F-Secureのディープガードは wscript.exeと、ieexplorer.exe、WINWORD.EXE、explorer.exeを、します。regsvr32、およびEXCEL.EXEを検出し、

F-Secureのディープガードは wscript.exeと、ieexplorer.exe、WINWORD.EXE、explorer.exeを、します。regsvr32、およびEXCEL.EXEを検出し、 - F-Secure Community

Issue:

この記事は、 F-Secure SAFE、 F-Secure クライアントセキュリティ、F-Secureサーバーセキュリティ、 F-Secure PSBコンピューター保護、 F-Secure PSBサーバー保護に適用されます。

wscript.exeと、ieexplorer.exe、WINWORD.EXE、explorer.exeを、EXCEL.EXE、およびディープガードによってREGSVR32.EXE：私は、次のファイルの検出を取得しています。どうすれば修正できますか？

Resolution:

ほとんどの場合、これらの検出はディープガード（システムを危険にさらす可能性の有害変更を検出にアプリケーションを監視するF-secure製品の基本的な部分）から行われます。次のファイルは通常クリーンで、それぞれが正規のMicrosoftファイルです。


wscript.exe
ieexplorer.exe
winword.exe
explorer.exe
excel.exe
Regsvr32.exe

これらの正規のMicrosoftファイルは、不審ファイル、スクリプト、またはアプリケーションがそれらを実行しようとしているため、ディープガードによってブロックされます。
ビジネス製品に関しては、さらに調査順序に、F-Secureのサポートに連絡先、以下を提供してください。

FSDIAG -あなたはこれを参照することができます記事 FSDIAG ログを作成する方法指示は、
検出ときに実行していた可能性のあるファイルまたはスクリプト。

以下は、Microsoft Excelの例であり、アラートの原因となっているスクリプトを見つける方法です。

Policy Manager ServerまたはWindowsイベントログに表示されるアラート：


DeepGuard blocked an exploit action.
Application path: C:\Program Files (x86)\Microsoft Office\root\Office16\EXCEL.EXE
File hash: 6490a5897c31e43393c0feba365a08611340867c

そのマシンのローカルで、AlertSenderPluginを確認できます。これに関するより詳細な情報を含むログ：


[...]
2019-09-20 09:38:30.426 [1004.2b68] I: ULAVMonitoring::callbackOnOASAlert: Got OAS alert with JSON: {"bookmark":"PEJvb2ttYXJrTGlzdD4NCiAgPEJvb2ttYXJrIENoYW5uZWw9J0ZTZWN1cmVVbHRyYWxpZ2h0U0RLJyBSZWNvcmRJZD0nMTIxNTknIElzQ3VycmVudD0ndHJ1ZScvPg0KPC9Cb29rbWFya0xpc3Q+","rl":"sp.evt.dg.block","rv":{"AskSample":0,"Detection":"Exploit:W32/OfficeExploitPayload.A!DeepGuard","Exploit":"d:\\shared\\download\\samples\\macrotest.xlsm","Hash":"6490a5897c31e43393c0feba365a08611340867c","Path":"C:\\Program Files (x86)\\Microsoft Office\\root\\Office16\\EXCEL.EXE","ProcessID":17996,"Rarity":2,"Reason":10,"Reputation":1,"SessionID":1,"tickcount":2348045081145}}. Extra data size: 0
[...]

この場合、このマクロが原因でアラートが発生します。


d:\\shared\\download\\samples\\macrotest.xlsm

AlertSenderPlugin。ログは、Client Security 14.xおよびPSB Computer Protectionを使用するクライアントのここにあります。


C:\ProgramData\F-Secure\Log\PSB\AlertSenderPlugin.log

それはF-SecureのSAFEのような自宅製品になると、製品はこれらの検出のソースを検出できるようにコンピュータの完全スキャンを実行します。 F-Secure SAFEは、そのような動作を引き起こす有害ファイルがコンピュータに保存されているかどうかを確認ます。コンピュータ全体のスキャンを実行するには、以下の手順に従ってください：

F-Secure SAFEを開く
[ 設定] > [スキャン設定 ] > [手動スキャン ]をクリックし設定
- 既知のファイルタイプのみスキャンを解除する
- 圧縮ファイル内のティックスキャン
終了設定
ツールをクリックします
[ ウイルススキャンオプション] > [ フルコンピュータスキャン]を選択します。

スキャンで有害ファイルやインストールされた不審アプリケーションが示されない場合は、F-Secure サポートに連絡先サポートを受けてください。

Article no: 000004495

powered by Google Translate
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.