msedge.exe пытается запустить cmd.exe что это значит?

Сегодня я обнаружил попытки запуска cmd.exe из msedge.exe. Такой сигнал, ни в коем случае нельзя игнорировать. Это может быть как признаком глубокого заражения системы, так и (реже) следствием легитимного, но нестандартного поведения. Ведь в моем антивирусе настроен HIPS для чуть более надежной защиты. Подписываемся, чтоб узнать как настроить свой антивирус на максимальную защиту.

Давайте разберемся, что происходит и как вам проверить систему.

Две стороны одной медали: Легитимность против Вредоноса

Ситуация может развиваться по двум основным сценариям. Наша с вами задача — определить, с каким из них мы столкнулись.

Сценарий А: Легитимная или "серая" активность (менее вероятно, но возможно)

В некоторых случаях Edge может запускать командную строку для выполнения собственных задач. Это редкое явление, но оно существует.

• Внутренние процессы и обновления: Edge, как сложная система, может использовать сценарии командной строки для самообновления, установки компонентов или диагностики. Это нечастое, но возможное поведение .
• Корректная команда: Пользователь или какая-то программа может отдать команду на открытие ссылки или файла через командную строку, что технически выглядит как msedge.exe, запускающий cmd.exe .
• Сторонние интеграции: Некоторые программы для своих нужд могут взаимодействовать с браузером через командную строку. Однако массовых и легитимных случаев, чтобы это происходило постоянно и на пустом месте, не зафиксировано.

Сценарий Б: Вредоносная активность (наиболее вероятно)

К сожалению, гораздо чаще такое поведение свидетельствует о работе вредоносного ПО. Злоумышленники часто используют cmd.exe для выполнения "грязной работы", которую нельзя сделать прямо из браузера.

• Маскировка под легитимный процесс: Самый опасный сценарий — вредоносная программа, которая маскируется под процесс Edge, чтобы обойти наш файрвол (брандмауэр). Вы могли заметить запрос от файрвола на доступ для msedge.exe.exe (с двойным расширением) или файла, расположенного в подозрительной папке, а не в C:\Program Files (x86)\Microsoft\Edge\Application\ .
• Выполнение вредоносных команд: В базе данных Dr.Web есть описание трояна Trojan.Inject4.38679, который не просто так, а с определённой целью запускает cmd.exe. Этот троян, маскируясь, выполняет следующие команды:
  Отключает службы Центра обновления Windows (UsoSvc, wuauserv) .
  Создает и запускает вредоносные задачи в планировщике Windows (через schtasks.exe) для закрепления в системе .
  Удаляет себя после выполнения всех действий .
• Запуск "командора": Если Edge запускает cmd.exe, а тот, в свою очередь, пытается запустить PowerShell (powershell.exe) с длинными закодированными командами — это почти 100% признак заражения. Так действуют современные стилеры и трояны для скачивания второй стадии заражения.
• Автоматическое открытие вкладок: Если Edge самопроизвольно открывает рекламные или фишинговые страницы, а клавиатура работает нестабильно, это часто следствие рекламного ПО (adware) или браузерного угонщика (browser hijacker), которые используют cmd.exe для перезапуска браузера с нужными настройками .

Наш с вами план действий: пошаговая проверка

Моя конфигурация ESET ESSP, особенно правила HIPS, которые я настроил (запрет на запуск дочерних процессов для cmd.exe из непроверенных источников), — это один из моих главный козырей. Именно такое правило могло зафиксировать и заблокировать эту попытку. Теперь нужно найти, кто именно её инициировал.

Вот что нужно сделать немедленно:

Шаг 1. Проверьте, откуда именно запускается процесс.

1. Нажмите Ctrl + Shift + Esc, чтобы открыть "Диспетчер задач".
2. Перейдите на вкладку "Подробности".
3. Найдите все процессы msedge.exe и cmd.exe.
4. Кликните правой кнопкой мыши по подозрительному msedge.exe и выберите "Открыть расположение файла".
   Норма: Если откроется папка C:\Program Files (x86)\Microsoft\Edge\Application\, то это легитимный файл .
   Тревога: Если файл находится в любой другой папке (например, C:\Users\[ВашеИмя]\AppData\Roaming\..., C:\Temp или имеет имя msedge.exe.exe), это вредонос .

Вот антивирус мне сигнализирует, какое приложение хочет запустить cmd.exe

Шаг 2. Проверьте "Планировщик задач".

1. Нажмите Win + R, введите taskschd.msc и нажмите Enter.
2. Просмотрите список активных задач в "Библиотеке планировщика задач".
3. Ищите задачи с названиями, включающими "Edge", "Microsoft", или задачи, которые запускают cmd.exe из подозрительных папок. Вредонос, описанный Dr.Web, создает задачу с именем "Microsoft Edge", которая запускает вредоносный файл из %APPDATA%\Microsoft\Internet Explorer\... .

Шаг 3. Проведите углубленное сканирование.
Стандартного антивируса здесь может не хватить, так как многие угрозы умеют прятаться. Используйте специализированные утилиты:

• AdwCleaner: Скачайте и запустите программу AdwCleaner от Malwarebytes. Она отлично находит и удаляет рекламное ПО, угонщики браузера и тулбары, которые часто являются причиной такого поведения .
• Malwarebytes Anti-Malware: Проведите полное сканирование с его помощью. Эта программа является "золотым стандартом" для поиска сложных угроз, которые пропускают обычные антивирусы .

Шаг 4. Используйте Process Monitor для детального анализа.
Это для продвинутого уровня. Скачайте утилиту Process Monitor от Microsoft (Sysinternals) .

1. Запустите её и начните запись.
2. Воспроизведите проблему (например, дождитесь появления блокировки от HIPS).
3. Остановите запись и найдите события, связанные с msedge.exe. В логах вы увидите, какую именно команду и с какими параметрами пытался запустить Edge.

Важно

Не надо пугаться, что вы поймали вирус. У вас всегда есть под рукой интернет. Что касается меня, то я выложил эту статью раньше положенного срока. Дело в том, что такое уведомление от антивируса у меня произошло впервые и я не мог пройти мимо него. В 95% случаев msedge.exe пытается запустить cmd.exe при заражении.