双系统挖矿15X

Shake2333

fsp扫描杀4个

心醉咖啡

毒霸

1. 扫描时间：[2021-07-17 11:28:24]
   
2. 扫描用时：[00:00:33]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：17159
   
5. 扫描速度：504文件/秒
   
6. 发现威胁：1个
   
7. 清除威胁：1个
   
8. =============================================
   
9. [2021-07-17 11:29:12]
   
10. 威胁：e:\浏览器下载\x5x3yl4w_未命名文件夹\未命名文件夹\updater.exe
    
11. 类型：win32.troj.win64.an.(kcloud)
    
12. 处理方式：删除
    
13. 
    

复制代码

wwwab

windows11BigSur 发表于 2021-7-17 11:06
卡巴最终测试结果是 kill 7/15X
剩余8个文件中的autoupdate应该是autoupdate.exe的附属
最终剩余7X

卡巴是处理Linux毒的

windows11BigSur

wwwab 发表于 2021-7-17 12:00
卡巴是处理Linux毒的

我知道，只是说，非Win平台ESET比其他杀软更强亿点点

ELOHIM

Jerry.Lin 发表于 2021-7-17 11:18
WD

你的怎么这么多？是扫描的还是双击的？？？

Jerry.Lin

ELOHIM 发表于 2021-7-16 22:07
你的怎么这么多？是扫描的还是双击的？？？

?
实时监控+扫描 (linux那个报的是扫描,其他都是实时监控)
云设置是high+

ELOHIM

Jerry.Lin 发表于 2021-7-17 12:20
?
实时监控+扫描 (linux那个报的是扫描,其他都是实时监控)
云设置是high+

我的也是这样的。。还是剩13个。。。。无语了。。

Jerry.Lin

ELOHIM 发表于 2021-7-16 22:24
我的也是这样的。。还是剩13个。。。。无语了。。

我感觉WD的云敏感度会根据Zone.Identifier里标记的来源调整. Zone.Identifier是ADS流用来标记文件从哪来的, 一般浏览器会创建这个文件并标记来源是Internet, 有些下载工具可能不会,或者没有标记对, 所以建议用浏览器内建下载.

Zone.Identifier里的ZoneId划分了不同来源:
ZoneId=0: Local machine 本地机器传输
ZoneId=1: Local intranet 局域网(内部网)传输
ZoneId=2: Trusted sites 可信网站
ZoneId=3: Internet 互联网 (一般chrome 和其他浏览器都是标记这个)
ZoneId=4: Restricted sites: 一般会被Smart Screen 拦截

一般这个Zone.Identifier从资源管理器看不到, 可以用第三方工具(貌似Everything可以). 一般格式是 xxx.exe.Zone.Identifier

以后有空可以测试下这个标记对WD检测的影响,应该会很有趣

ELOHIM

Jerry.Lin 发表于 2021-7-17 12:47
我感觉WD的云敏感度会根据Zone.Identifier里标记的来源调整. Zone.Identifier是ADS流用来标记文件从哪来 ...

我是用edge下载的，刚才从D盘自定义下载目录移动到桌面的时候，又有病毒被发现。。
可能和下载位置也有关？

Jerry.Lin

ELOHIM 发表于 2021-7-16 22:52
我是用edge下载的，刚才从D盘自定义下载目录移动到桌面的时候，又有病毒被发现。。
可能和下载位置也有 ...

也有可能, 比如红伞的是否上传APC的那个local decider 会特别监控一些目录(每个文件都上传), 例如\Download. 不排除WD也搞这种目录识别