卡巴开始盯上了PCHunter工具，怎么办？（20180331已经不报了）

显示全部楼层 · 发表于 2018-3-12 20:20:05

本帖最后由 nide312 于 2018-3-31 16:57 编辑

20180331
突然发现已经不报毒了，用的是KIS2018。以下内容可忽略。

not-a-virus:HEUR:RiskTool.Win32.PCH.gen

32位PCHunter：https://www.virustotal.com/#/fil ... 7b5a30ae4/detection
64位PCHunter：https://www.virustotal.com/#/fil ... 5709360a0/detection
virustotal跟卡巴2018的病毒库可能不一致，下面是卡巴2018程序的显示32位PCHunter是这个：卡巴2018的扫描清除报告.jpg

解压出来卡巴直接给自动删除了，幸好在另一个目录设置了排除。
既然都显示“not-a-virus”不是病毒了，为何卡巴还要把它当作病毒自动删除处理？
忘了说，PCHunter是1.53，目前最新版。

卡巴版本是18.0(g)，除了设置过目录排除项外其余均为默认设置。
卡巴版本.png

PCHunter被卡巴删除的GIF动画过程如下：
卡巴自动删除解压后的PCHunter程序.gif

解压后先是自动删除了32位的程序，双击64位程序运行又被自动删除了。我试了几次，其中有一次64位程序双击运行后卡巴出来个提示框：1.清除并重启；2.尝试不清除重启。

PCHunter最新版地址：
http://down.epoolsoft.com/pchunter/PCHunter_free.zip

显示全部楼层 · 发表于 2018-3-12 20:28:58

是你以前指定过处理方式，所以才直接删除，你自己好好想想是不是以前勾选过遇到同样类型的也删除的框。。。。
另外卡巴很早就报pchunter了，也很明确不是病毒，不知道怎么就是“盯上了”呢？有风险的工具罢了，跟eset直接删除完全不同。默认设置绝不会自动处理PUP的。
没理由怪卡巴报的真的。

显示全部楼层 · 发表于 2018-3-12 21:42:58

pal家族发表于 2018-3-12 20:28
是你以前指定过处理方式，所以才直接删除，你自己好好想想是不是以前勾选过遇到同样类型的也删除的框。。。 ...

是默认设置的，我都懒得去设置的。1楼更新了说明和GIF过程图，你看看吧。

显示全部楼层 · 发表于 2018-3-12 21:56:24

nide312 发表于 2018-3-12 21:42
是默认设置的，我都懒得去设置的。1楼更新了说明和GIF过程图，你看看吧。

你放的图，vt上报not a virus的，不是那个被自动删除的32位的，
那个32位的，被启发报毒，那肯定是要自动删除掉的。
64位的报毒是not a virus，所以不会被自动删除。

你可以把这两个文件打包并加密infected，上报给技术支持加白。这样就都不会报了、

显示全部楼层 · 发表于 2018-3-12 22:16:26

本帖最后由霄栋于 2018-3-12 23:24 编辑

pal家族发表于 2018-3-12 21:56
你放的图，vt上报not a virus的，不是那个被自动删除的32位的，
那个32位的，被启发报毒，那肯定是要自 ...

VT上两个报法是一样的。
32位：

64位：

所以带了HEUR，就不算not-a-virus了？

以及，ESET并不自动删除PUA、PUP（潜在不受欢迎应用程序），而是会询问处理方式。
捕获.PNG

至于PCH，ESET报的是“潜在不安全应用程序”，RiskTool属于这个分类没什么毛病,且同样会询问处理方式。
捕获2.PNG

显示全部楼层 · 发表于 2018-3-12 22:25:11

这个工具本来就是有风险的，所以VT上的那些软件报毒也是合理的（个人愚见，不报毒也是可以理解），更何况卡巴还在前面注明了not-a-virus。

显示全部楼层 · 发表于 2018-3-12 22:26:27

霄栋发表于 2018-3-12 22:16
VT上两个报法是一样的。
32位：

然而我这里32位是启发，那就是明确高危，直接删，妥妥的没疑问。
64的报PUP，卡巴没有处理。

12.03.2018 12.34.38;Detected object (file) moved to Quarantine;G:\360极速下载\PCHunter_free\PCHunter32.exe;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter32.exe;03/12/2018 12:34:38;HEUR:Trojan.Win32.Generic
12.03.2018 12.46.10;Object (file) detected;G:\360极速下载\PCHunter_free\PCHunter64.exe;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter64.exe;03/12/2018 12:46:10;not-a-virus:UDS:RiskTool.Win32.PCH.gen;Information

