Удаление вредоносных записей WMI:subscription
-
<p><strong>Шаги воспроизведения:</strong></p>
<p><span>В последниее время участились случае размещения вредоносных записей в WMI, антивирус определяет эту угрозу как HEUR:Trojan.Script.Generic и пытается после каждой загрузки удалить следующий файл:</span></p>
<pre><span>C:\Windows\system32\wbem\repository\INDEX.BTR</span></pre>
<p>при этом этот файл не может антивирус удалить пока запущена служба WMI, да и удаление не самый лучший выход, так как после удаления необходимо будет восстановить легальные записи WMI.Вот пример: https://forum.kasperskyclub.ru/index.php?showtopic=60994&hl=</p>
<p><strong>Актуальный результат:</strong></p>
<p><span>Антивирус пытается удалить файл, однако у него это не получается.</span></p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span>Антивирусу необходимо анализировать все записи WMI в том числе WMI:subscription и удалять эти записи.</span></p> -
<p>FYI: Спустя неделю мне пришел ответ от ЛК о ложном срабатывание <span style="font-size: 1.37rem; color: #202124; background-color: #ffffff; font-size: 1.37rem; font-weight: 400; text-decoration: none; text-align: left;">[KL-293393]</span>. После этого утилита KVRT не видет угрозы. Однако угрозу удалось найти и удалить только FRST:</p>
<pre class="language-clike"><code>WMI:subscription__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION</code></pre>
<p>P.S. Незнаю как в данном случае лучше поступить, стоит ли Вам рассматривать это пожелание или его отменить.</p>