Pua win32 mediaget что это
MediaGet — вирус или нет? (расследование)
Привет друзья, значит в своей прошлой статье я рассказывал о такой программе как MediaGet, как ней пользоваться и что это такое. Как я понял, то программа полезная, при помощи нее можно даже смотреть фильмы не скачивает. Работает по технологии торрент и ничего опасного я в ней не увидел. Но правда я пользовался ей несколько дней, я просто посмотрел что да как и сделал вывод, что не все так плохо 
Но опять же, в интернете много пользователей недовольны MediaGet и говорят что в ней содержится вирус, троян или еще какая-то ерунда. Я сегодня решил проверить это все и разобраться.
Для этого я установлю MediaGet на компьютер и проверю его несколькими антивирусными программами (как оказалась достаточно было одной), чтобы узнать вирус это или нет. Надеюсь, что данная информация будет и вам полезной. Также, покопавшись в интернете, пришел к выводу что очень много пользователей думает что MediaGet это вирус. Поэтому тут точно нужно разобраться 
MediaGet я установил, все как обычно, только лишние галочки при установке я снял. И кстати вам тоже советую это делать при установке любого софта.
Сперва я из программы вышел:
Первой антивирусной утилитой, которой я проверю комп на рекламные вирусы и рекламное ПО, это будет AdwCleaner. Она себя зарекомендовала как эффективный инструмент против рекламной заразы.
Начинается сканирование и вот какие были найдены зараженные папки:
Все — больше я нигде не увидел присутствие опасных обьектов, то есть расширений вирусных в браузеров нет, и ярлыков вирусных тоже нет.
В общем это все означает, что AdwCleaner расценивает программу MediaGet как вирусную и поэтому ее удаляет. После того, как AdwCleaner удалил MediaGet, то после перезагрузки компа был выдан такой отчет:
В котором написано что именно было удалено. Как видите, даже не пришлось использовать несколько антивирусных утилит, все и так было ясно после проверки AdwCleaner.
Что я думаю по этому поводу? MediaGet вряд ли является настоящим вирусом, то есть он вряд ли что-то крадет у пользователей, ворует пароли там. Кстати еще учтите, что Яндекс не считает сайт MediaGet опасным (а раньше считал):
Тут дело немного в другом. MediaGet относится к потенциально опасным программам по той причине, что в нем может быть скрытый вирус-ботнет, этот вирус на самом деле не несет прямой опасности для пользователя. Он не крадет ничего, не показывает рекламу, не меняет настройки. Он просто тихонько, когда вы ничем особым за компьютером не занимаетесь, то он в это время может использовать производительность вашего ПК в своих целях.
Ботнет, что это? Это сеть зараженных ПК вирусом ботнет, которые все вместе представляют из себя мощную вычислительную систему для решения тех или иных хакерских задач. То есть тут нет такой цели в первую очередь как украсть у вас пароли, аккаунты соц. сетей и прочее.
Вот именно по этой причине я думаю что ПО MediaGet относится к потенциально опасным!
Вот такие ребята у меня мысли. Если хотите, вы тоже можете проверить комп AdwCleaner или HitmanPro (это тоже эффективная антивирусная утилита) и убедится самостоятельно, MediaGet это вирус или нет.
Одной из первых антивирусных компаний, который отнесли данное ПО к потенциально опасным, были Dr.WEB.
Ну что, все свои мысли я написал, что-то мне кажется что лучше MediaGet удалить со своего компа и не использовать больше, так бы сказать от беды подальше
Удачи вам ребята 
PS: кстати ребята тут недавно я снова проверил комп где стояла программа MediaGet и вот какой результат:
Срыв масштабной хакерской атаки на пользователей Windows в России: часть 2
Совсем недавно мы предотвратили массовую атаку с применением трояна Dofoil, целью которой была установка вредоносного ПО для майнинга криптовалют на сотни тысяч компьютеров. С помощью поведенческого мониторинга, моделей машинного обучения и многоуровневой системы защиты антивирусная программа Windows Defender смогла эффективно выявить и заблокировать атаку в течение несколько миллисекунд.
Сегодня мы еще подробнее расскажем о самой атаке, путях заражения и поделимся временно́й шкалой. Заглядывайте под кат!
Сразу после обнаружения атаки мы смогли определить, откуда именно совершается огромное количество попыток установить вредоносное ПО. Как правило, троян Dofoil (также известный как Smoke Loader) распространяется самыми разными способами, включая спам-сообщения и наборы эксплойтов. Для атаки, которая началась 6 марта, использовалась другая схема: большинство вредоносных файлов создавалось процессом mediaget.exe.
Этот процесс относится к MediaGet, BitTorrent-клиенту, соответствующему классификации семейств потенциально нежелательных приложений. Пользователи часто используют приложение MediaGet для поиска и загрузки программ и мультимедийных файлов с сайтов с сомнительной репутацией. Использование таких приложений для файлообмена повышает риск загрузки вредоносных программ.
Однако, изучив атаку, мы пришли к выводу, что заражение криптомайнером Dofoil не связано с загрузкой torrent-файлов. Ранее мы не наблюдали такую схему в других файлообменных приложениях. Процесс mediaget.exe всегда записывал образцы Dofoil в папку %TEMP% с именем my.dat. Наиболее часто источником заражения был файл %LOCALAPPDATA%\MediaGet2\mediaget.exe (SHA-1: 3e0ccd9fa0a5c40c2abb40ed6730556e3d36af3c).
Рекомендуемые материалы: статистические данные об атаке, полезные сведения и данные о реагировании Windows Defender см. в статье Срыв масштабной хакерской атаки на пользователей Windows в России.
Временная шкала осуществленной атаки
Всестороннее изучение атаки Dofoil, предпринятой 6 марта, показало, что это была тщательно спланированная кампания, которая готовилась злоумышленниками с середины февраля. Для осуществления задуманного злоумышленники сначала распространили вирус через обновление программы MediaGet, которую пользователи установили на свои компьютеры. Временная шкала ниже отображает основные события в рамках атаки Dofoil.
Рис. 1. Временная шкала атаки через MediaGet
Заражение обновления программы MediaGet
Процесс заражения обновления для MediaGet, которое в итоге привело к массовой атаке, описано в следующей схеме. Доверенное приложение mediaget.exe загружает исполняемый файл update.exe и запускает его на компьютере для установки нового экземпляра mediaget.exe. Новый экземпляр приложения mediaget.exe имеет все те же функции, что и подлинный, однако при этом в нем предусмотрена лазейка.
Рис. 2. Процедура заражения файла обновления
Вся процедура установки инфицированного файла обновления отслеживается сервисом Windows Defender ATP. Следующее дерево процессов показывает, как процесс mediaget.exe внедряет зараженный подписанный файл update.exe.
Рис. 3. Обнаружение вредоносного процесса обновления в Windows Defender ATP
Зараженный файл update.exe
Загруженный update.exe представляет собой пакетный файл InnoSetup SFX, в который встроен зараженный трояном файл mediaget.exe. При запуске этот исполняемый файл внедряет зараженную трояном неподписанную версию приложения mediaget.exe.
Рис. 4. Данные сертификата зараженного файла update.exe
Update.exe подписан сторонним разработчиком ПО, не связанным с MediaGet (вполне вероятно, что эта компания является жертвой злоумышленников). Исполняемый файл содержит код, подписанный другим сертификатом, задача которого — просто передать такое же требование о подтверждении подписи, как и в исходном файле mediaget.exe. Код обновления выполняет проверку данных сертификата, подтверждая, что он является действительным и подписан надлежащим образом. Если сертификат подписан, он проверяет, совпадает ли значение хэша со значением, полученным от хэш-сервера в инфраструктуре mediaget.com. На следующей иллюстрации показан фрагмент кода, который выполняет проверку действительных подписей для файла update.exe.
Рис. 5. Код обновления mediaget.exe
Зараженный трояном файл mediaget.exe
Зараженный трояном файл mediaget.exe, распознанный антивирусом Windows Defender AV как Trojan:Win32/Modimer.A, выполняет те же функции, что и исходный файл, однако он не подписан и имеет лазейку. Этот вредоносный двоичный код на 98 % совпадает с исходным двоичным кодом MediaGet. Согласно следующим данным PE, в исполняемом файле указаны другие данные PDB и иной путь файла.
Рис. 6. Сравнение путей PDB подписанного и зараженного трояном исполняемого файла
При запуске вредоносной программы создается список серверов управления и контроля (C&C).
