+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: getoverx Shield (https://forum.getoverx.com/forumdisplay.php?fid=1)
+--- Forum: EDR (https://forum.getoverx.com/forumdisplay.php?fid=6)
+--- Thread: EDR Decta archivo raros y los limpia (/showthread.php?tid=24)
EDR Decta archivo raros y los limpia - thomasb4083 - 11-29-2025
Que significa que el Esto que limpie los archivos:
¿Es esto un falso positivo?
[2025-10-31 06:38:37] [EDR] INFO - [EDR-Detect] watching: C:\WINDOWS\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe CLEANED
[2025-10-31 06:38:37] [EDR] INFO - [EDR-Detect] watching: C:\WINDOWS\System32\DriverStore\FileRepository\wavesapo75de.inf_amd64_5ff36f834a6d461a\WavesSysSvc64.exe CLEANED
[2025-10-31 06:38:37] [EDR] INFO - [EDR-Detect] watching: C:\WINDOWS\System32\DriverStore\FileRepository\iaahcic.inf_amd64_99f6bd58bfe82726\RstMwService.exe CLEANED
[2025-10-31 20:38:13] [EDR] INFO - [EDR-Detect] Scan completed. Total suspicious processes stopped: 3
RE: EDR Decta archivo raros y los limpia - mrwebfeeder - 11-29-2025
¿Qué significan esas detecciones del EDR?
Tu módulo GetOverXShield EDR está monitoreando procesos del sistema y servicios en ejecución.
Los registros muestran que el EDR marcó y detuvo tres procesos que encontró sospechosos, pero no necesariamente maliciosos.
Los procesos que aparecen son:
- jhi_service.exe
→ Servicio relacionado con Intel Management Engine / Intel Security Assist.
- WavesSysSvc64.exe
→ Servicio de audio de Waves (controladores para audio OEM).
- RstMwService.exe
→ Servicio Intel Rapid Storage Technology (IAAHCIC / RST controladores SATA/NVMe).
En tu archivo de logs, la palabra CLEANED significa:
Quote:“Proceso detenido automáticamente por el motor EDR por coincidencia con reglas de comportamiento o heurísticas”.
Aunque estos son procesos legítimos de Windows. la comparación entre el registro del sistema de windows y el tamaño actual a variado. por lo que el EDR detiene el proceso de ejecución. En el siguiente escaneo si aparece que el archivo es legitimo lo liberara pero si no lo es generara reglas en el firewall para evitar que se comunique a través del internet y descargue mas malware
Copio información de la pagina del fabricante
Quote:Te dejo un bloque traducido de la pagina de uno de los fabricantes:
Si WavesSysSvc64.exe está en una subcarpeta de C:\Windows\System32, la calificación de seguridad es del 4% de peligro. El tamaño del archivo es de 1.127.320 bytes (el 25% de todas las ocurrencias), 891.152 bytes y 19 variantes más. WavesSysSvc64.exe está firmado digitalmente. WavesSysSvc64.exe es un archivo firmado por Microsoft. El programa no es visible. No es un archivo central de Windows. WavesSysSvc64.exe es un archivo firmado por Verisign. WavesSysSvc64.exe puede manipular otros programas y monitorizar aplicaciones. Importante: Algunos malware se camuflan como WavesSysSvc64.exe, especialmente cuando se encuentran en la carpeta C:\Windows o C:\Windows\System32. Por lo tanto, deberías revisar el proceso de WavesSysSvc64.exe en tu PC para ver si es una amenaza. Recomendamos el Administrador de Tareas de Seguridad para verificar la seguridad de tu ordenador. Esta fue una de las mejores opciones para descargar visite The Washington Post y PC World.
Mi recomendación es que permitas que el EDR trabaje los servicios para protegerte de una ataque que afecte tu sistema y comprometa tu informacion.
te sugiero que pases por la sección Biblioteca de virus conocidos que afectan estos 3 archivos