Анализ антивирусами файлов из раздачи
Проводил анализ раздачи
Windows 10 22H2 + LTSC 21H2 (x64) 28in1 +- Office 2024 by Eagle123 (12.2025) [Ru/En]
антивирусом Kaspersky Free c базами 01.01.2026
и антивирусом DrWeb CureIt c базами 01.01.2026
В том числе смонтированы DISM-ом все индексы в следующих *.wim и *.esd-файлах и перепроверено их содержимое двумя антивирусами:
"I:\JINN\WinSetup\boot10x64.wim"
"I:\JINN\WinSetup\install10.esd"
"I:\JINN\WinSetup\office10.esd"
"I:\JINN\WinSetup\office10a.esd"
Скриншот результатов проверки антивирусом Kaspersky Free c базами 01.01.2026:

I:\JINN\WinSetup\OEM\$OEM$\$$\Setup\Scripts\cmdow.exe not-a-virus:RiskTool.Win32.HideWindows.o
I:\JINN\WinSetup\OEM\$OEM$\$$\Setup\Scripts\hidcon.exe not-a-virus:RiskTool.Win32.HideProc.tj
Как говорит Касперский, эти файлы "not-a-virus". Используются во многих сборках. Во время установки запускаются разные cmd-скрипты и программы, с которыми пользователю взаимодействовать не надо. Поэтому, чтобы поменьше мелькало перед глазами лишних окошек, они скрываются. Описание этих программ можно найти в Гугле, а также найти сообщения, что эти программы не нравятся антивирусам.
(Эти файлы обязательно нужны для правильной отработки всех заданий по автоматизации установки Windows)
I:\JINN\WinSetup\OEM\$OEM$\$$\Setup\Scripts\Activation\AAct\AAct_x64.exe HEUR:HackTool.Win32.KMSAuto.gen
Активатор Windows и Office от Ratiborus, взят с ru-board. В свойствах файла есть цифровая подпись WZTeam с самоподписанным сертификатом. Можно перейти на сайт Ratiborus-а, скачать там точно такой же активатор, сравнить версию активатора/файла, цифровую подпись и контрольные суммы файла. Если всё сходится, то ко мне претензий не должно быть - программа не моя, а другого зарекомендовавшего себя разработчика.
(Если всё равно остаётся подозрение на эти файлы, то можно удалить их с флешки - файлы нигде не задействуются, на процесс установки не влияют, запускаются только вручную самим пользователем при клике на эти cmd-файлы в проводнике. Используется только как запасной вариант активации, запускается только вручную)
I:\JINN\WinSetup\OEM\10_$OEM$\$$\Setup\Scripts\Activation\Microsoft-Activation-Scripts-(MAS)\Separate-Files-Version\Activators\TSForge_Activation.cmd HEUR:HackTool.BAT.Alien.gen
Активатор с сайта MassGrave. Активатор ввиде cmd-скрипта, можно открыть его Блокнотом и посмотреть, что делает. А также перейти на сайт MassGrave, скачать там точно такой же активатор, сравнить версию активатора/файла и контрольные суммы файла. Если всё сходится, то ко мне претензий не должно быть - программа не моя, а другого зарекомендовавшего себя разработчика.
(Если всё равно остаётся подозрение на этот файл, то можно удалить его с флешки - тогда просто не активируется Office или Windows)
I:\JINN\WinSetup\OEM\10_$OEM$\$$\Setup\Scripts\Addons\DefenderControl\DefenderControl.exe Trojan.Win32.Agentb.kwqa
Программа для отключения встроенного в Windows Защитника от вирусов. Применяется, только если пользователь во время установки выбирает опцию отключения Защитника.
Переходим на официальный сайт разработчика
https://www.sordum.org/9480/defender-control-v2-1 , качаем программу, сравниваем контрольные суммы с теми, что в раздаче. Они совпадают, значит ко мне претензий не должно быть. У разработчика эта версия размещена "September 13, 2021" и тоже доказательств о реальном вредительстве это файла нет, как от пользователей моих раздач, в которых именно этот файл используется примерно с этого же времени, так и вообще от этого разработчика (на сколько я знаю).
Эта программа отключает встроенный антивирус от Майкрософт, поэтому этот файл используется некоторым вирусами, чтобы перед заражением с помощью этой программы отключить антивирус, а потом вирус мог начинать творить свои плохие дела - поэтому антивирусы и заносят этот файл в опасные.
(Если всё равно остаётся подозрение на этот файл, то можно удалить его с флешки, тогда опция отключения Защитника Windows во время установки Windows просто не будет работать)
I:\JINN\WinSetup\Tools\PEPrograms\WinNTSetup\WinNTSetup_x64.exe UDS:Trojan.Win32.Fsysna.iqir
Это программа для установки дополнительной ОС Windows на один и тот же жесткий диск или съемный носитель.
"WinNTSetup_x64.exe" - это *.7z архив, преобразованный в *.exe стандартными средствами архиватора 7z. Я брал файл "WinNTSetup_x64.exe" из какой-то версии WinPE Сергея Стрельца, затем перепаковал его с другими параметрами запуска под свою раздачу.
Можно разложить файл "WinNTSetup_x64.exe" стандартными 7z-средствами типа "7ZSplit.exe" на три составляющие: 7z-архив, txt-файл с параметрами и sfx-модуль. Затем каждый из этих трёх составляющих по отдельности скормить антивирусу Касперского (он скажет, что угроз нет), затем скормить virustotal-у, тогда:
- на 7z-архив сработает только 1 из 60 антивирусов "Rising", найдя угрозу под названием "Trojan.Generic@AI.82",
- txt-файл естественно без вирусов,
- на sfx-модуль сработает 1 из 73 антивирусов "Jiangmin", найдя угрозу под названием "Trojan.Fsysna.kvr",
но стоит самостоятельно собрать обратно из этих трёх составляющих единый *.exe-файл , так его начинает обнаруживать 33 антивируса из 71.
Если на распакованные файлы у антивируса нет претензий, то считаю, что негативная реакция на запакованный exe-файл - ложная.
(Если всё равно остаётся подозрение на этот файл, то можно удалить его с флешки - файл нигде не задействуется в автоматическом режиме, на процесс установки не влияет, запускается только вручную самим пользователем)
Другие антивирусы могут определить еще подозрительные файлы. Но тогда тут нужно задуматься, что т.к. файлы в раздаче не новые (не "вчера" появились в сети), а два антивируса Kaspersky Standard и DrWeb CureIt до сих пор не внесли их в свои базы, а значит, вероятно, до сих пор продолжают считать их безопасными, а у других антивирусов вероятнее всего ложные (или маркетинговые) срабатывания.
Все остальные файлы в раздаче
Windows 10 22H2 + LTSC 21H2 (x64) 28in1 +- Office 2024 by Eagle123 (12.2025) [Ru/En]
не вызывают подозрений у
Kaspersky Free и DrWeb CureIt на 01.01.2026