各位高手，请帮忙看看，这个是火绒的全盘查杀结果，哪些可以忽略，哪些要立即处理...

珈璃_咖喱

coolrui 发表于 2021-1-15 16:07
fastcapture很好用

好的，谢谢

coolrui

wwwab 发表于 2021-1-16 13:38
经过检测，您压缩包内的WeChat.Patch.20201120.exet，大小为145.5kb，哈希值为您提供的下载链接，下载到 ...

奇怪的是，没有感觉到这些病毒的危害。

wwwab

coolrui 发表于 2021-1-16 23:32
奇怪的是，没有感觉到这些病毒的危害。

这才正常。感染型病毒一般都没有表现性，主要是破坏性和隐秘性，原理就是给每个特定后缀的文件都添加上能互相感染的代码（这不就是在拉跨系统吗？）然后在隐秘的目录释放几个“总控制台”。而且即使“总控制台”被“捣毁”，被感染文件也要修复，一是防止二次感染，二是这个病毒还有一个明显的症状：电脑越来越卡，但是配置也不是很垃圾，CPU和内存的占用也不高——这个症状是因为病毒在互相感染电脑上所有特定后缀文件的时候，文件数量非常庞大，互相感染以及确定是否已经感染会消耗大量资源，而且你每打开一个被感染的文件就要被执行一次该命令，电脑能不卡才怪，而且主要是系统卡，这点计算也不至于CPU和内存的占用率太高，所以这点就会引起以上的症状。部分感染性病毒还带的症状（不知道你那边有没有，只是说这种病毒可以还有的症状）有：被感染文件未进行修复而图标被修改、被感染文件修复后图标被修改、任务管理器查看被感染进程的进程名前面会出现可疑的疑似命令字符、系统临时文件夹会存在被感染的进程、后门（一般比较少）等等……

而火绒的查杀方法，就是将“总控制台”“捣毁”，然后把病毒在特定后缀的文件上面添加的所有可以互相感染的那串代码给清除掉，不会把那个文件整个删除。所以说，你使用火绒处理感染性病毒的时候，并不会影响你原来的文件，你原来的文件还在的，只不过是把那串被病毒强加上去的病毒代码给清除掉了。

其中：被感染的特定后缀的文件，叫做“宿主程序”；你那个病毒的“总控制台”主要就是在你系统根目录下的那个system.exe：看你的查杀结果，火绒已经对其报毒了。

此外，这种病毒可以通过复制被感染的文件到u盘，然后u盘在其他电脑上插入而被感染；或者网络传播被感染文件，下载下来就能被感染；或者干脆也能内网共享端口横向传播进去而被感染……注意一下哈！

wwwab

红笔圈的，是病毒文件，危险系数较高，必须处理；黄笔圈的，是可疑文件，而且还是缓存，但是清除后不影响任何软件和系统的使用，建议处理一下；绿色的，可以不用处理，可拉白；至于没有圈出来的，还需要分析，暂时还无法判定……

coolrui

wwwab 发表于 2021-1-17 08:24
红笔圈的，是病毒文件，危险系数较高，必须处理；黄笔圈的，是可疑文件，而且还是缓存，但是清除后不影响任 ...

已经全部处理，那绿色的两个我再信任一下。

wwwab

coolrui 发表于 2021-1-17 09:31
已经全部处理，那绿色的两个我再信任一下。

处理也没关系，一个广告程序，一个风险工具，不影响……

coolrui

wwwab 发表于 2021-1-17 09:32
处理也没关系，一个广告程序，一个风险工具，不影响……

谢谢。您对杀毒很有研究啊。
“建议用卡巴斯基的清除工具再全盘扫一遍吧
https://devbuilds.s.kaspersky-la ... st/full/kvrt.exebtw，你之前用的是wd，无论如何也不至于感染这么多文件吧”
这个卡巴的清除工具很牛吗？https://bbs.kafan.cn/forum.php?m ... ;page=2#pid48017860这个帖子里面一位朋友说的。

wwwab

coolrui 发表于 2021-1-17 09:35
谢谢。您对杀毒很有研究啊。
“建议用卡巴斯基的清除工具再全盘扫一遍吧
https://devbuilds.s.kaspersk ...

不建议用卡巴处理感染性病毒，火绒是进行修复，不影响原本文件的，而卡巴可能会直接删除整个文件……但是至少能一下子就给你删干净了……

fsm100

这玩意叫宏病毒，如果文件可以打开，建议你在PE下把文件打开，然后新建文件试试

小小龙

温馨小屋 发表于 2021-1-15 18:26
MES 17个，双击再杀1个

咖啡消灭这种病毒应该是强项。国产的可以试试瑞星