Issue:
Dieser Artikel gilt für die folgenden F-Secure-Produkte: F-Secure Client Security, F-Secure Server Security, Elements EPP Computer Protection, Elements EPP Server Protection
Ich erhalte eine Erkennung für die folgenden Dateien: wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe und regsvr32.exe von Deepguard. Wie kann ich das beheben?
Resolution:
Meistens stammen diese Erkennungen von DeepGuard (einem grundlegenden Bestandteil von WithSecure-Produkten, der Anwendungen überwacht, um potenziell schädliche Änderungen am System zu erkennen). Die folgenden Dateien sind normalerweise sauber und jeweils eine legitime Microsoft-Datei:
Diese legitimen Microsoft-Dateien werden von DeepGuard blockiert, weil eine verdächtige Datei, ein verdächtiges Skript oder eine verdächtige Anwendung versucht, sie auszuführen.
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
- FSDIAG – In diesem Artikel finden Sie Anweisungen zum Erstellen eines FSDIAG-Protokolls
- Mögliche Datei oder Skript, die Sie ausgeführt haben, als Sie die Erkennung erhalten haben.
Im Policy Manager Server oder im Windows-Ereignisprotokoll angezeigte Warnung:
Lokal auf diesem Computer können Sie das AlertSenderPlugin.log überprüfen, das detailliertere Informationen dazu enthält:
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
In diesem Fall wird die Warnung durch dieses Makro verursacht:
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
AlertSenderPlugin.log befindet sich hier auf Clients mit Client Security 14.x und PSB Computer Protection:
d:\\shared\\download\\samples\\macrotest.xlsm
Wenn der Scan keine schädlichen Dateien oder installierten verdächtigen Anwendungen anzeigt, wenden Sie sich für weitere Unterstützung an den F-Secure-Support.
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.