43 ответов в этой теме

[MrGRUSHECKA]

всем привет антивирус доктор веб видит вирус в файлах SLSLib.dll видит вирус рекламный модуль но когда я проверяю на других антивирусах ничего не видит и когда проверяю на вирус тотал тоже ничего не видит ноутбук Леново oc windows 11

[MrGRUSHECKA]

И их еще много около 6 их и они по пути к Lenovo Vantage и еще есть SLSCore.dll SLSLib.dll но еще мне не выбивает реклама и пк работает как работал

[Lvenok]

Отправьте в вирлаб на проверку.

[maxic]

Это, скорее всего:
 

Источник: SpIDer Guard for Windows workstations (DESKTOP-6647G41\Lenovo:DESKTOP-6647G41\Отсутствует @ DESKTOP-6647G41)

Объект: C:\ProgramData\Lenovo\ImController\Plugins\GenericMessagingPlugin\x86\SLSCore.dll (неизвестно)

Хэш SHA256:89cd90e1bcca75676f624bd0ded51b4692162db80a21bb58081bdab5070a164e 

Тип: рекламная программа

Угроза: Adware.SweetLabs.7

Действие: перемещен в карантин

В вирлабе скажут, что детект по делу.

[MrGRUSHECKA]

Но он появляется и появляется а реклам не было а другие антивирусники не детектят может сбой?

[Alexander007]

Но он появляется и появляется а реклам не было а другие антивирусники не детектят может сбой?

 

Это от создателя рекламного программы OpenCandy -известный разработчик рекламного модуля.

 

Если хотите пройти "Помощь по лечению" - Помощь по лечению - Dr.Web forum (drweb.com)  , создать новый запрос  - а, там аналитик поможет узнать симптомы заряжений и пролечить систему с помощью спец утилитой, если вы хотите избавить от рекламного трояна.

Сообщение было изменено Alexander007: 05 Июль 2023 - 17:31

[Dmitry_rus]

Детект по делу. Если это единственная проблема, то заражений, скорее всего, нет.

https://forums.lenovo.com/t5/ThinkPad-Серия-L/Антивирус-Dr-web-находит-вирусы-в-Lenovo-vantage/m-p/5096977?page=2

[maxic]

Вот ещё вариант:

c:\windows\system32\imcontroller.infinstaller.exe -uninstall

[Alexander007]

Вот ещё вариант:

c:\windows\system32\imcontroller.infinstaller.exe -uninstall

Подозрительный..  Если есть у вас в VT? Сможете ее отправить ? Посмотреть .... Она ли в белом списке?

[Dmitry_rus]

Подозрительный..

imcontroller.infinstaller.exe - это штатная утилита от Lenovo. В данном случае, как понятно из параметров комстроки, происходит удаление.

[shlimazl]

К слову: https://forum.drweb.com/index.php?showtopic=336108

Сказано, что из Леново, может быть, и удалить сложно или невозможно. Но если появился родной унисталлер, то...

[maxic]

К слову: https://forum.drweb.com/index.php?showtopic=336108

Сказано, что из Леново, может быть, и удалить сложно или невозможно. Но если появился родной унисталлер, то...

Давно не удалял, но в свое время - зачищалось нормально.

[Alex821982]

Такая же ерунда периодически на некоторых компах присылает это уведомление, что перемещен в карантин. Может пол часа пройти или вообще рандомное время и опять повторно присылает. Так он перемещается в карантин или нет? 

Поставил вообще удаление рекламных программ по ручному сканированию в этой папке, после проверки прислал, что этот DLL удален, проходит время и опять те же самые уведомления по тому же пути этот dll в карантине и так блин по кругу.

Он не может его удалить или что? Или это просто повторные оповещения? 

Ерунда какая то, в исключения их что ли добавить?

Нет непосредственного доступа к этим компам просто, чтобы так еще глянуть где там эти файлы, только вот так через сервер дрвеб.

[MrGRUSHECKA]

Я прочитал что леново подгружает свое рекламную штуку это правда?

Сообщение было изменено MrGRUSHECKA: 07 Июль 2023 - 15:07

[Dolmatov]

Добавлю немного "воды".

 

С этой фирмой был "неприятный момент" с программой Superfish. Можете почитать в Интернете, если хотите. Так что ожидаемо, что могут быть схожие инциденты. Если обсуждаемый модуль есть в базе, значит есть, как минимум, потенциальный функционал нежелательного поведения. Вам решать доверять файлу или нет. 

 

То что другие антивирусы ничего не обнаруживает не значит, что внутри файла нет запрограммированного функционала или функционала со схожей сигнатурой (детектируемой эвристикой). Банально, может быть исключение по издателю или параметрам файла, чтобы не получать жалобы от пользователей и производителя. Сам функционал может быть в пассивном режиме, оставляя только модуль и не делая запроса в Интернет без дополнительного "толчка" от "внешнего источника" (например, реализация в исполняемом файле в одном из будущих обновлений)

.

Подробней ответить могут только специалисты, которые проанализируют причину обнаружения рекламного функционала в файле. 

Выше вам сообщили, что ложного срабатывания нет, т.е. функционал есть. Но это не значит, что реклама вообще показывается и что-то сверх этого модуля связано с рекламным функционалом на вашем устройстве.

[maxic]

Он не может его удалить или что? Или это просто повторные оповещения?

Фирменный софт вновь подгружает эти библиотеки и записывает на диск.

[Alexander007]

maxic , вы правы . Если производитель не уведомлены от компании Др веб , если не предоставили уязвимость или не предоставили исходник код, где находится опасный код и отправить производителю , чтобы производитель убрал уязвимость этого драйвера или файл этого системы . Это раньше сообщили производителю ? Отсутствует ли эта информация?

[Alex821982]

Так в итоге, что с этим делать, можно в исключения добавить? Или все же желательно эту ерунду удалять все время?
Можно как-то на сервере настроить чтобы именно этот файл удалял без оповещений?

[Dmitry_rus]

Можно добавить в исключения. Но первое, что я обычно делаю, когда в мои руки попадает какой-нибудь ноут - сношу практически весь его "родной" фирменный софт. Пользы от него нет, штатные драйвера ОС работают обычно без нареканий, а вот всякими напоминаниями/рекламой - задолбает.

[Dolmatov]

Так в итоге, что с этим делать, можно в исключения добавить? Или все же желательно эту ерунду удалять все время?
Можно как-то на сервере настроить чтобы именно этот файл удалял без оповещений?

Зависит от ваших полномочий, возможностей, инструкций и личного мнения.

Если требуется удалять весь детектируемый софт, то удалить и/или настроить ограничения на запись. 

Если жёсткого требования нет и нет рекламных уведомлений, включая самовольное появление другого ПО, то добавить в исключения.

Если возможно, то отследить что именно записывает этот файл. Возможно, какой-то сервис или служба автоматического обновления. В корпоративной среде бывает полезно отключить лишние обновления, так как требуется тестирование ряда обновлений перед их внедрением в рабочую среду".