WD似乎监控存在一些问题，有时候隔离整个压缩包，有时候不隔离，怎么回事？？

显示全部楼层 · 发表于 2016-6-11 11:00:30

c68111c 发表于 2016-6-11 10:41
這個我關監控就掃到了，也移除了

其实你没有发现一个问题，看楼主的截图，报的文件大多数是在FilesStash文件夹位置，这才是根源问题，大多数用户可能不会出现这情况

显示全部楼层 · 发表于 2016-6-11 11:11:30

驭龙发表于 2016-6-11 11:00
其实你没有发现一个问题，看楼主的截图，报的文件大多数是在FilesStash文件夹位置，这才是根源问题，大多 ...

在wd的資料夾底下

也是挺奇怪的

显示全部楼层 · 发表于 2016-6-11 11:13:38

c68111c 发表于 2016-6-11 11:11
在wd的資料夾底下

也是挺奇怪的

我现在准备启动WD，然后一会儿测试运行一下，看看我的情况

显示全部楼层 · 发表于 2016-6-11 11:24:09

本帖最后由驭龙于 2016-6-11 11:31 编辑

c68111c 发表于 2016-6-11 11:11
在wd的資料夾底下

也是挺奇怪的

我测试一下，下载这个文件，直接被WD劫持过去了，下载位置并没有产生下载的文件，而且WD提示重启才能清除文件

而且问题在于这个样本是云DSS杀，所以网络不稳定的情况下，容易出现有时候杀有时候不杀的问题

Internal signature match:subtype=Lowfi, sigseq=0x00000555CB622023, signame=#LowFiWSFChildFileHasIOAVURL, cached=false, resource="\\?\C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF"
2016-06-11T03:18:37.722Z Dynamic signature received
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:C:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\2f8b74e7798bdea5f410ecf0ee93599a71a80c1c
Dynamic Signature Compilation Timestamp:06-11-2016 11:18:38
Persistence Type:VDM Version
Source Version:282432840794113
Expiration Version:282432840794113
2016-06-11T03:18:38.187Z DETECTIONEVENT Worm:VBS/Jenxcus.DN containerfile:C:\Users\1234\Downloads\Microsoft Excel.rar;file:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6;file:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF;internalfileproxy:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar;webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{C5CC63D1-D4EA-4C5B-ACEE-95FF464C730F}-Microsoft Excel.rar|browser_broker.exe;webfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe;webfile:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe;
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN containerfile:C:\Users\1234\Downloads\Microsoft Excel.rar
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN file:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN file:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN internalfileproxy:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{C5CC63D1-D4EA-4C5B-ACEE-95FF464C730F}-Microsoft Excel.rar|browser_broker.exe
2016-06-11T03:18:38.198Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
2016-06-11T03:18:38.199Z DETECTION_ADD Worm:VBS/Jenxcus.DN webfile:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Begin Resource Scan
Scan ID:{184596A2-99FC-443C-BEBF-7665A6E0D228}
Scan Source:4
Start Time:06-11-2016 11:18:37
End Time:06-11-2016 11:18:38
Explicit resource to scan
Resource Schema:webfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Result Count:1
Threat Name:Worm:VBS/Jenxcus.DN
ID:2147689022
Severity:5
Number of Resources:6
Resource Schema:internalfileproxy
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|C:\Users\1234\Downloads\Microsoft Excel.rar
Extended Info:42225906181234
Resource Schema:file
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar->Microsoft Excel.WsF
Extended Info:42225906181234
Resource Schema:file
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6
Extended Info:42225906181234
Resource Schema:webfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Extended Info:0
Resource Schema:webfile
Resource Path:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\C0B6727E-60DE-E061-32A6-45D071DD2358_1d1c4591c6100c6|https://att.kafan.cn/forum.php?mo ... DMzNTMwMXwyMDQ0MDky|browser_broker.exe
Extended Info:42225906181234
Resource Schema:containerfile
Resource Path:C:\Users\1234\Downloads\Microsoft Excel.rar
Extended Info:0
End Scan

显示全部楼层 · 发表于 2016-6-11 11:43:21

本帖最后由 c68111c 于 2016-6-11 11:46 编辑

驭龙发表于 2016-6-11 11:24
我测试一下，下载这个文件，直接被WD劫持过去了，下载位置并没有产生下载的文件，而且WD提示重启才能清 ...

