Issue:
Cet article s'applique aux produits F-Secure suivants : F-Secure Client Security, F-Secure Server Security, Elements EPP Computer Protection, Elements EPP Server Protection
Je reçois une détection pour les fichiers suivants : wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe et regsvr32.exe par Deepguard. Comment puis-je réparer cela?
Resolution:
La plupart de ces détections proviennent de DeepGuard (une partie de base des produits WithSecure qui surveille les applications pour détecter les modifications potentiellement dangereuses du système). Les fichiers suivants sont normalement sains et chacun est un fichier Microsoft légitime :
En ce qui concerne les produits professionnels, afin d'approfondir vos recherches, contactez l'assistance F-Secure et fournissez les informations suivantes :- FSDIAG - Vous pouvez vous référer à cet article pour obtenir des instructions sur la façon de créer un journal FSDIAG
- Fichier ou script possible que vous exécutiez lorsque vous recevez la détection.
Voici un exemple de cas avec Microsoft Excel et comment trouver le script à l'origine de l'alerte :
Alerte affichée dans Policy Manager Server ou le journal des événements Windows :
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
Localement sur cette machine, vous pouvez vérifier le AlertSenderPlugin.log, qui contient des informations plus détaillées à ce sujet :
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
Dans ce cas, l'alerte est provoquée à cause de cette macro :
d:\\shared\\download\\samples\\macrotest.xlsm
AlertSenderPlugin.log se trouve ici sur les clients avec Client Security 14.x et PSB Computer Protection :
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Si l' analyse n'indique aucun fichier nuisible ni aucune application suspecte installée, contactez l'assistance F-Secure pour obtenir de l'aide.
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.