楼主只杀了32位的，就和我这里情况一样的。

显示全部楼层 · 发表于 2018-3-12 22:42:05

pal家族发表于 2018-3-12 22:26
然而我这里32位是启发，那就是明确高危，直接删，妥妥的没疑问。
64的报PUP，卡巴没有处理。

卡巴程序跟vt上的病毒库可能不一致，所以32位的PCHunter的信息不一致。

显示全部楼层 · 发表于 2018-3-12 22:53:57

本帖最后由 pal家族于 2018-3-12 22:57 编辑

nide312 发表于 2018-3-12 22:42
卡巴程序跟vt上的病毒库可能不一致，所以32位的PCHunter的信息不一致。

是vt上的扫描引擎不如商用的完整。
这个是整个过程：

32位:12.03.2018 12.34.29;Object (file) detected;G:\360极速下载\PCHunter_free\PCHunter32.exe//data0000.res;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter32.exe//data0000.res;03/12/2018 12:34:29;not-a-virus:HEUR:RiskTool.Win32.PCH.gen

12.03.2018 12.34.38;Detected object (file) moved to Quarantine;G:\360极速下载\PCHunter_free\PCHunter32.exe;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter32.exe;03/12/2018 12:34:38;HEUR:Trojan.Win32.Generic

12.03.2018 12.34.38;Detected object (file) deleted;G:\360极速下载\PCHunter_free\PCHunter32.exe;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter32.exe;03/12/2018 12:34:38;HEUR:Trojan.Win32.Generic

64位：（被我放过）
12.03.2018 12.45.49;Object (file) detected;G:\360极速下载\PCHunter_free\PCHunter64.exe//data0000.res;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter64.exe//data0000.res;03/12/2018 12:45:49;not-a-virus:HEUR:RiskTool.Win32.PCH.gen

12.03.2018 12.46.09;Object (file) detected;G:\360极速下载\PCHunter_free\PCHunter64.exe;Windows Explorer;G:\360极速下载\PCHunter_free\PCHunter64.exe;03/12/2018 12:46:09;not-a-virus:UDS:RiskTool.Win32.PCH.gen;Information

12.03.2018 12.35.09;Ignored active legitimate software that can be used by criminals to damage your computer or personal data;not-a-virus:PDM:RiskTool.Win32.PCH.a;Epoolsoft Windows Information View Tools;g:\360极速下载\pchunter_free\pchunter64.exe;03/12/2018 12:35:09

还有跑起来的一部分：（被我放过）
12.03.2018 12.35.20;Detected malware;PDM:Suspicious.Driver.Installation.a;Epoolsoft Windows Information View Tools;g:\360极速下载\pchunter_free\pchunter64.exe;03/12/2018 12:35:20

12.03.2018 12.35.34;Ignored active malware;PDM:Suspicious.Driver.Installation.a;Epoolsoft Windows Information View Tools;g:\360极速下载\pchunter_free\pchunter64.exe;03/12/2018 12:35:34-------【这个报的是可疑的驱动加载，可能是ph加驱方式和一般软件的不同】

所以vt上的扫描对于卡巴这样多种组件配合，多种检测技术（行为流特征码，静态扫描，静态+动态启发，云参与的检测）配合的杀软，
vt的扫描器，是很简陋的。。。。有时候很多细节被掩盖了。。。

显示全部楼层 · 发表于 2018-3-13 17:06:03

我的与楼主一样32位直接咔嚓，执行64位也被报

[已解决] 卡巴开始盯上了PCHunter工具，怎么办？（20180331已经不报了）