DeepGuard upptäcker wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, regsvr32 och excel.exe

Issue:

Den här artikeln gäller följande WithSecure -produkter: WithSecure Client Security, WithSecure Server Security, Elements EPP Computer Protection och Elements EPP Server Protection

Jag får en upptäckt för följande filer: wscript.exe, ieexplorer.exe, winword.exe, explorer.exe, excel.exe och regsvr32.exe av DeepGuard. Hur kan jag fixa detta?

Resolution:

Oftast kommer dessa upptäckter från DeepGuard (en grundläggande del av WithSecure produkter som övervakar applikationer för att upptäcka potentiellt skadliga ändringar i systemet). Följande filer är normalt rena och var och en är en legitim Microsoft-fil:

```
wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe
```
Dessa legitima Microsoft-filer blockeras av DeepGuard eftersom en misstänkt fil, skript eller applikation försöker köra dem.

När det gäller affärsprodukterna, för att undersöka ytterligare, kontakta WithSecure support och tillhandahåll följande:

WSDIAG - Du kan hänvisa till den här KB-artikeln för instruktioner om hur du skapar en WSDIAG-logg
Möjlig fil eller skript som du körde när du fick upptäckt.

Följande är ett exempel på Microsoft Excel och hur man tar reda på skriptet som orsakar varningen:

Varning som visas i Policy Manager Server eller Windows händelselogg:


DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c

Lokalt på den maskinen kan du kontrollera AlertSenderPlugin.log, som innehåller mer detaljerad information om detta:


[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]

I det här fallet orsakas varningen på grund av detta makro:


d:\\shared\\download\\samples\\macrotest.xlsm

AlertSenderPlugin.log finns här på klienter med Client Security 16.x och Elements Endpoint Protection:


C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log

Om genomsökning inte indikerar några skadliga filer eller något misstänkt program installerat, kontakta WithSecure support för ytterligare hjälp.

Article no: 000004495

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.