Issue:
Tämä artikkeli koskee seuraavia WithSecure -tuotteita: WithSecure Client Security, WithSecure Server Security, Elements EPP Computer Protection ja Elements EPP Server Protection
Saan DeepGuard havainto seuraaville tiedostoille: wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe ja regsvr32.exe. Miten voin korjata tämän?
Resolution:
Useimmiten nämä havainnot tulevat DeepGuard ( WithSecure -tuotteiden perusosa, joka valvoo sovelluksia havaitakseen järjestelmään mahdollisesti haitallisia muutoksia). Seuraavat tiedostot ovat normaalisti puhtaita ja jokainen on aito Microsoft-tiedosto:
Kun kyse on yritystuotteista, ota yhteyttä WithSecure -tukeen saadaksesi lisätietoja ja toimita seuraavat tiedot:- WSDIAG - Tässä KB-artikkelissa on ohjeita WSDIAG-lokin luomiseen
- Mahdollinen tiedosto tai komentosarja, jota käytit, kun vastaanotat havainto.
Seuraavassa on esimerkkitapaus Microsoft Excelistä ja kuinka saada selville hälytyksen aiheuttava komentosarja:
Policy Manager -palvelimessa tai Windowsin tapahtumalokissa näkyvä hälytys:
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
Paikallisesti kyseisellä koneella voit tarkistaa AlertSenderPlugin.log-tiedoston, joka sisältää tarkempia tietoja tästä:
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
Tässä tapauksessa hälytys johtuu tästä makrosta:
d:\\shared\\download\\samples\\macrotest.xlsm
AlertSenderPlugin.log sijaitsee täällä asiakkaille, joissa on Client Security 16.x ja Elements Endpoint Protection:
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Jos tarkistus ei osoita haitallisia tiedostoja tai epäilyttäviä sovelluksia asennettuna, ota yhteyttä WithSecure tukeen saadaksesi lisäapua.
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.