收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这个样本可以触发微软WD删不掉文件的BUG???
12
返回列表 发新帖
楼主: 540923555
 收起左侧

[病毒样本] 这个样本可以触发微软WD删不掉文件的BUG???

[复制链接]
驭龙
发表于 2016-9-26 09:33:02 | 显示全部楼层
我电脑上有SEP 14无法启动WD,等有机会我在测试一下
回复

举报

驭龙
发表于 2016-9-26 10:23:47 | 显示全部楼层
我开了WD

最新特征库,自定义扫描果然清除不掉,有错误代码


改后缀也没有用,依然无法清除

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

MelissaBenoist
发表于 2016-9-26 10:43:02 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

540923555
 楼主| 发表于 2016-9-26 21:46:42 | 显示全部楼层
本帖最后由 540923555 于 2016-9-26 21:49 编辑
ELOHIM 发表于 2016-9-25 23:38
那么,你有没有安装别的安全软件?
贴日志上来看看。


没有别的安全软件


日志名称:          Microsoft-Windows-Windows Defender/Operational
来源:            Microsoft-Windows-Windows Defender
日期:            2016/9/26 21:41:19
事件 ID:         1119
任务类别:          无
级别:            错误
关键字:           
用户:            SYSTEM
计算机:           DESKTOP-3BBPAHM
描述:
对恶意软件或其他潜在的垃圾软件采取措施时,Windows Defender 遇到关键错误。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 01&enterprise=0
        名称: Trojan:JS/Iframeinject
        ID: 2147708901
        严重性: 严重
        类别: 特洛伊木马
        路径: containerfile:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae;file:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae->[HtmlCmtOut]->(UTF-8)->(SCRIPT0010);file:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae->[HtmlCmtOut]->(UTF-8)->(SCRIPT0011)
        检测来源: 本地计算机
        检测类型: 实际
        检测源: 用户
        用户: DESKTOP-3BBPAHM\夜神 悦
        进程名称: Unknown
        操作: 隔离
        操作状态:  No additional actions required
        错误代码: 0x8007001d
        错误描述: 系统无法写入指定的设备。
        签名版本: AV: 1.229.228.0, AS: 1.229.228.0, NIS: 0.0.0.0
        引擎版本: AM: 1.1.13103.0, NIS: 0.0.0.0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" />
    <EventID>1119</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2016-09-26T13:41:19.641488600Z" />
    <EventRecordID>29544</EventRecordID>
    <Correlation ActivityID="{CC578B97-D34A-472D-82CD-EB6877570C40}" />
    <Execution ProcessID="2576" ThreadID="4120" />
    <Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
    <Computer>DESKTOP-3BBPAHM</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Product Name">%%827</Data>
    <Data Name="Product Version">4.10.14393.0</Data>
    <Data Name="Detection ID">{0432558E-214E-4D36-96AB-4E3114D07B48}</Data>
    <Data Name="Detection Time">2016-09-26T13:40:53.721Z</Data>
    <Data Name="Unused">
    </Data>
    <Data Name="Unused2">
    </Data>
    <Data Name="Threat ID">2147708901</Data>
    <Data Name="Threat Name">Trojan:JS/Iframeinject</Data>
    <Data Name="Severity ID">5</Data>
    <Data Name="Severity Name">严重</Data>
    <Data Name="Category ID">8</Data>
    <Data Name="Category Name">特洛伊木马</Data>
    <Data Name="FWLink">http://go.microsoft.com/fwlink/?linkid=37020&amp;name=Trojan:JS/Iframeinject&amp;threatid=2147708901&amp;enterprise=0</Data>
    <Data Name="Status Code">103</Data>
    <Data Name="Status Description">
    </Data>
    <Data Name="State">5</Data>
    <Data Name="Source ID">1</Data>
    <Data Name="Source Name">%%815</Data>
    <Data Name="Process Name">Unknown</Data>
    <Data Name="Detection User">DESKTOP-3BBPAHM\夜神 悦</Data>
    <Data Name="Unused3">
    </Data>
    <Data Name="Path">containerfile:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae;file:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae-&gt;[HtmlCmtOut]-&gt;(UTF-8)-&gt;(SCRIPT0010);file:_C:\Users\夜神 悦\Desktop\1\VirusShare_121de9ffe28ebe2ef811b010ebde4cae-&gt;[HtmlCmtOut]-&gt;(UTF-8)-&gt;(SCRIPT0011)</Data>
    <Data Name="Origin ID">1</Data>
    <Data Name="Origin Name">%%845</Data>
    <Data Name="Execution ID">0</Data>
    <Data Name="Execution Name">%%812</Data>
    <Data Name="Type ID">0</Data>
    <Data Name="Type Name">%%822</Data>
    <Data Name="Pre Execution Status">0</Data>
    <Data Name="Action ID">2</Data>
    <Data Name="Action Name">%%809</Data>
    <Data Name="Unused4">
    </Data>
    <Data Name="Error Code">0x8007001d</Data>
    <Data Name="Error Description">系统无法写入指定的设备。 </Data>
    <Data Name="Unused5">
    </Data>
    <Data Name="Post Clean Status">0</Data>
    <Data Name="Additional Actions ID">0</Data>
    <Data Name="Additional Actions String">No additional actions required</Data>
    <Data Name="Remediation User">DESKTOP-3BBPAHM\夜神 悦</Data>
    <Data Name="Unused6">
    </Data>
    <Data Name="Signature Version">AV: 1.229.228.0, AS: 1.229.228.0, NIS: 0.0.0.0</Data>
    <Data Name="Engine Version">AM: 1.1.13103.0, NIS: 0.0.0.0</Data>
  </EventData>
</Event>
回复

举报

ELOHIM
发表于 2016-9-26 21:54:29 | 显示全部楼层
540923555 发表于 2016-9-26 21:46
没有别的安全软件


10586删除没问题,那么就是14393的问题了。

权限不足?
你的WD任务计划没有跟他们一样禁用吧??
如果不行的话,试试start-mpwdoscan 脱机扫描试试。

对了,设置界面上有脱机扫描按钮。
回复

举报

windows7爱好者
发表于 2016-9-26 22:03:28 | 显示全部楼层
SEP14不杀
无法双击
回复

举报

540923555
 楼主| 发表于 2016-9-28 11:06:38 | 显示全部楼层
本帖最后由 540923555 于 2016-9-28 11:08 编辑
ELOHIM 发表于 2016-9-26 21:54
10586删除没问题,那么就是14393的问题了。

权限不足?


不是权限问题,计划任务没有禁用,除了MAPS在组策略强制开启了,别的都是默认,脱机扫描没法选定扫描区域
回复

举报

ELOHIM
发表于 2016-9-28 11:26:32 | 显示全部楼层
540923555 发表于 2016-9-28 11:06
不是权限问题,计划任务没有禁用,除了MAPS在组策略强制开启了,别的都是默认,脱机扫描没法选定扫描区 ...


这个就 怪 了……
bug来的,
10586下可以删除。
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-14 02:43 , Processed in 0.094256 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表