#685 Удаление вредоносных записей WMI:subscription


  • Will be reviewed

    , last edited by SQ

    Шаги воспроизведения:

    В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:

    C:\Windows\system32\wbem\repository\INDEX.BTR

    при этом этот файл не может антивирус удалить пока запущена служба  WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&hl=

    Актуальный результат:

    Антивирус пытается удалить файл, однако у него это не получается.

    Ожидаемый результат:

    Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.

    System Settings

    Operating system: Win 10, x64

    System: Asus K54c (Intel i3-2310M 2.10GHz, 6GB RAM)

    Product: KTS

    Product Version: 19.0.0.+

    Language: en-US


  • , last edited by SQ

    FYI: Спустя неделю мне пришел ответ от ЛК о ложном срабатывание [KL-293393]. После этого утилита KVRT не видет угрозы. Однако угрозу удалось найти и удалить только FRST:

    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

    P.S. Незнаю как в данном случае лучше поступить, стоит ли Вам рассматривать это пожелание или его отменить.



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.