Удаление вредоносных записей WMI:subscription
-
<p><strong>Шаги воспроизведения:</strong></p>
<p><span>В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:</span></p>
<pre><span>C:\Windows\system32\wbem\repository\INDEX.BTR</span></pre>
<p>при этом этот файл не может антивирус удалить пока запущена служба WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&hl=</p>
<p><strong>Актуальный результат:</strong></p>
<p><span>Антивирус пытается удалить файл, однако у него это не получается.</span></p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span>Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.</span></p> -
<p><strong>Шаги воспроизведения:</strong></p>
<p><span>В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:</span></p>
<pre><span>C:\Windows\system32\wbem\repository\INDEX.BTR</span></pre>
<p>при этом этот файл не может антивирус удалить пока запущена служба WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&hl=</p>
<p><strong>Актуальный результат:</strong></p>
<p><span>Антивирус пытается удалить файл, однако у него это не получается.</span></p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span>Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.</span></p><p>FYI: Спустя неделю мне пришел ответ от ЛК о ложном срабатывание <span style="font-size: 1.37rem; color: #202124; background-color: #ffffff; font-size: 1.37rem; font-weight: 400; text-decoration: none; text-align: left;">[KL-293393]</span>. После этого утилита KVRT не видет угрозы. Однако угрозу удалось найти и удалить только FRST:</p>
<pre class="language-clike"><code>WMI:subscription__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION</code></pre>
<p>P.S. Незнаю как в данном случае лучше поступить, стоит ли Вам рассматривать это пожелание или его отменить.</p>
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
Register Login© 2026 АО «Лаборатория Касперского»