Показано с 1 по 5 из 5.

Trojan.Gen.2 - dwh7081

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2015
    Сообщений
    4
    Вес репутации
    17

    Trojan.Gen.2 - dwh7081

    Просмотрел все рубрики, не нашел подходящего места. Решил задать вопрос здесь. Если что перенесите в соответствующую тему.

    Заметил что SEP/Symantec/ отлавливает в карантин файлы имя dwh с разными номерами типа dwh7183exe, dwh5414exe и т.д
    И вот в один прекрасный день SEP сообщает что нет места на диске, сканирование не возможно.
    Короче говоря нашел я в чем дело. В фаерфоксе стояло приложение video download helper. В папке appdata\lokal\temp было около 30 Гбт.
    Ну я все это удалил. Вопрос такой: было ли у кого такое ? И что это такое?
    Пока я надеюсь что это ложное срабатывание.(Trojan.Gen.2 - dwh7081)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    477
    Вес репутации
    427
    Мне всегда нравились корпоративные продукты Symantac. Ещё с тех времен, когда тот же SEP обзывался corporate edition. По причиние того, что к корпоративной безопасности америкосы относятся совсем не так, как к "домашней".

    Ну, например, любой бухгалтер, приносящий на работу свой ноут с SEP'ом, обнаруживал, что совершенно не может пользоваться локальной сетью. При этом sep постоянно вываливал сообщения о блокировке разных адресов (локальных) на некий короткий промежуток времени. И так по кругу...
    Понятно, что вопрос решается снятием одной галочки в настройках Но вот пользователи этого не знают. Поэтому постоянно ругаются/матерятся/etc.

    Это я вот к чему... Троян.Ген
    Под этим названием скрывается общее определение потенциальных угроз, для которых не существует конкретного детекта.
    Чтобы не быть голословным:
    Trojan.Gen.2 is a generic detection for many individual but varied Trojans for which specific definitions have not been created. A generic detection is used because it protects against many Trojans that share similar characteristics.
    Источник - тык

    То бишь, это то, что я всегда называл "саймантековой корпоративной паранойей" - "мы на всякий случай перестрахуемся, мало ли что "

    Подобные перестраховки есть у всех антивирусных производителей. У одних детекты подобного происходят чаще, у других - реже. Но когда речь заходит о некотором поведенческом анализе, все предпочитают подход "а ну его на фиг, лучше пометить...".

    В данном конкретном случае SEP пошел по пути: исполняемый файл в кеше браузера (даже если у него нет точки между буквоцифрами и расширением) потенциально опасен, надо пометить. Ложное срабатывание это или нет - не скажу. По двум причинам...
    Первая: я не использую Виндовс, но в своё время использовал video download helper... Так вот. Я не помню такого, чтобы в кеше появлялись временные файлы, содержащие в имени exe или deb (для моей системы). Это уже моя "паранойя"
    Вторая: невозможно сказать что-то определенное, не видя самого файла. То, что тама находится, может совсем не иметь никакого отношения к исполняемым файлам. Если не удалили всё, попробуйте отыскать самый легкий файлик и проверить его на virustotal.com

    И последнее.
    Я не утверждаю, что это ложное срабатывание ещё и потому, что (на самом деле, не помню когда, может года полтора назад) спецы по безопасности проводили изучение расширений Огнелиса на предмет их повторного использования, video download helper подвержен сией уязвимости.
    Ну... Я думаю, за это время уже всё поправили. Это так доп. информация просто

    P.S. Про кэш.
    Огнелис, в отличии от всего хромообразного, при старте прогружает только последнюю открытую вкладку (дабы снизить нагрузку на сеть). Поэтому, я рекомендую две вещи (сейчас не времена dial-up, страничку можно загрузить ещё раз):
    1. Ограничить размер кэша, например, 100 мегабайтами.
    2. Можно задействовать очистку кэша при закрытии браузера. Нажали крестик - кэш удалился...

  4. #3
    Junior Member Репутация
    Регистрация
    06.05.2015
    Сообщений
    4
    Вес репутации
    17
    Здравствуйте! Спасибо за ответ. Но: "SEP пошел по пути: исполняемый файл в кеше браузера"- не в кэше, а в папке - C:\Users\Алекс\AppData\Local\Temp.
    "Если не удалили всё, попробуйте отыскать" - удалил все не открывая. Удалил почти все расширения. Но в карантине сохранил два трояна,на память. Я не знаю как из карантина извлечь кроме восстановления.Есть экспорт что я сделал, но там формат csv. На вирустотал если не ошибаюсь шлется хэш самого трояна
    Прикрепляю скрин.и на всякий случай могу прислать "экспорт" карантина csv.Если это можно и безопасно.
    Изображения Изображения

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    477
    Вес репутации
    427
    Цитата Сообщение от Igemon Посмотреть сообщение
    могу прислать "экспорт" карантина csv.Если это можно и безопасно.
    О! Я извиняюсь за невнимательность Не до конца досмотрел путь AppData\Local\Temp...

