Jump to content
Kaspersky Support Forum

Троян HEUR:Trojan.Win32.Yephiler.gen

Сергей_

By Сергей_
in Kaspersky Free

 Share

Recommended Posts

Сергей_

Сергей_

Posted
Posted (edited)

Антивирус удаляет его постоянно и он снова появляется что делать? Отчет на скриншоте

 

2024-04-14_12-51-29.png

Edited by Сергей_
Ошибка
Maratka

Maratka

Posted
Posted

Запустите быструю проверку.

Сергей_

Сергей_

Posted
  • Author
Posted (edited)

Запускал проверку диска С, угроз не обнаружено!

2024-04-14_13-48-47.png

Edited by Сергей_
Maratka

Maratka

Posted
Posted
1 час назад, Сергей_ сказал:

Запускал проверку диска С, угроз не обнаружено!

Я же написал "быструю проверку".

AlexeyK

AlexeyK

Posted
Posted

@Сергей_ Это ложное срабатывание на файл Wire VPN, сейчас оно исправлено, продукт больше не детектирует в нем угрозу.

https://opentip.kaspersky.com/FD335C2F7F0D0A86DB9690850305DC853EBF44686F82DE83736CACC0B33FBBA2/results?tab=upload

https://www.virustotal.com/gui/file/fd335c2f7f0d0a86db9690850305dc853ebf44686f82de83736cacc0b33fbba2?nocache=1

 

Спойлер

Screenshot_1.thumb.png.22e81a9333957a1bc45f7cd307d67501.pngScreenshot_2.thumb.png.8a5b9686838aedc82a53480cb92541b8.pngScreenshot_3.thumb.png.23f44b5da430747682299c2f5993b60a.png

 

  • Thanks 1
Maratka

Maratka

Posted
Posted
7 минут назад, AlexeyK сказал:

Это ложное срабатывание на файл Wire VPN, сейчас оно исправлено, продукт больше не детектирует в нем угрозу.

   Если оно ложное, то кто этот файл восстанавливает?

andrew75

andrew75

Posted
Posted
7 минут назад, Maratka сказал:

Если оно ложное, то кто этот файл восстанавливает?

хороший вопрос. Видимо родной сервис. На него-то детекта не было, я так понимаю.

Maratka

Maratka

Posted
Posted

Я бы не сказал, что это обычная, повседневная реализация целостности файлов ПО.
Если детект сняли - значит:
1) Нужно восстановить удаленный файл из карантина
2) Проверить, что он доверенные по KSN (т.е. любый ложняк сначала тушится там, чтобы уменьшить количество пострадавших, и только потом, когда-нибудь, через несколько часов - придут базы).

AlexeyK

AlexeyK

Posted
Posted

Долетел ответ от вирлаба об исправлении фолса.

Спойлер

Screenshot_4.thumb.png.821c2a4f4d733e1149839fd9c823dc33.png

 

19 минут назад, Maratka сказал:

Если оно ложное, то кто этот файл восстанавливает?

Предлагаете установить это приложение, протестировать, как оно проверяет свою целостность и сообщить о результате? Файл отправил в вирлаб, детект отключили через 10 минут.

Maratka

Maratka

Posted
Posted
10 минут назад, AlexeyK сказал:

Долетел ответ от вирлаба об исправлении фолса.

Этот ли? Или может одноименный от старой или наоборот - обновленной версии? Какая версия у пострадавшего?

11 минут назад, AlexeyK сказал:

Предлагаете установить это приложение,

Не предлагаю, коль уж они не хотят работать с Россией. Побьет их файлы антивирус - то конечно проблема антивиурса, но еще и проблема их клиентов.

AlexeyK

AlexeyK

Posted
Posted
7 минут назад, Maratka сказал:

Этот ли? Или может одноименный от старой или наоборот - обновленной версии? Какая версия у пострадавшего?

Программа обновлялась давно, самому свежему установщику уже год, так что скорее всего файл тот же. Надеюсь, пользователь сообщит о результате. Если детект останется - никаких проблем нет сделать новый запрос на анализ файла.

Спойлер

Screenshot_5.png.feb03feedcad86121ebecae7e5e43395.png

 

Сергей_

Сергей_

Posted
  • Author
Posted

Быструю проверку сделал всю показал на скриншоте, так же там версию файлов. Базы антивируса обновленные, windows 10 обновлен до самых последних обновлений. Троян появился 09.04.2024 после подключения телефона компьютера iPhone iOS 17.4.1

До этого на компьютер устанавливал wirevpn но потом удалил, дату установки не помню но было не давно, скачивал с официального сайта.

Какие сейчас действия делать?

2024-04-14_16-50-48.png

andrew75

andrew75

Posted
Posted
13 минут назад, Сергей_ сказал:

До этого на компьютер устанавливал wirevpn но потом удалил

судя по всему он не удалился или не до конца удалился.

Что в папке c:\windows\SysWOW64\wire ?

upWire.exe это думаю апдейтер, который периодически проверяет обновления.

 

Maratka

Maratka

Posted
Posted
14 минут назад, Сергей_ сказал:

Какие сейчас действия делать?

Покажите свойства (в т.ч. подпись) файла из вашего первого сообщения, то ли у меня какой-то косяк, то ли ??? движок форума уменьшает скриншоты, но вроде бы (не точно) там wire.dll, а не exe.

andrew75

andrew75

Posted
Posted

@Maratka, детект на wire.dll, но запускает-то его exe-шник.

@Сергей_, вобщем я бы сходил на форум клуба, куда я вас посылал.

Ложное оно срабатывание или нет, а лучше проверить и удалить. Раз программа все равно не нужна.

Сергей_

Сергей_

Posted
  • Author
Posted

Вроде программа корректно удалилась. Могу зано установить и удалить.

2024-04-14_17-17-04.png

2024-04-14_17-16-37.png

2024-04-14_17-16-14.png

Сергей_

Сергей_

Posted
  • Author
Posted

Я не могу удалить эти файлы, система пишет что файл кем-то занят!

2024-04-14_17-19-11.png

Пошел скачивать файл и наткнулся на это

Сайт https:// wirevpn.cc/ru

2024-04-14_17-23-28.png

andrew75

andrew75

Posted
Posted
11 минут назад, Сергей_ сказал:

Вроде программа корректно удалилась.

А где вы свойства файлов смотрите, если она удалилась?

11 минут назад, Сергей_ сказал:

Я не могу удалить эти файлы, система пишет что файл кем-то занят!

Какой-то сервис остался, судя по всему.

Это уже гугловский детект.

Maratka

Maratka

Posted
Posted
45 минут назад, Сергей_ сказал:

Пошел скачивать файл и наткнулся на это

Сайт https:// wirevpn.cc/ru

Кстати, про этот славный перевод на русский я и писал чуть выше, мол "не хотят работать в РФ".
Кнопка "скачать" которая... А если выбрать английский (украинский, или что там кто еще понимает) - то иначе будет, вида "получить/скачать сейчас".

В этой связи, рискну предположить, что всякое может быть, в т.ч. и что они для РФ специальную гадость кладут.

32 минуты назад, andrew75 сказал:

Какой-то сервис остался, судя по всему.

Думаю вариант - откатить точку восстановления до установки VPN.

Сергей_

Сергей_

Posted
  • Author
Posted
16 минут назад, andrew75 сказал:

А где вы свойства файлов смотрите, если она удалилась?

29 минут назад, Сергей_ сказал:

Я только когда общаться на форме стал, вспомнил что скачивал данный vpn, а так я думал что это файлы windows.

Зашел в службы и увидел что эти процессы выполняться, их просто остановить и удалить?

2024-04-14_17-48-39.png

andrew75

andrew75

Posted
Posted

Как и следовало ожидать, upWire это именно апдейтер.

13 минут назад, Сергей_ сказал:

их просто остановить и удалить?

попробуйте остановить и удалить. Если получится, конечно. Если не получится, попробуйте в безопасном режиме.

Или, как вам выше посоветовали, откатитесь на точку восстановления. Так оно надежнее будет.

Сергей_

Сергей_

Posted
  • Author
Posted

Спасибо! Все получилось!

Maratka

Maratka

Posted
Posted

Я тоже рад.
На будущее - постарайтесь избегать установки ПО, производители которого явно декларируют, что они с Россией не дружат. А это как раз ваш случай: не думаю, что там что-то вот совсем специально они заделали, но и с другой стороны - Вы бы знать не знали, что тот VPN, который Вы удалили на самом деле далеко не удалился.
А в техподдержку туда, из России - думаю надежнее "на деревню дедушке" писать.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...