программа? Что показывает Virustotal? Если ты так уверен, что вирусов нет, то добавь в исключения. 1

@user983 0 / 0 / 0 Регистрация: 30.05.2024 Сообщений: 2
	30.05.2024, 17:34
	Здравствуйте. Интересует существование лиц или организаций, которые помогают с подписью кода ПО. Бюджет ограничен, покупать Code Signing Certificate cами не планируем 0