Перейти к содержимому


Фото
- - - - -

LibreHardwareMonitor - DPH:Trojan.SoftLoader

Автор bess85 , июн 13 2024 14:48
DPH:Trojan.SoftLoader

  • Please log in to reply
10 ответов в этой теме

#1 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Июнь 2024 - 14:48

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном? 

 

 

Spoiler

Сообщение было изменено VVS: 13 Июнь 2024 - 14:52

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 134 Сообщений:

Отправлено 13 Июнь 2024 - 14:48

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


#3 VVS

VVS

    The Master

  • Moderators
  • 19 460 Сообщений:

Отправлено 13 Июнь 2024 - 14:54

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#4 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 13 Июнь 2024 - 14:56

ок, сейчас им сброшу, спс

p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.


#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 382 Сообщений:

Отправлено 14 Июнь 2024 - 02:14

 

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru

 

 

С DPH детектами нет никакого смысла писать в вирлаб, с ними только в тех.поддержку.


ок, сейчас им сброшу, спс

p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.

 

"проблема" решается исключением, а вот каким я не помню. Обратитесь в тех.поддержку, там вам подскажут.


#6 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 10:14

продублировал в поддержку, спс за подсказку

 

про исключения я согласен, но нужно быть на 100% уверенным что там нет закладки (хотя смотря на то что проект достаточно активно развивается и у него есть активное комюнити, можно сказать что с виду все там должно быть ок, но dr.web что то там видит именно при запуске), а ставить на сервера не проверенный софт достаточно опасно.


#7 VVS

VVS

    The Master

  • Moderators
  • 19 460 Сообщений:

Отправлено 14 Июнь 2024 - 10:18

Добрый день, встретился со странным поведением Dr.web. Скачайл приложение https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/releases(во ложении). При запуске Dr.web ругается на DPH:Trojan.SoftLoader и отпрвляет в карантин. На virusTotal все чисто, при обыной проверке тоже. Как точно узнать вляется ли данное приложение трояном?

Отправить файл в вирлаб - https://vms.drweb.ru/sendvirus/?lng=ru

С DPH детектами нет никакого смысла писать в вирлаб, с ними только в тех.поддержку.

Если сработала эвристика, то, вполне возможно, что там реальная малварь.
Разве не так?
 

ок, сейчас им сброшу, спс
p.s. до того как написать сюда, посмотрел в интернете, там тоже люди встретились с данной проблемой, но так не нашли как решить ее.

 
"проблема" решается исключением, а вот каким я не помню. Обратитесь в тех.поддержку, там вам подскажут.

Исключениями файлов.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#8 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 10:56

Поддержка ответила так:

 

Данное приложение не является трояном. Срабатывание относится к поведенческому анализатору (приставка DPH:).
Причина срабатывания в том, что файл LibreHardwareMonitor.exe не имеет никакой цифровой подписи. То есть это неизвестный и неопознанный исполняемый файл, который пытается использовать драйвер WinRing0.sys. Драйвер WinRing0.sys может быть использован в том числе во вредоносных целях и так как его пытается запустить некий неопознанный .exe файл, то антивирус реагирует на такое поведение, как на потенциально вредоносное.

Для срабатывания DPH:Process.SoftLoader исключения задаются через исключаемые процессы для Spider Guard.

 

Если вы доверяете издателю данного приложения и источнику, из которого он был получен, то можете добавить исполняемый файл LibreHardwareMonitor.exe в исключения компонента Spider Guard.
Локально в настройках антивируса: Центр безопасности - Исключения - Приложения - через "+" указать полный путь к файлу LibreHardwareMonitor.exe и исключить его активность для компонента Spider Guard.
Затем файл можно будет восстановить из Карантина, перезапустить систему и попробовать повторить попытку запуска. Срабатывания быть не должно.

 

---------------------------------

получается что только из-за того что нет подписи, она и срабатывает (защита)


Сообщение было изменено bess85: 14 Июнь 2024 - 10:56

#9 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 382 Сообщений:

Отправлено 14 Июнь 2024 - 13:45

>получается что только из-за того что нет подписи, она и срабатывает (защита)

 

Нет. Срабатывает, потому что драйвер с уязвимостью и может навредить системе, а его загружает какое-то неопознанное ПО, которое к драйверу изначально не имеет никакого отношения.


#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 382 Сообщений:

Отправлено 14 Июнь 2024 - 13:47

Если сработала эвристика, то, вполне возможно, что там реальная малварь.
Разве не так?

 

Может и так, только разбираться с логами, почему сработала эвристика будет тех. поддержка, а не вирлаб, потому что возможны три варианта:

 

1. Выдача целеуказаний по созданию исключений, если кейс известный

2. Создание бага/консультации на разработку

3. Создания тикета в вирлаб на детект недетектируемой малвари.


#11 bess85

bess85

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Июнь 2024 - 21:49

1. Кейс известный, если искать в интернете он тянется еще с open hardware monitor, а Libre Hardware Monitor его форк

2. Ну тут наврятли поможет, но я попробую тут им задать вопрос на github, может как то можно решить вопрос с подписью программы (хотя мне кажется что если бы они могли они бы уже сделали как какой-нибудь HWMONITOR, но с него нельзя снимать показания как с Libre Hardware Monitor в тот же zabbix, для чего я и собираюсь его использовать)

3. я им еще в первый раз отправил как ложное срабатывание, после этого не привета не ответа, в отличие от тех поддержки, они очень быстро ответили


Назад к Помощь по лечению

Also tagged with one or more of these keywords: DPH:Trojan.SoftLoader

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·