Вот такая история. Клиент жалуется, что внезапно стал закрываться Exell, реже Word. Без объявления войны - просто закрылся во время работы и все, не сохраняя данные. Стоял Office 2007, снес, поставил 2010 (все офиц.) - результат тот же. Однажды увидел, что выскочил балун DrWeb об исполнении неавторизованного кода.
Сейчас в событиях есть такое описание:
Preventive Protection event: Exploit
id: 57331, timestamp: 13:05:00.634, type: ShellGuard (50), flags: 1 (wait: 1)
sid: S-1-5-21-1234166691-242904943-3627781647-1001, cid: 3756/5344:\Device\HarddiskVolume2\Program Files\Microsoft Office\Office14\EXCEL.EXE
context: start addr: 0x717e5224, image: 0x717e0000:\Device\HarddiskVolume2\Windows\System32\fundisc.dll
hips: type: 23, action: deny [5]
bitness: 32, address: 0x7b4fa38
Provided message: "DEP-triggered exception"
Shellguard version: 11.5.1.09120
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x00000000
ECX = 0x00000000
EDX = 0x00000758
EBX = 0x00000001
ESP = 0x07B4FA28
EBP = 0x768088E0
ESI = 0x00000002
EDI = 0x05BAD33C
ThreadId = 5344
Instruction address is 0x7B4FA38
Disassembly near 0x7B4FA38:
>>>0x07B4FA38: call 0xx
0x07B4FA3D: pop esp
0x07B4FA3E: insd
0x07B4FA3F: jbe 0xx
0x07B4FA41: add [eax], al
0x07B4FA43: add [eax+0xx], dh
0x07B4FA46: and eax, 0xx
fileinfo: size: 20415568, easize: 39, attr: 0x20, buildtime: 14.09.2018 05:07:34.000, ctime: 14.09.2018 02:10:40.000, atime: 31.10.2018 03:03:03.654, mtime: 14.09.2018 02:10:40.000, descr: Microsoft Excel, ver: 14.0.7214.5000, company: Microsoft Corporation, oname: Excel.exe
signer: C=US|ST=Washington|L=Redmond|O=Microsoft Corporation|CN=Microsoft Corporation, timestamp: 14.09.2018 05:09:59.000, thumbprint: 9dc17888b5cfad98b3cb35c1994e96227f061675
hash: a2200990cab1739add4adc5f4b2fc4d329a6f520 status: signed_microsoft, pe32, spc / signed_microsoft / clean / unknown
send user blocked alert
id: 57331 ==> denied [5], time: 0.324349 ms
Что-то можно из этого понять? или отчет готовить?