Рис. 7. Список серверов C&C
Первое обращение к серверу C&C происходит спустя один час после запуска программы.
Рис. 8. Таймер начала подключения к серверу C&C
Вредоносная программа выбирает один из четырех серверов C&C. Программа использует протокол HTTP для обмена данными управления и контроля.
Рис. 9. Подключение к серверу C&C
Код лазейки собирает сведения о системе и отправляет их на сервер C&C через POST-запрос.
Рис. 10. Сведения о системе
Сервер C&C возвращает на клиент различные команды. Следующий ответ содержит команды HASH, IDLE и OK. Команда IDLE задает ожидание процесса в течение определенного периода (в секундах, например — 7200 секунд = 2 часа) до повторного обращения к серверу C&C.
Рис. 11. Команды управления и контроля
Одна из команд лазейки — RUN, которая получает URL-адрес из командной строки сервера C&C. Затем вредоносное ПО загружает файл с URL-адреса, сохраняет его в папку %TEMP%\my.dat и запускает его.
Рис. 12. Код обработки команды RUN
Эта команда RUN использовалась для распространения трояна Dofoil, начиная с 1 марта, и в рамках атаки, предпринятой 6 марта. Дерево процессов оповещения Windows Defender ATP демонстрирует обмен данными между вредоносным процессом mediaget.exe и goshan.online, одним из подтвержденных серверов C&C. После этого программа внедряет и запускает файл my.dat (Dofoil), который в итоге ведет к компоненту CoinMiner.
Рис. 13. Dofoil, процесс загрузки и выполнения CoinMiner
Рис. 14. Дерево процессов системы оповещения Windows Defender ATP
В рамках атаки троян Dofoil использовался для доставки вредоносной программы CoinMiner, задача которой — использовать ресурсы компьютеров пользователей для майнинга криптовалют в пользу злоумышленников. Троян Dofoil при атаке использовал изощренные приемы внедрения вредоносного кода в адресное пространство процессов, механизмы обеспечения устойчивости и методы уклонения от обнаружения. Windows Defender ATP успешно обнаруживает такое поведение на всех этапах заражения.
Рис. 15. Обнаружение внедрения процесса Dofoil в Windows Defender ATP
Мы сообщили о результатах наших исследований разработчикам MediaGet, чтобы помочь им грамотно проанализировать инцидент.
Мы также рассказали владельцам сертификата о том, как их сертификат подписи кода используется злоумышленниками в файле update.exe (отпечаток: 5022EFCA9E0A9022AB0CA6031A78F66528848568).
Защита от вирусных атак в режиме реального времени
Тщательно спланированная и заранее подготовленная кампания с применением Dofoil, обнаруженная 6 марта, представляет собой яркий пример многоуровневой вирусной кибератаки, которые сегодня происходят все чаще. При совершении типовых киберпреступлений теперь используются все более сложные приемы, которые ранее ассоциировались с более изощренными кибератаками. Windows Defender Advanced Threat Protection (Windows Defender ATP) предоставляет расширенный набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени от самых разных видов атак.
Корпоративные клиенты, использующие антивирус Windows Defender AV, активировавшие функцию защиты от потенциально ненадежных приложений, были защищены от ПО MediaGet, зараженного трояном, которое оказалось источником вирусной атаки 6 марта.
Windows Defender AV обеспечил надежную защиту клиентов от атак с применением Dofoil. Технологии поведенческого мониторинга и анализа выявили необычный механизм стойкости Dofoil и сразу же отправили соответствующий сигнал в облачную службу защиты, где многочисленные модели машинного обучения мгновенно блокировали большинство обнаруженных угроз при их появлении.
Всесторонний анализ атаки также показал, что расширенные библиотеки обнаружения в Windows Defender ATP помечали вредоносное поведение Dofoil на всех этапах заражения. К вредоносному поведению можно отнести внедрение кода, методы защиты от обнаружения и внедрение компонентов для майнинга криптовалют. Специалисты по безопасности могут использовать платформу Windows Defender ATP для обнаружения атак и эффективного реагирования на них. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard, обеспечивая безупречное управление системой безопасности на всех уровнях.
MediaGet – это вирус или нет?
