Skip to content
kaspersky beta

beta

  • Register

  • Login

  • Categories
  • KForum
  • KClub
  1. Home
  2. ДЛЯ РУССКОЯЗЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ
  3. Для дома
  4. Пожелания
  5. Удаление вредоносных записей WMI:subscription

Удаление вредоносных записей WMI:subscription

Scheduled Pinned Locked Moved Пожелания
2 Posts 1 Posters 3.3k Views 1 Watching
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • SQS Offline
    SQS Offline
    SQ
    wrote on last edited by SQ
    #1

    <p><strong>Шаги воспроизведения:</strong></p>
    <p><span>В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:</span></p>
    <pre><span>C:\Windows\system32\wbem\repository\INDEX.BTR</span></pre>
    <p>при этом этот файл не может антивирус удалить пока запущена служба  WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&amp;hl=</p>
    <p><strong>Актуальный результат:</strong></p>
    <p><span>Антивирус пытается удалить файл, однако у него это не получается.</span></p>
    <p><strong>Ожидаемый результат:</strong></p>
    <p><span>Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.</span></p>

    SQS 1 Reply Last reply
    0
    • SQS SQ

      <p><strong>Шаги воспроизведения:</strong></p>
      <p><span>В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:</span></p>
      <pre><span>C:\Windows\system32\wbem\repository\INDEX.BTR</span></pre>
      <p>при этом этот файл не может антивирус удалить пока запущена служба  WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&amp;hl=</p>
      <p><strong>Актуальный результат:</strong></p>
      <p><span>Антивирус пытается удалить файл, однако у него это не получается.</span></p>
      <p><strong>Ожидаемый результат:</strong></p>
      <p><span>Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.</span></p>

      SQS Offline
      SQS Offline
      SQ
      wrote on last edited by SQ
      #2

      <p>FYI: Спустя неделю мне пришел ответ от ЛК о ложном срабатывание <span style="font-size: 1.37rem; color: #202124; background-color: #ffffff; font-size: 1.37rem; font-weight: 400; text-decoration: none; text-align: left;">[KL-293393]</span>. После этого утилита KVRT не видет угрозы. Однако угрозу удалось найти и удалить только FRST:</p>
      <pre class="language-clike"><code>WMI:subscription__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
      WMI:subscription__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION</code></pre>
      <p>P.S. Незнаю как в данном случае лучше поступить, стоит ли Вам рассматривать это пожелание или его отменить.</p>

      1 Reply Last reply
      0
      Reply
      • Reply as topic
      Log in to reply
      • Oldest to Newest
      • Newest to Oldest
      • Most Votes


      • First post
        Last post
      0
      • Categories
      • KForum
      • KClub