Предыстория:
для доступа по VPN к сети клиента используется ActiveX -модуль, подгружаемый при заходе на страницу авторизации со стороны клиента (открывается в IE).
При загрузке модуля один из его компонентов, ISWMGR.exe, блокируется как DPH:Trojan.Inject.1
При этом:
а) из карантина файл достать нельзя, только удалить;
б) отключение эвристики, занесение в исключения Guard имени процесса, имени файла и его каталога на ситуацию не влияют;
в) ручная проверка файла показывает, что он чист.
В Event Log имеем следующее:
disinfect object: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe - quarantined, reboot required [threat name: DPH:Trojan.Inject.1, action: 3, type: 0, ret: 1000008]
Preventive protection event: Inject to protected/system process id: 4983, type: PsInject (43), flags: 1 (wait: 1), cid: 6504/2912:\Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe hips: type: 18, action: deny [5] inject: WriteMemory [1], target process: \Device\HarddiskVolume2\Windows\explorer.exe:6260 signer: C=IL|ST=Ramat-Gan|L=Ramat-Gan|O=Check Point Software Technologies Ltd.|OU=Digital ID Class 3 - Microsoft Software Validation v2|CN=Check Point Software Technologies Ltd., timestamp: 17.11.2016 14:31:47.0000, thumbprint: e615143063feb3a77c1580b84810145dd1c7db2e hash: 002025f04bf3408e019c5caac2ca3693922266f0 status: signed, pe64, new_pe (0xa00200) / signed / unknown threat: DPH:Trojan.Inject.1 ==> send user blocked alert path: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> denied access to file process: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe:6504 ==> suspended all threads in process path: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> quarantined send driver event reply for unblock process ==> success process: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe:6504 ==> terminated disinfect: \Device\HarddiskVolume2\Temp\SWS\FFSW\ISWMGR.exe ==> quarantined, reboot required [1000008] threat: DPH:Trojan.Inject.1 ==> sended user virus found alert id: 4983 ==> denied [5], time: 12305.207676 ms
Проблема решается только отключением Guard и/или превентивки (т.к. вопрос весьма срочный - отключал сразу оба).
Клиент важный, просить его что-то подкрутить у себя или дать другой способ доступа по VPN - не представляется возможным.
Что можно подкрутить со стороны ESS?
Логи приаттачены, момент запуска модуля - около 17.03.
Прикрепленные файлы:
Сообщение было изменено Jumbo Frame: 29 Декабрь 2016 - 19:40