昨天中了个Trovi PUA，火绒没防住？附上来源

JAYSIR

后续，使用MB清除了浏览器下的一些文件后， 问题已经消失了，目前没有任何异常。
严格来说算PUA，不算病毒，所以我觉得也不用对火绒就此失去信心。

PS:
Trovi  网站早就不能访问了，也被标记成了恶意网站。搞不懂作者的目的。

---
先申明一下，该病毒的来源尚且不是特别清楚，只能怀疑是IDM和谐版中附带的。

当时装了火绒，扫描了无问题，上传到virus total，40%报毒，有黑客工具报毒，其中卡巴斯基没报毒。安装过程没有任何反应。然后浏览器搜索引擎不定时跳到这个Trovi.com这个网站，但无法访问。。。

检查了一下，Chrome的搜索设置和插件无任何异常，硬盘和进程中搜索不到可疑的程序，卸载了IDM，但问题依旧存在。
换成了卡巴斯基，扫描下来无问题（快速扫描）。

最后用Malwarebytes，一通乱杀后删了几个Chrome下的LevelDB，ldb文件（我不清楚这些文件的用途）。
又删除了chrome里面的IDM插件（怀疑是感染的idm的插件，因为没第三方插件的标志）
问题貌似解决了。


很久都没中毒了，这些年来第一次中毒，纪念一下。
还是从火绒换成卡巴斯基了，貌似已经修复了之前卡输入法的Bug，体验还不错

---
已发表在样本区：

https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2223453&page=1

附上截图、可疑文件。

MB查杀记录：


可疑文件：
蓝奏云
来源：

https://gist.github.com/ptk911/3ccca76ebebf53d11b28ab02aa6f308b

心心相印

上传样本吧。

tdstevelx333

之前我在公司的同步服务器上装了火绒，照样没挡住勒索软件
明明没暴露在公网，也没有任何人用那台电脑，就被勒索软件搞崩了
从那之后，就不对火绒的防御能力有多大信心了
而且论坛区也对各款杀毒软件有测评，火绒得分都不高

kekeChen

MALWAREBYTE这么强吗，有防火墙吗

vaedzy

火师傅的防护....一言难尽。搞搞弹窗啥的倒是在行

JAYSIR

心心相印 发表于 2021-12-15 10:17
上传样本吧。

找了一下没找到，等下尝试再找一下。

关键我无法百分百确定来源。

蓝泽祈

不试试360急救箱看下有没有残留

ikochina

蓝泽祈 发表于 2021-12-15 11:42
不试试360急救箱看下有没有残留

别试了，中毒了直接重装多干净。前天晚上我又开始折腾咖啡了，第一次没安装成功，第二次成功。但是发现电脑卡卡的，于是使用傲梅专业版（正版）还原，结果还原后启动不了，进入pe修复引导，修复不成功，然后使用360急救箱，结果就给我报了几个pe下的文件（pe是傲梅定制的微pe2.1），于是用大蜘蛛启动盘去扫重点区域，发现磁盘引导被写保护了，修复后重新在pe下还原搞定，并没其他病毒，应该是咖啡锁的，具体原因不明

JAYSIR

心心相印 发表于 2021-12-15 10:17
上传样本吧。

已上传。。。

JAYSIR

ikochina 发表于 2021-12-15 11:50
别试了，中毒了直接重装多干净。前天晚上我又开始折腾咖啡了，第一次没安装成功，第二次成功。但是发现电 ...

咖啡锁这玩意做什么。。。磁盘引导还可以写保护？直接隔了引导重装不就好了？

主要是，重装一次的成本太高了，非常高
我中午放这里扫着吧