BD 2017 Internet Security ATC报SetupHost.Exe为潜在恶意进程，是否为误报呢？

BrianG045

前段时间重装了系统，为windows 10 preview , 选择的是fast ring. 因为安装包是老版，所以装好后没多久就收到了最新的16199的推送。结果在更新的时候，发现失败。查看了一圈以后，发现BD ATC 拦截了SetupHost.Exe 进程。之后进入日志，看见日志提示是“Potentially maliciiious application detected at system boot - Module: Antivirus”- Active Threat Control blcoked this process based on the following actions-The application's behavior can harm your computer。为了更新成功，我选择了allow and monitor, 之后更新成功。 SetupHost.exe 位于C：\$WINDOWS.~BT\Sources\文件夹内。更新完成后，就自动删除了。
现在想问问坛子里面的大神，
1. 是否是BD2017 ATC误报？之前用卡巴斯基的时候没有遇见过这个问题，而且现在的BDIS安静得让我都不知道到底有在保护电脑没有。


2. 当选择了allow and monitor以后，似乎BD就把这个进程加入了exclude列表，在这种情况下，BD是否还会监控该进程？因为英文显示是allow and monitor, 正常理解是允许并监控。作为很久不用BD的小白，对此真心的不知道BD的处理机制。

3. 目前升级到16199以后，系统老提示firewall 关闭，让选择防火墙。选择BD的防火墙为开启时，第二次开机还会提示防火墙关闭。现在选择开启系统防火墙后不再提示。想问问在这样的情况喜爱BD的防火墙是否还能起作用？开BDIS软件，看BD的防火墙是开启状态的。

4. BDIS 2017似乎没有了插入U盘自动扫描的功能？（表示很久没用了，不知道是不是官方已经取消了）。对了，似乎也没有闲时自动扫描系统等功能。卡巴斯基的话这两个都有，不知道是不是2017版BDIS做了优化？

5. 使用BDIS 2017进行快速扫描和指定位置扫描，似乎ROOTKIT扫描都会忽略，只有开启系统扫描（其实就是全盘扫描）才会进行。这个似乎和卡巴的机制也不一样（请原谅一直用卡巴作对比。这两款是我一直最信任的杀毒，2017版卡巴似乎为强迫症患者做了很多的优化，而BDIS似乎就......小白一枚，求大侠解惑）

6. 对了，是否BDIS在系统开启时就会自动启动？因为看了多次，BDIS的服务加载都是在所有开机服务加载后，有点疑惑。

ccboxes

1.没有样本，无话可说。
2.请查看BDATC排除设置项，没有加入就还会监控。
3.不知道，预览版上出现的任何问题都是可能的，BD不对预览版上出现的任何问题负责。预览版不建议使用任何第三方安软。
4.有，而且非常显眼。扫描也可以自己设定计划。
5.没有意义，现在各大都有实时的rootkit防护，单独的定时Rootkit扫描不必要。强迫症不要用BD。
6.主要保护组件都是提前加载的，延迟加载的只有UI。

pal家族

你说的我都不觉得是个问题。

猪头无双

非大神，只想问问你系统从哪儿搞来的如果非官方系统，被报行为很正常，如果是官方系统，可能是ATC误报了。

猫大人

ATC的逆天防护能力也不是白给的，我就是因为跟ATC相性不好放弃了BD，ATC太霸道，白名单又做的不好，没办法

BrianG045

ccboxes 发表于 2017-6-7 11:27
1.没有样本，无话可说。
2.请查看BDATC排除设置项，没有加入就还会监控。
3.不知道，预览版上出现的任何 ...

谢谢回复。
1. 表示样本的话在成功升级后系统自动删除了，自己没保存。

2. 进程在antivirus的模块的exclusion - list of process excluded from scanning列表中了。

3. 确实没看见插入U盘自动扫描，很显眼表示完全没看见。自定义扫描倒是明白在哪里。开启软件界面就只能看见autopilot, update，quick scan, vunlerability scan以及BDIS 2017一些防护信息。并没有看见所谓的U盘插入后自动扫描功能。

4. 关于加载，确实看当时托盘显示的是serving is loading

BrianG045

猪头无双 发表于 2017-6-7 11:35
非大神，只想问问你系统从哪儿搞来的如果非官方系统，被报行为很正常，如果是官方系统，可能是ATC误 ...

系统为微软官方下载呢，insider会员计划就可以下载了.......如果是非官方的，我觉得我也不用问了，直接忽略了

BrianG045

猫大人 发表于 2017-6-7 11:38
ATC的逆天防护能力也不是白给的，我就是因为跟ATC相性不好放弃了BD，ATC太霸道，白名单又做的不好，没办法[ ...

这个BD的话查杀防护确实不是一般，以前用的时候就知道了。只是感觉现在虽然没有以前那么霸道，但是总感觉奇奇怪怪的。卡巴的话放弃是因为卡下载，BDIS的话就不会，我也是醉了

猫大人

BrianG045 发表于 2017-6-7 11:42
这个BD的话查杀防护确实不是一般，以前用的时候就知道了。只是感觉现在虽然没有以前那么霸道，但是总感觉 ...

我的常用软件有驱动注入进程的，全被ATC挡了，也没提示，也没法排除，只能关ATC，那我关了ATC我还用个屁的BD，只好换了

ccboxes

BrianG045 发表于 2017-6-7 11:39
谢谢回复。
1. 表示样本的话在成功升级后系统自动删除了，自己没保存。

1.那就无话可说。
2.排除了，不会继续监控
3.http://bbs.kafan.cn/thread-2058137-1-1.html自己找
4.果然又是看托盘的，UI也是serving。必须的服务与驱动都是提前加载的，不需要关注。