Популярные защитники компьютеров от вирусов Avast и Kaspersky считают, что MediaGet – вирус. Почему так происходит и как дать торрент-клиенту полноценно работать, рассказывается в статье.
Что такое MediaGet
Вирус программа MediaGet или нет? Этот вопрос возникает потому, что антивирусы Avast и «Касперский» удаляют установщики MediaGet, блокируют установку и сетевую активность приложения чаще других.
МедиаГет – это не вредоносный торрент-трекер. Скачивание через него возможно посредством открытия torrent-файлов и встроенного поиска. Подробнее о MediaGet читайте на главной странице сайта.
Внимание! Удалять МедиаГет стоит, если установка произошла без ведома пользователя. Такое возможно, если вы качаете устаревшие установочные файлы.
Они были созданы в то время, когда торрент-трекер распространялся как нежелательная рекламная программа. Пользователь забывал убирать галочку или быстро нажимал «Далее» во время установки приложения и получил спутники Mail.ru, Яндекс.Бар на компьютер.
Почему антивирусы блокируют МедиаГет
Когда антивирусный поиск «Аваст» или «Касперского» работает, он определяет МедиаГет как нежелательный вирус, троян, и выводит предупреждение «program mediaget 157». Число может изменяться. Сейчас известны такие варианты: 94, 133, 142, 147.
Из-за того, что защитным ПО клиент МедиаГет расценивается как угроза, возникает проблема с файлами установщика, установка завершается некорректно или не кончается вовсе.
Если «Аваст» или другой антивирус блокирует МедиаГет, нужно внести файлы загрузчика торрентов в исключения. Как это сделать, написано ниже.
Как добавить MediaGet в исключения антивируса
Программа MediaGet добавляется в исключения «Аваст» в несколько шагов. Это понадобится, если вы только собираетесь скачать МедиаГет на компьютер.
Если антивирус «Аваст» начинает блокировать МедиаГет или блокирует другой исполняемый файл, следуйте инструкции. Чтобы попасть в меню антивируса, в котором происходит настройка программы, откройте главное окно «Аваста».
В «Проводнике» найдите папку с файлами программы. Обычно она располагается тут: «C:\ Пользователь\ «Имя пользователя»\ AppData\ Local\ MediaGet2».
Поставьте галочку напротив папки, затем нажмите кнопку «ОК».
После выбора папки снова откроются настройки антивируса. Нажмите «Добавить», кликните «ОК».
Готово, торрент-трекер не будет подвергаться нападкам со стороны защитного программного обеспечения компании Avast.
Инструкция ниже помогает добавить MediaGet как исключение в «Касперском»:
Видео: Как добавить любую папку в исключения антивируса Kaspersky.
Немного по теме вопроса
Защитное ПО реагирует на МедиаГет блокировкой, потому что метод распространения программы в прошлом был неприемлемым для пользователей. Инструкции для Avast и Kaspersky актуальны для других отмечающих MediaGet угрозой антивирусов. Напишите в комментариях, каким сейчас номером вируса считает ваш антивирус программу Медиагет.
Что такое PUA:Win32/Presenoker и как удалить в Windows 10?
Для защиты компьютера от потенциальных угроз достаточно активировать Защитника Windows. Преимущество встроенного антивируса в том, что он постоянно усовершенствуется регулярными обновлениями Windows 10. Но есть и недостатки. В частности, он иногда блокирует приложения, которые проявляют подозрительную активность, хотя на самом деле не являются вредоносными. Одной из таких потенциальных угроз, идентифицированных Защитником Windows, является win32/Presenoker, который он помечает как PUA (Потенциально нежелательное приложение).
Что такое PUA: Win32 / Presenoker?
PUA или потенциально нежелательное приложение не относится к категории вредоносных программ. Обычно Защитник Windows помечает так торрент-клиенты.
Хотя Microsoft не сообщает, откуда появляется угроза, по-видимому, с помощью флага он предупреждает пользователей о том, что торрент (или другое ПО) может быть потенциально опасным, поскольку другие вредоносные или троянские программы могут получить доступ через него к системе.
Но есть один недостаток. Эти программы не полностью обезвреживаются антивирусом, а скорее блокируются им и остаются в папке Detection History. При следующих сканированиях, когда Защитник идентифицирует uTorrent как возможную угрозу, он снова помечает его как PUA.
