本帖最后由 火绒工程师 于 2020-5-19 16:39 编辑
您好,首先感谢反馈。我们本地查看了楼主提供的压缩包“酷我音乐.8.7.7.0.BCS37-疑似样本”,这个包中的“KwMusic.exe”被Virus/Synares.a感染,工程师验证火绒可以查杀、清除恶意代码。为了复现问题我们做了如下测试:
在火绒默认设置测试,直接双击被病毒感染的“KwMusic.exe”,日志如下:
操作进程:C:\Windows\Explorer.EXE
病毒路径:C:\Users\XXX\Desktop\kuwo\KwMusic.exe
病毒名称:Virus/Synares.a
病毒ID:33C5586E26A45B87
操作结果:已处理
调整火绒文件实时监控,修改为手动处理,第一次运行“KwMusic.exe”时,火绒文件实时监控报毒,无论选择是暂不处理,立即处理,还是信任,被感染的样本都不会执行。
只有在选择信任后,再次运行“KwMusic.exe”才会执行成功,但即使信任了“KwMusic.exe”,它释放的病毒程序“Synaptics.exe”也会被火绒查杀。我们通过使用火绒剑监控,也没有看到“Synaptics.exe”有后续的感染行为。
【1】2020-05-19 13:21:01,病毒防护,文件实时监控,发现病毒Virus/Synares.a, 已处理
操作进程:C:\Users\XXX\Desktop\kuwo\KwMusic.exe
病毒路径:C:\ProgramData\Synaptics\Synaptics.exe
病毒名称:Virus/Synares.a
病毒ID:33C5586E26A45B87
操作结果:已处理
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【2】2020-05-19 13:21:01,病毒防护,文件实时监控,发现病毒Virus/Synares.a, 已处理
操作进程:C:\Users\XXX\Desktop\kuwo\KwMusic.exe
病毒路径:C:\ProgramData\Synaptics\Synaptics.exe
病毒名称:Virus/Synares.a
病毒ID:33C5586E26A45B87
操作结果:已处理
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【3】2020-05-19 13:20:53,病毒防护,文件实时监控,发现病毒Virus/Synares.a, 已信任
操作进程:C:\Windows\Explorer.EXE
病毒路径:C:\Users\XXX\Desktop\kuwo\KwMusic.exe
病毒名称:Virus/Synares.a
病毒ID:33C5586E26A45B87
操作结果:已信任
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
目前我们没有复现日志中Synaptics.exe被处理仍继续感染的情况,如果可以我们希望和楼主一起还原问题。火绒工程师QQ:3158498132
另外还有两点:
火绒隔离区的文件已经是加密的,业内对安全软件隔离区文件不做处理,卡巴斯基误报了火绒的已经隔离的文件,我们会尝试联系卡巴斯基反馈用户遇到的问题。另外工程师在查看卡巴斯基的日志中,发现卡巴斯基检测到了激活工具(Hacktool)和局域网查看工具(not-a-virus)两个可疑文件。您可以联系火绒工程师或者将文件附件上传到卡饭论坛,我们帮您作下检测。
此外,“killmatt01”上传的“酷我音乐(无损音乐下载器)豪华VIP破解版V8.7.7.0-BCS37(威航软件园)”压缩包中的文件,被Virus/Ramnit病毒感染,且被感染的只有HTML文件,主程序(KwMusic.exe)并没有被感染,遇到的问题和楼主不同。
|
楼主: 一颗心一个名
楼主
发表于 2020-5-18 20:55:25
