Просмотрел все рубрики, не нашел подходящего места. Решил задать вопрос здесь. Если что перенесите в соответствующую тему.
Заметил что SEP/Symantec/ отлавливает в карантин файлы имя dwh с разными номерами типа dwh7183exe, dwh5414exe и т.д
И вот в один прекрасный день SEP сообщает что нет места на диске, сканирование не возможно.
Короче говоря нашел я в чем дело. В фаерфоксе стояло приложение video download helper. В папке appdata\lokal\temp было около 30 Гбт.
Ну я все это удалил. Вопрос такой: было ли у кого такое ? И что это такое?
Пока я надеюсь что это ложное срабатывание.(Trojan.Gen.2 - dwh7081)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Мне всегда нравились корпоративные продукты Symantac. Ещё с тех времен, когда тот же SEP обзывался corporate edition. По причиние того, что к корпоративной безопасности америкосы относятся совсем не так, как к "домашней".
Ну, например, любой бухгалтер, приносящий на работу свой ноут с SEP'ом, обнаруживал, что совершенно не может пользоваться локальной сетью. При этом sep постоянно вываливал сообщения о блокировке разных адресов (локальных) на некий короткий промежуток времени. И так по кругу...
Понятно, что вопрос решается снятием одной галочки в настройках Но вот пользователи этого не знают. Поэтому постоянно ругаются/матерятся/etc.
Это я вот к чему... Троян.Ген
Под этим названием скрывается общее определение потенциальных угроз, для которых не существует конкретного детекта.
Чтобы не быть голословным:
Trojan.Gen.2 is a generic detection for many individual but varied Trojans for which specific definitions have not been created. A generic detection is used because it protects against many Trojans that share similar characteristics.
То бишь, это то, что я всегда называл "саймантековой корпоративной паранойей" - "мы на всякий случай перестрахуемся, мало ли что "
Подобные перестраховки есть у всех антивирусных производителей. У одних детекты подобного происходят чаще, у других - реже. Но когда речь заходит о некотором поведенческом анализе, все предпочитают подход "а ну его на фиг, лучше пометить...".
В данном конкретном случае SEP пошел по пути: исполняемый файл в кеше браузера (даже если у него нет точки между буквоцифрами и расширением) потенциально опасен, надо пометить. Ложное срабатывание это или нет - не скажу. По двум причинам...
Первая: я не использую Виндовс, но в своё время использовал video download helper... Так вот. Я не помню такого, чтобы в кеше появлялись временные файлы, содержащие в имени exe или deb (для моей системы). Это уже моя "паранойя"
Вторая: невозможно сказать что-то определенное, не видя самого файла. То, что тама находится, может совсем не иметь никакого отношения к исполняемым файлам. Если не удалили всё, попробуйте отыскать самый легкий файлик и проверить его на virustotal.com
И последнее.
Я не утверждаю, что это ложное срабатывание ещё и потому, что (на самом деле, не помню когда, может года полтора назад) спецы по безопасности проводили изучение расширений Огнелиса на предмет их повторного использования, video download helper подвержен сией уязвимости.
Ну... Я думаю, за это время уже всё поправили. Это так доп. информация просто
P.S. Про кэш.
Огнелис, в отличии от всего хромообразного, при старте прогружает только последнюю открытую вкладку (дабы снизить нагрузку на сеть). Поэтому, я рекомендую две вещи (сейчас не времена dial-up, страничку можно загрузить ещё раз):
1. Ограничить размер кэша, например, 100 мегабайтами.
2. Можно задействовать очистку кэша при закрытии браузера. Нажали крестик - кэш удалился...
Здравствуйте! Спасибо за ответ. Но: "SEP пошел по пути: исполняемый файл в кеше браузера"- не в кэше, а в папке - C:\Users\Алекс\AppData\Local\Temp.
"Если не удалили всё, попробуйте отыскать" - удалил все не открывая. Удалил почти все расширения. Но в карантине сохранил два трояна,на память. Я не знаю как из карантина извлечь кроме восстановления.Есть экспорт что я сделал, но там формат csv. На вирустотал если не ошибаюсь шлется хэш самого трояна
Прикрепляю скрин.и на всякий случай могу прислать "экспорт" карантина csv.Если это можно и безопасно.
могу прислать "экспорт" карантина csv.Если это можно и безопасно.
О! Я извиняюсь за невнимательность Не до конца досмотрел путь AppData\Local\Temp...
Но, с другой стороны, это и лучше. Теперь можно с высокой вероятностю утверждать, что Огнелис не имеет к этому ни какого отношения.
Поверьте, это так!
Значит, причина (посмотрел на скриншот и ... понял ).
В Вашем карантине имеется некоторое количество файлов. Все они хранятся в пожатом и зашифрованном виде. Хранятся на случай "а вдруг появится лечилка". Через некоторый промежуток времени SEP обнаруживает наличие обновлений для себя любимого и, дабы проверить возможность пролечить находящееся в карантине, он распаковывает и расшифровывает содержимое карантина во временную папку. Давая этим "кандидатам на лечение" имена. Начиная с версии 12.1 (для SEP'а) эти имена имеют вид DWHxxxx.exe (где xxxx - это цифровые метки). Знакомо?
Расширение может быть и не exe. Оно будет таким же, как и у исходного подозрительного файла.
Если с новыми базами файл пролечить не удалось, этот временный файл опять шифруется, пакуется и отправляется в карантин. Дополнительных записей в карантине не создается, антивирус и так знает о существовании этого файла.
Новые записи появляются благодаря функции автоматической защиты.
Происходит это в тот момент, когда антивирус обнаруживает обращение некоего третьего процесса (к примеру, службы индексирования Виндовс) к распакованному из карантина во временную папку файлу DWHxxxx. Вот тогда он его помечает как новую непонятную угрозу, дает ему новое имя и закидывает в карантин. Это проявляется аккурат так, как Вы и описали в первом посте
Заметил что SEP/Symantec/ отлавливает в карантин файлы имя dwh с разными номерами типа dwh7183exe, dwh5414exe и т.д
Решение
1. Очистить карантин через интерфейс SEP
2. Отключить повторное сканирование карантина после получения обновлений. Для этого
"Защита от вирусов и программ-шпионов" > "Параметры Windows" > "Карантин" > "Дополнительные параметры" >>> "При появлении новых определений вирусов" выберите "Ничего не делать"
3. Если удалить DWH-файлы не удается > перезагрузиться в безопасном режиме и удалить
- все DWH-файлы из временного каталога AppData\Local\Temp,
- всё содержимое карантина (его карантин находится здесь C:\ProgramData\Symantec\Symantec Endpoint Protection\СБОРКА\Data\Quarantine\)
4. Удалить всё, что находится в папке C:\ProgramData\Symantec\Defwatch.DWH
У Symantec есть утилита для очистки всех каталогов, содержащих временные данные. К сожалению, та версия, которая есть у меня, 2008 года. Подозреваю, что толку от неё на Виндовсах 8 и 10 будет ноль. Поэтому каталоги, которые нужно почистить прописал выше
Если есть необходимость, могу утилю выложить на какую-нибудь тучку.
Спасибо. Карантин очистил. все папки карантина пусты.Попытался дважды, удалить журнал угроз неудачно, комп виснет. И не смог отключить сканирование карантина, нет такой возможности. Ну да ладно.А я на downloadhelper думал.