    Но, с другой стороны, это и лучше. Теперь можно с высокой вероятностю утверждать, что Огнелис не имеет к этому ни какого отношения.
    Поверьте, это так!

    Значит, причина (посмотрел на скриншот и ... понял ).
    В Вашем карантине имеется некоторое количество файлов. Все они хранятся в пожатом и зашифрованном виде. Хранятся на случай "а вдруг появится лечилка". Через некоторый промежуток времени SEP обнаруживает наличие обновлений для себя любимого и, дабы проверить возможность пролечить находящееся в карантине, он распаковывает и расшифровывает содержимое карантина во временную папку. Давая этим "кандидатам на лечение" имена. Начиная с версии 12.1 (для SEP'а) эти имена имеют вид DWHxxxx.exe (где xxxx - это цифровые метки). Знакомо?

    Расширение может быть и не exe. Оно будет таким же, как и у исходного подозрительного файла.

    Если с новыми базами файл пролечить не удалось, этот временный файл опять шифруется, пакуется и отправляется в карантин. Дополнительных записей в карантине не создается, антивирус и так знает о существовании этого файла.

    Новые записи появляются благодаря функции автоматической защиты.
    Происходит это в тот момент, когда антивирус обнаруживает обращение некоего третьего процесса (к примеру, службы индексирования Виндовс) к распакованному из карантина во временную папку файлу DWHxxxx. Вот тогда он его помечает как новую непонятную угрозу, дает ему новое имя и закидывает в карантин. Это проявляется аккурат так, как Вы и описали в первом посте
    Заметил что SEP/Symantec/ отлавливает в карантин файлы имя dwh с разными номерами типа dwh7183exe, dwh5414exe и т.д
    Решение
    1. Очистить карантин через интерфейс SEP
    2. Отключить повторное сканирование карантина после получения обновлений. Для этого
    "Защита от вирусов и программ-шпионов" > "Параметры Windows" > "Карантин" > "Дополнительные параметры" >>> "При появлении новых определений вирусов" выберите "Ничего не делать"
    3. Если удалить DWH-файлы не удается > перезагрузиться в безопасном режиме и удалить
    - все DWH-файлы из временного каталога AppData\Local\Temp,
    - всё содержимое карантина (его карантин находится здесь C:\ProgramData\Symantec\Symantec Endpoint Protection\СБОРКА\Data\Quarantine\)
    4. Удалить всё, что находится в папке C:\ProgramData\Symantec\Defwatch.DWH

    У Symantec есть утилита для очистки всех каталогов, содержащих временные данные. К сожалению, та версия, которая есть у меня, 2008 года. Подозреваю, что толку от неё на Виндовсах 8 и 10 будет ноль. Поэтому каталоги, которые нужно почистить прописал выше
    Если есть необходимость, могу утилю выложить на какую-нибудь тучку.

    И... Ещё раз ивиняюсь за свою невнимательность

  6. #5
    Junior Member Репутация
    Регистрация
    06.05.2015
    Сообщений
    4
    Вес репутации
    17
    Спасибо. Карантин очистил. все папки карантина пусты.Попытался дважды, удалить журнал угроз неудачно, комп виснет. И не смог отключить сканирование карантина, нет такой возможности. Ну да ладно.А я на downloadhelper думал.

Похожие темы

  1. Карантин 1EE39FB62A9BE634A222D33FCC0FC1D3 [Trojan-Clicker.BAT.Small.en, Trojan.VBS.BroExt.b, Trojan.Win32.Buzus.xxlr ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 1
    Последнее сообщение: 28.05.2016, 17:38
  2. Ответов: 1
    Последнее сообщение: 14.11.2010, 18:32
  3. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
    От v119 в разделе Описания вредоносных программ
    Ответов: 1
    Последнее сообщение: 15.03.2010, 13:56
  4. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:31
  5. Ответов: 11
    Последнее сообщение: 22.02.2009, 03:25

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00432 seconds with 19 queries