Shadow Defender 是否会被误认为是鬼影？

kyqm

Shadow Defender 是否会被误认为是鬼影？


重装系统出现个怪事

装完系统后装上个Shadow Defender（论坛上星空打包的），然后用金山的鬼影专杀扫描一遍，发现有四个文件染毒

我想可能是装杂七杂八软件时染上了毒吧，退出Shadow Defender重启之后又再次用鬼影专杀扫描一遍，好了，没毒了。

然后把Shadow Defender加上保护，再扫一遍，悲剧了，又发现四个病毒

我不知道，到底是真的Shadow Defender被病毒感染，还是Shadow Defender修改了MBR或者哪个敏感地方导致报毒？

请专家，高手，网友一起分析一下。


补充一下，我用的是Eset Smart Security ，扫描系统内存及C：，没发现病毒。
——————————————————————————————————————————————————————
日志文件：
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成
——————————————————————————————————————————————————————

换个思路，再找一台机子，装SD，也用专杀扫一遍，看看是否会重现问题，
哪位朋友也试试看？


我用家里另一台电脑尝试了一下，SD没有保护时没扫出鬼影，SD加上保护后，扫除了5个病毒
日志为
2,0110807,,免疫：,,C:\Documents and Settings\Administrator\Local Settings\Temp\tmp.tmp,,0,,000000000000000000,,0
2,0110807,,免疫：,,C:\WINDOWS\system32\xp-b1393be4.exe,,0,,000000000000000000,,0
2,0110807,,免疫：,,C:\WINDOWS\system32\b3b4da\393be4.exe,,0,,000000000000000000,,0
2,0110807,,免疫：,,C:\WINDOWS\system32\1ea28c\ed3dc2.exe,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\regsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0


但是两台机子软件差不多，所以担心这个例子没有代表性

哪位有空也帮忙测试一下。

FreeEquFraT

如果是论坛星空大侠打包的应该是没问题的，SD不会改MBR(除非处于影子保护时，MBR被修改过)，影子基本都不改MBR的，相反的，SD可以保护你的MBR，MBR修改了可以被SD还原的。
估计是SD的一些钩子被误认为是鬼影吧。

zby_1991

lz注意，这些个 专杀 都是有启发的

另外，可以看看专杀的日志，见“查看日志”，看是什么东西被杀掉了

kyqm

日志文件：
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0

kyqm

看不懂日志

种过一豆

diskpt.sys  ---- 恶意驱动

这个是sd的驱动,不知道是不是误报了

kyqm

pchsvc.dll
进程文件        pchsvc.dll       

进程名称 Microsoft PCHealth Service Holder
英文描述        pchsvc.dll is a process associated with Microsoft PCHealth Service Holder from Microsoft Corporation.转自911CHA.com
进程分析 N/A转自www.911CHA.com
进程位置       
程序用途
作者        Microsoft Corporation
属于 Microsoft Windows Operating System
安全等级        0 (N/A无危险 5最危险)
间碟软件 否
广告软件 否
病毒        否
木马        否
系统进程 否
应用程序 否
后台程序        否
使用访问        否
访问互联网        否

nazisoft

单点影子都不修改MBR，对“diskpt.sys”应该是误报

FreeEquFraT

kyqm 发表于 2011-8-7 14:24
日志文件：
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,, ...

日志文件除了diskpt.sys是SD的驱动外，其他的文件好像都不是SD的，而且\CurrentControlSet\Services\kisknl 这个驱动好像是金山的吧，楼主看看这个注册表下的驱动文件在哪里，校验一下是不是金山的。

kyqm

没找到,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl这个分支啊？

纳闷，

（现在还是带毒状态，没有用专杀清除）