Issue:
Tämä artikkeli koskee seuraavia F-Secure-tuotteita: F-Secure Client Security, F-Secure Server Security, Elements EPP Computer Protection, Elements EPP Server Protection
Saan Deepguardin havainto seuraaville tiedostoille: wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe ja regsvr32.exe. Miten voin korjata tämän?
Resolution:
Useimmiten nämä havainnot tulevat DeepGuard (WiSecure-tuotteiden perusosa, joka valvoo sovelluksia havaitakseen järjestelmään mahdollisesti haitallisia muutoksia). Seuraavat tiedostot ovat normaalisti puhtaita ja jokainen on aito Microsoft-tiedosto:
Kun kyse on yritystuotteista, ota yhteyttä F-Securen tukeen saadaksesi lisätietoja ja toimita seuraavat tiedot:- FSDIAG – Tässä artikkelissa on ohjeita FSDIAG-lokin luomiseen
- Mahdollinen tiedosto tai komentosarja, jota käytit, kun vastaanotat havainto.
Seuraavassa on esimerkkitapaus Microsoft Excelistä ja kuinka saada selville hälytyksen aiheuttava komentosarja:
Policy Manager -palvelimessa tai Windowsin tapahtumalokissa näkyvä hälytys:
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
Paikallisesti kyseisellä koneella voit tarkistaa AlertSenderPlugin.log-tiedoston, joka sisältää tarkempia tietoja tästä:
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
Tässä tapauksessa hälytys johtuu tästä makrosta:
d:\\shared\\download\\samples\\macrotest.xlsm
AlertSenderPlugin.log sijaitsee täällä asiakkaille, joissa on Client Security 14.x ja PSB Computer Protection:
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Jos tarkistus ei osoita haitallisia tiedostoja tai epäilyttäviä sovelluksia asennettuna, ota yhteyttä F-Securen tukeen saadaksesi lisäapua.
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.