safety Опубликовано 21 мая Опубликовано 21 мая Возможно, это потоки от легальной службы Bitlocker, и антивирус реагирует на эти потоки, будем выяснять. Судя по инфо, файл чистый, с цифровой подписью от Микрософт.
safety Опубликовано 21 мая Опубликовано 21 мая (изменено) Либо это реакция антивируса на потоки в smartscreen.exe C:\Windows\System32\smartscreen.exe "smartscreen.exe" - это часть Windows Defender SmartScreen, функции безопасности Microsoft для Windows проверьте, что это за сетевое подключение на 443 порту. Изменено 21 мая пользователем safety
safety Опубликовано 21 мая Опубликовано 21 мая Уточните, пожалуйста, с какого момента времени Касперский стал детектировать эту угрозу?
croc_gon Опубликовано 21 мая Автор Опубликовано 21 мая 1 час назад, safety сказал: Уточните, пожалуйста, с какого момента времени Касперский стал детектировать эту угрозу? вчера запустили проверку на вредоносное по и на некоторых пк обнаружилось данная угроза 1 час назад, safety сказал: Уточните, пожалуйста, с какого момента времени Касперский стал детектировать эту угрозу? так же посмотрел образ данное обращение идет с сервера microsoft
safety Опубликовано 21 мая Опубликовано 21 мая (изменено) Цитата так же посмотрел образ данное обращение идет с сервера microsoft Да, это SmartScreen.exe (как часть Windef) взаимодействует с сервером Microsoft. Так понимаю, что ранее при сканировании систем данный детект не наблюдался. Т.е. только с 20.05 появился детект. И в консоли Касперского это не единственный ПК среди других, на котором обнаруживается данный детект. Если можно, сделайте образ автозапуска с отслеживанием с однотипного ПК, где так же обнаружен данный детект. + есть предположение, что внедрение потоков может быть со стороны Acronis, и антивир реагирует на них. Если возможно, временно остановите работу Acronis, и после остановки проверьте будут ли продолжаться детекты в Касперском (с реакцией на потоки в svchost.exe) Изменено 22 мая пользователем safety
safety Опубликовано 23 мая Опубликовано 23 мая @croc_gon, Мы обновили утилиту до версии 5.0 RC2, Цитата --------------------------------------------------------- 5.0.RC2 --------------------------------------------------------- o При обнаружении внедренного потока в процессе в лог печатается точное время создания потока и ТОП 10 наиболее вероятных виновников. (!) Только для потоков не имеющих привязки к DLL. (!) Функция требует активного отслеживания процессов. (Твик #39) загрузите ее еще раз по ссылке из инструкции по созданию образа автозапуска. И создайте новый образ автозапуска. Отслеживание включать не надо. Оно уже включено. На текущем ПК. (если на другом ПК делать образ, то отслеживание надо будет включить). Возможно, получится выяснить, причину-первоисточник детекта MEM:Trojan.Win64.ModPlayer.gen
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти