Ghelper PDM:Worm.Win32.BSS.ScreenLock

[ALhiMik]

Malware detected and eliminated. Recovery and rescan found nothing. Virustotal only reacts to SecureAge as malware.
Link to the executable file on github https://github.com/seerge/g-helper/releases/latest/download/GHelper.zip
Is this a false positive?

Событие: Обнаружен вредоносный объект
Приложение: GHelper
Пользователь: -\-
Тип пользователя: Инициатор
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Вирус
Название: PDM:Worm.Win32.BSS.ScreenLock
Степень угрозы: Высокая
Тип объекта: Процесс
Путь к объекту: C:\Ghelper
Имя объекта: GHelper.exe
Причина: Поведенческий анализ
Дата выпуска баз: Сегодня, 12.01.2025 1:04:00
MD5: ED7AC44E613CEF2AD9AF71103CF03A6D

[andrew75]

В настоящее время детекта нет: 

https://opentip.kaspersky.com/3FFA28BE6EDEB03ED8E4BDE6542A04DD8EBAE1D15AAFD296F4093D96CFC9712E/results?tab=upload

[AlexeyK]

6 часов назад, ALhiMik сказал:

Is this a false positive?

Скорее всего, но ложные срабатывания Мониторинга активности исправляются через запрос в поддержку.

3 часа назад, andrew75 сказал:

В настоящее время детекта нет

При запуске анализа отображается локальное срабатывание в виде BSS (скрин), после его выполнения уже выдается окончательный вердикт системы "безопасный объект".

Спойлер

 

[andrew75]

17 минут назад, AlexeyK сказал:

При запуске анализа отображается локальное срабатывание в виде BSS (скрин), после его выполнения уже выдается окончательный вердикт системы "безопасный объект".

да, именно так.

[AlexeyK]

10 минут назад, andrew75 сказал:

да, именно так.

А значит срабатывание при запуске так и будет продолжаться, пока пользователь не настроит исключение или в ЛК не добавят в доверенные KSN.) Сейчас репутация неизвестна, т.е. в группе слабых ограничений.

[andrew75]

11 минут назад, AlexeyK сказал:

А значит срабатывание при запуске так и будет продолжаться

у меня нет срабатываний Касперского при запуске, очевидно потому что детект уже сняли.  А приложение да, в слабых ограничениях. Вот SmartScreen реагирует.

[AlexeyK]

1 минуту назад, andrew75 сказал:

очевидно потому что детект уже сняли. 

Его не могли снять, т.к. файл не в доверенных KSN. Просто срабатывание может возникать при определенных условиях - к примеру, при выполнении каких-то действий в программе.

Это утилита для управления ноутами Asus, так что выполняемых действий там может быть очень много.

[AlexeyK]

32 минуты назад, andrew75 сказал:

нет срабатываний Касперского при запуске

И кстати, программу еще надо установить, т.к. путь для детекта  C:\Ghelper\GHelper.exe. Потом запустить уже установленную программу и возможно выполнить в ней какую-то настройку. Это же МА, а его стезя - контроль активности.)

[ALhiMik]

Программа умеет управлять ограничения напряжения на процессоре. Возможно на это опасное поведение и сработал касперский. Спасибо за ответы.

Настройки в касперском стоят самые высокие.

Edited January 12 by ALhiMik

[AlexeyK]

4 минуты назад, ALhiMik сказал:

Возможно на это опасное поведение и сработал касперский.

Есть статья о том, что делать при срабатываниях PDM.