是不是火绒报毒不代表已经阻止运行了？有图有真相

z2009

今天毒区下了个毒，双击后，火绒报毒，可同时wd也报毒，我一开始想是wd报的是本身文件吧，可是我删除了wd的病毒后，文件母体还是存在，也就是说wd删除的是在文件运行后生成的毒文件，换句话说，也就是火绒在报毒的同时，并没有拦截到病毒生成物的生成，然后点击立即清除，也是清除的是病毒母体，病毒生成物还是由wd删除的

如果是实机体验的话，我电脑还是中毒了？如果没有wd报的话。



源文件http://bbs.kafan.cn/thread-1494444-1-1.html  第一个附件

skycai

从图上根本没看见wd报的是哪个文件。

为什么不是wd权限不足呢？

比如费尔，在发现病毒没处理的情况下，是会对这个病毒文件“拒绝访问”，再没重启之前，你没法子继续运行。关闭费尔监控也不行。

那假设火绒也有这种处理机制，为啥不是wd删除不了火绒拒绝访问的病毒文件？

z2009

skycai 发表于 2013-3-11 12:18
从图上根本没看见wd报的是哪个文件。

为什么不是wd权限不足呢？

火绒我先选择了忽略，然后点击wd的删除，母体还在
不要说wd报的不是这个文件，只是运行了这个母体，wd才弹框

vardyh

楼上两位没搞清楚实时监控和未知病毒拦截的区别，

实时监控（On-Access Scanning）的扫描对象是文件，实时监控在报毒弹框询问的同时是会对病毒文件拒绝访问的，

未知病毒拦截的分析对象是进程（组），未知病毒拦截报毒弹窗询问的时候是挂起被分析为病毒的进程组，

具体到上图，火绒未知病毒拦截时，wd对衍生物报毒并清除了，点火绒的”立即清除“时火绒去清理衍生物的时候这文件已经被wd删掉了

skycai

vardyh 发表于 2013-3-11 12:26
楼上两位没搞清楚实时监控和未知病毒拦截的区别，

实时监控（On-Access Scanning）的扫描对象是文件，实 ...

我还在怀疑，wd报的是不是衍生物。
图上没看见。

vardyh

skycai 发表于 2013-3-11 12:27
我还在怀疑，wd报的是不是衍生物。
图上没看见。

不用看图，看现象就知道了

倾枫锝渔♂

LZ   经试验证明~

未知病毒拦截后的衍生物 会一并删除~


ps：我也觉得 你的图多此一举~

z2009

倾枫锝渔♂ 发表于 2013-3-11 12:38
LZ   经试验证明~

未知病毒拦截后的衍生物 会一并删除~

到家了，没办法重现了，我只是说出我的看法，至于你们怎么解释，我表示疑问，呵呵

z2009

vardyh 发表于 2013-3-11 12:26
楼上两位没搞清楚实时监控和未知病毒拦截的区别，

实时监控（On-Access Scanning）的扫描对象是文件，实 ...

火绒报毒时，wd并没有去删除，同样我先点击火绒的立即清理，然后再wd删除，照样是wd删除成功
现在我到家了，环境不一样了，所以没法重现
不说这个了，对此我还是有疑问，呵呵

希望是共同探讨，

倾枫锝渔♂

z2009 发表于 2013-3-11 17:27
火绒报毒时，wd并没有去删除，同样我先点击火绒的立即清理，然后再wd删除，照样是wd删除成功
现在我到家 ...

晚上有机会重现给你看看~