Issue:
Cet article s'applique aux produits WithSecure suivants : WithSecure Client Security, WithSecure Server Security, Elements EPP Computer Protection, Elements EPP Server Protection.
Je reçois une détection pour les fichiers suivants : wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe et regsvr32.exe par Deepguard. Comment puis-je réparer cela?
Resolution:
La plupart de ces détections proviennent de DeepGuard (un élément de base des produits WithSecure qui surveille les applications pour détecter les modifications potentiellement dangereuses du système). Les fichiers suivants sont normalement propres et chacun est un fichier Microsoft légitime :
En ce qui concerne les produits professionnels, afin d'approfondir vos recherches, contactez le support WithSecure et fournissez les éléments suivants :- WSDIAG - Vous pouvez vous référer à cet article de la base de connaissances pour obtenir des instructions sur la création d'un journal WSDIAG.
- Fichier ou script possible que vous exécutiez lorsque vous recevez la détection.
Voici un exemple de cas avec Microsoft Excel et comment trouver le script à l'origine de l'alerte :
Alerte affichée dans le journal des événements Policy Manager Server ou Windows :
DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c
Localement sur cette machine, vous pouvez consulter le fichier AlertSenderPlugin.log, qui contient des informations plus détaillées à ce sujet :
[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]
Dans ce cas, l'alerte est provoquée par cette macro :
d:\\shared\\download\\samples\\macrotest.xlsm
AlertSenderPlugin.log se trouve ici sur les clients avec Client Security 14.x et PSB Computer Protection :
C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log
Si l' analyse n'indique aucun fichier nuisible ou aucune application suspecte installée, contactez le support WithSecure pour obtenir de l'aide.
Article no: 000004495
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.