DeepGuard erkennt wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, regsvr32 und excel.exe

Issue:

Dieser Artikel gilt für die folgenden WithSecure -Produkte: WithSecure Client Security, WithSecure Server Security, Elements EPP Computer Protection und Elements EPP Server Protection

Ich bekomme von DeepGuard eine Erkennung für die folgenden Dateien: wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe und regsvr32.exe. Wie kann ich das beheben?

Resolution:

Meistens stammen diese Erkennungen von DeepGuard (ein grundlegender Bestandteil von WithSecure -Produkten, der Anwendungen überwacht, um potenziell schädliche Änderungen am System zu erkennen). Die folgenden Dateien sind normalerweise sauber und jede ist eine legitime Microsoft-Datei:

```
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
```
Diese legitimen Microsoft-Dateien werden von DeepGuard blockiert, weil eine verdächtige Datei, ein verdächtiges Skript oder eine verdächtige Anwendung versucht, sie auszuführen.

Wenn es um Geschäftsprodukte geht, wenden Sie sich zur weiteren Untersuchung an den WithSecure -Support und geben Sie Folgendes an:

WSDIAG - In diesem KB-Artikel finden Sie Anweisungen zum Erstellen eines WSDIAG-Protokolls.
Mögliche Datei oder Skript, die Sie ausgeführt haben, als Sie die Erkennung erhielten.

Nachfolgend sehen Sie ein Beispiel für einen Fall mit Microsoft Excel und wie Sie das Skript ermitteln, das die Warnung verursacht:

Im Policy Manager-Server oder im Windows-Ereignisprotokoll angezeigte Warnung:


DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c

Sie können lokal auf diesem Computer das AlertSenderPlugin.log überprüfen, das ausführlichere Informationen hierzu enthält:


[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]

In diesem Fall wird die Warnung durch dieses Makro verursacht:


d:\\shared\\download\\samples\\macrotest.xlsm

AlertSenderPlugin.log befindet sich hier auf Clients mit Client Security 16.x und Elements Endpoint Protection:


C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log

Wenn der Scan keine schädlichen Dateien oder installierten verdächtigen Anwendungen anzeigt, wenden Sie sich für weitere Unterstützung an den WithSecure Support.

Article no: 000004495

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.