Что делать при обнаружении потенциально нежелательного ПО?
PUA – это не вирус, а похоже на ошибочное срабатывание. В основном так помечаются программы с неизвестной цифровой подписью или вообще без нее. Но также не исключается, что под этими файлами прячется вредоносная программа. Поэтому вам решать, удалять ее или включить в список исключений. Чтобы убедится, что приложение безопасно, стоит проверить, загружено ли оно из официального или непроверенного источника.
Как полностью удалить из системы?
Откройте Проводник клавишами Win + E и перейдите по указанному пути:
Выделите все содержимое папки Service сочетанием клавиш Ctrl + A, щелкните правой кнопкой мыши и выберите «Удалить».
Затем перейдите в папку:
Проверьте, есть ли в этой папке файлы и папки, она должна быть пустой. Затем закройте Проводник.
На панели задач в области уведомлений щелкните правой кнопкой мыши на значок безопасности и выберите пункт «Просмотр панели мониторинга безопасности».
В правой части окна нажмите на кнопку «Защита от вирусов и угроз» и перейдите в раздел Текущие угрозы.
Здесь не должен отображаться текущий статус угрозы. Это означает, что вы успешно удалили PUA: Win32/Presenoker.
Как определить, ошибочно ли сработал антивирус?
Иногда Защитник может пометить даже безопасный компонент как потенциальную угрозу Win32/Presenoker. Как же определить, является ли срабатывание ошибочным.
Откройте системные параметры нажатием Win + I и перейдите в раздел «Обновление и безопасность».
На вкладке Безопасность Windows выберите раздел «Защита от вирусов и угроз».
В разделе Текущие угрозы перейдите к списку. Нажмите на опцию «Показать подробности».
Здесь увидите, какие приложения отмечены потенциально нежелательным ПО. Если по имени сможете его определить, то оно безопасно. Но если не знаете как попало оно на компьютер, скорее всего, это вредоносная программа.
Удаление Win32/Presenoker вместе с приложением
Прежде чем приступить к удалению флага Win32/Presenoker, нужно также удалить отмеченное приложение. В противном случае Защитник будет продолжать вытаскивать его как нежелательное программное обеспечение.
В строке поиска наберите Безопасность Windows и перейдите по найденному результату. Выберите пункт «Защита от вирусов и угроз». В разделе «Текущие угрозы» увидите список отмеченных программ.
Нажмите на запись с флагом Win32/Presenoker. В разделе вариантов действий выберите «Удалить».
Затем нажмите на кнопку «Запуск действий». Подождите, пока защитник удалит возможную угрозу. Повторите шаги для других программ.
PUA:Win32/MediaGet
Aliases: not-a-virus:Downloader.Win32.MediaGet.elo (Kaspersky) PUP-FJQ (McAfee) a variant of Win32/MediaGet.AF potentially unwanted application (ESET) MediaGet (Sophos) ADW_MEDIAGET (Trend Micro) Trojan.Win32.Generic.1386CDB8 (Rising AV) Trojan.Generic.10017735 (BitDefender) Trojan.Gen.2 (Symantec)
Summary
This application was stopped from running on your network because it has a poor reputation. This application can also affect the quality of your computing experience. We have seen this leading to the following potentially unwanted behaviors on PCs:
These applications are most commonly software bundlers or installers for applications such as toolbars, adware, or system optimizers. We have observed this application installing software that you might not have intended on your PC.
If you were trying to install an application, you might have downloaded it from a source other than the official product’s website.
We usually see this application installed on PCs in the following countries. This list is sorted according to prevalence:
What to do now
You should contact your IT representative or network administrator to find how you can install legitimate programs while connected to your network.
Technical information
Threat behavior
Installation
This application can be downloaded from websites that offer third-party software downloads. For example, we have seen it downloaded from:
We have seen this application use the following file names:
It can be digitally signed by the following vendors:
We have seen this application using product names such as:
This application communicates with domains such as:
Payload
Exhibits suspicious behaviors
We have observed this application exhibit the following potentially unwanted behavior on PCs:
Installs other programs
We have seen this application install other software on your PC. Some of these applications might be bundled during the installation process and not intended to be installed. We have seen it installing programs such as:
This description was published using automated analysis.