我的正式版win10
用的是火狐+idm下載

下載沒攔截

解壓時攔截

containerfile:C:\Users\gary\Downloads\Compressed\Microsoft Excel.WsF
file:C:\Users\gary\Downloads\Compressed\Microsoft Excel.WsF->[WsfCmtOut]->(SCRIPT0000)

路徑也沒有微軟資料夾，和你不太一樣

另外你的詳細資料是從事件檢視器看的嗎

還有一點，攔截只攔截解壓物，事後壓縮檔還在，繼續解壓他的話wd照樣殺，只是不動壓縮檔，除非掃描他

显示全部楼层 · 发表于 2016-6-11 11:45:42

本帖最后由驭龙于 2016-6-11 11:47 编辑

c68111c 发表于 2016-6-11 11:43
我的正式版win10
用的是火狐+idm下載

火狐那是自然的，因为火狐不能跟WD联动，你用Edge就可以像我那样拦截了，如果用WD，最好用Edge浏览器或者IE

详细信息位于
"C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-xxxxxxx-xxxxxxx.log"

显示全部楼层 · 发表于 2016-6-11 14:39:12

本帖最后由 HEMM 于 2016-6-11 14:40 编辑

没发现过这个问题，我很久没有关注WD了，因为和BUG豆搭配我这边出现了其他人没有的症状，就是可隔离但无法还原，系统日志会记录下WD的错误日志.....WD的服务也受到影响，貌似打不赢BUG豆。
我不死心，调试了很多次后，依然是无法还原，就放弃了。
不过确实我有发现报，但是文件依然在原处的问题，因为我这边一旦处理是无法还原的，除非不安装BUG豆，但是系统提示处理了威胁，威胁还在原地的情况发现过2次，不是很在意......因为我更在意的是毛豆的抽风，我的使用环境逼迫我对HIPS的重视度大于安软。

显示全部楼层 · 发表于 2016-6-11 16:24:46

本帖最后由月影天心于 2016-6-11 16:32 编辑

c68111c 发表于 2016-6-11 10:41
這個我關監控就掃到了，也移除了

奇怪的情况，我这边WD扫描不报，但监控会提示恶意，云不参与WD的扫描吗？

显示全部楼层 · 发表于 2016-6-11 16:27:19

本帖最后由月影天心于 2016-6-11 16:31 编辑

驭龙发表于 2016-6-11 11:24
我测试一下，下载这个文件，直接被WD劫持过去了，下载位置并没有产生下载的文件，而且WD提示重启才能清 ...

我测试过几次，有时候直接被杀，下载位置同样不会产生文件，也出现过提示类似的重启后删除的情况；但有时候下载位置文件正常生成，此时WD也会提示发现威胁，但处理了后原始文件仍然在，看WD的查杀情况就是位于FilesStash文件夹

而且非常奇怪，我关闭WD监控手动扫描这个压缩包，WD给我报安全，是不是WD的云不参与扫描的？开启监控后WD又报威胁，然后完全随机化的进行处理，这是新引擎的问题？太匪夷所思了

显示全部楼层 · 发表于 2016-6-11 16:29:55

月影天心发表于 2016-6-11 16:27
我测试过几次，有时候直接被杀，下载位置同样不会产生文件，也出现过提示类似的重启后删除的情况；但有时 ...

但有时候下载位置文件正常生成，此时WD也会提示发现威胁，但处理了后原始文件仍然在，看WD的查杀情况就是位于FilesStash文件夹

这个就明显的网络不稳定原因吧，毕竟你那里也有

有时候直接被杀，下载位置同样不会产生文件，也出现过提示类似的重启后删除的情况；

情况，所以很有可能就是云稳定性的问题

[技术探讨] WD似乎监控存在一些问题，有时候隔离整个压缩包，有时候不隔离，怎么回事？？

本帖子中包含更多资源