11 ответов в этой теме

[Merc]

Доброе утро. Подскажите, стоит ли беспокоиться? Пришел отчет превентивной защиты со станции:

Процесс с подозрительной активностью: C:\Windows\System32\regsvr32.exe (PID: 4460), запущенный от имени: name.
Путь к защищаемому объекту, к которому была осуществлена попытка доступа: \REGISTRY\USER\...\Software\Classes\lnkfile\ShellEx\ContextMenuHandlers\ kwpsshellext
Тип защищаемого объекта: Ассоциации исполняемых файлов.
Действие, произведенное над подозрительным процессом: запрещен.
Инициатор действия над подозрительным процессом: автоматическая реакция Превентивной защиты (количество запретов: 1).

 

 

Поверхностный поиск дал такой результат: https://vms.drweb.ru/virus/?i=25193198

[Alexander007]

Это нормальное поведение . Превентивная защита , защищает от вредоносных библиотек DLL .

Сообщение было изменено Alexander007: 23 Август 2022 - 09:14

[Merc]

Это нормальное поведение . Превентивная защита , защищает от вредоносных библиотек DLL .

Это хорошо) Делать мне с этим что то нужно? Процесс то запрещен, но может он так каждый день будет запрещаться)

[VVS]

Кто-то пытается изменить ассоциации.
Если сам пользователь ничего не делал, то подозрительно.
Подробности нужно смотреть в логе.

[Merc]

Кто-то пытается изменить ассоциации.
Если сам пользователь ничего не делал, то подозрительно.
Подробности нужно смотреть в логе.

Уточните какой файл с логами

[VVS]

 

Кто-то пытается изменить ассоциации.
Если сам пользователь ничего не делал, то подозрительно.
Подробности нужно смотреть в логе.

Уточните какой файл с логами

 

dwservice.log

[Konstantin Yudin]

гугль пишет, что это от Kingsoft WPS Office, если сами не ставили, то кто то его устанавливает за вас, адварь или бандлом к какому то софту.

[Merc]

гугль пишет, что это от Kingsoft WPS Office, если сами не ставили, то кто то его устанавливает за вас, адварь или бандлом к какому то софту.

Да, ставили

[Merc]

гугль пишет, что это от Kingsoft WPS Office, если сами не ставили, то кто то его устанавливает за вас, адварь или бандлом к какому то софту.

Это нормальное действие установщика и реакции drweb на него? Или может установщик с сюрпризом?

[pr4da]

 

гугль пишет, что это от Kingsoft WPS Office, если сами не ставили, то кто то его устанавливает за вас, адварь или бандлом к какому то софту.

Это нормальное действие установщика и реакции drweb на него? Или может установщик с сюрпризом?

 

Само по себе изменение ассоциации файлов установщиком -- действие нормальное, хотя принято спрашивать у пользователя, хочет ли он этого. К тому же, kwpsshellext входит в библиотеку Kingsoft WPS, поэтому должно быть всё нормально, если качали с официального сайта разработчика.
 

[VVS]

 

 

гугль пишет, что это от Kingsoft WPS Office, если сами не ставили, то кто то его устанавливает за вас, адварь или бандлом к какому то софту.

Это нормальное действие установщика и реакции drweb на него? Или может установщик с сюрпризом?

Само по себе изменение ассоциации файлов установщиком -- действие нормальное, хотя принято спрашивать у пользователя, хочет ли он этого.

В настройках превентивки 3 варианта - запрещать/спрашивать/разрешать.

Повидимому установлен 1-ый вариант, что IMHO правильно.
 

Сообщение было изменено VVS: 27 Август 2022 - 19:47

[Merc]

Спасибо за разъяснения