收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 卡巴斯基 卡巴狠起“六亲不认”?
1234下一页
返回列表 发新帖
楼主: jone_jys
 收起左侧

[交流探讨] 卡巴狠起“六亲不认”?

[复制链接]
jone_jys
头像被屏蔽
 楼主| 发表于 2022-3-6 13:21:53 | 显示全部楼层
yfdyh000 发表于 2022-3-6 10:34
文件威胁防护里看看日志,有没有是哪个进程读取这个文件的记录。
事件: 对象将在重启后删除
用户: ASUS-B85PLUSI3\Balaor
用户类型: 活动用户
应用程序名称: NanaZipG.exe
应用程序路径: C:\Program Files\WindowsApps\40174MouriNaruto.NanaZip_1.0.95.0_x64__gnj4mf6z9tkrc
组件: 文件威胁防护
结果说明: 将在重启后删除
类型: 木马程序
名称: HEUR:Trojan-PSW.Win32.Agensla.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称:   (19).exe
对象路径: C:\Users\Balaor\Downloads\vir
SHA256: BDC12D8ED8EE25EBD9E8EC000A22A91B0E3D37BB79D586869FCC662B8462EFEA
MD5: DFD479D855BA92C59B03B2E5C9F97388

这个19.exe,实际上都已经删除了,为啥还要“重启后删除”;这个文件只是用7-zip解压出来而已,又没有双击运行啥的。。

回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2022-3-6 13:22:51 | 显示全部楼层
我是风我是风 发表于 2022-3-6 13:20
所有安全软件都会出现这种情况,见怪不怪了

请问 你还见过哪个安全软件有这样的?
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2022-3-6 13:25:21 | 显示全部楼层
syswow64 发表于 2022-3-6 13:17
死病毒被要求重启清除在KIS里也是家常便饭
            


一个根本没有运行的病毒,你直接删掉不就完事了么?还必须要重启才能删除么?

这是卡巴的BUG吗?还是卡巴就是这么个设计逻辑?有点想不通啊。。。
回复

举报

jony327
发表于 2022-3-6 13:33:13 | 显示全部楼层
如果是老版的话看看是否签名过期
回复

举报

syswow64
发表于 2022-3-6 13:39:08 | 显示全部楼层
jone_jys 发表于 2022-3-6 13:25
一个根本没有运行的病毒,你直接删掉不就完事了么?还必须要重启才能删除么?

这是卡巴的BUG吗?还 ...

未运行病毒也可能病毒发作后的残留物,所以会进行系统清理,诺顿也是这样
            

  macOS Monterey 【12.2.1】

Safari【 15.3

Intel(R)Core(TM)CPU【I7-12700K @ 5.0 GHz】
回复

举报

yfdyh000
发表于 2022-3-6 13:46:26 | 显示全部楼层
jone_jys 发表于 2022-3-6 13:21
这个19.exe,实际上都已经删除了,为啥还要“重启后删除”;这个文件只是用7-zip解压出来而已,又没有 ...

1. 卡巴的组件间冲突有个先例,病毒清除时加排除,文件仍会被删除、有概率不放入隔离区。

2. 不排除与NanaZip是个UWP应用有关系,Windows对UWP应用有额外防护,可能卡巴注入失败没法解挂文件,所以“重启后删除”。之后又没占用而删除成功了。
逻辑上假设:NanaZip解压时写入文件,卡巴检查写入的文件数据 发现病毒 拦停写入并准备清除,NanaZip因拦停而进程被挂起 保持了对该文件的独占写入,卡巴解除独占状态失败——标记重启后清除(同时会保持阻止访问),NanaZip得以继续运行 但文件打开和写入开始失败 放弃写入-关闭文件。然后,卡巴的组件在标记后仍重试清除 成功删除;或者解压软件删除了解压失败的文件。
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2022-3-6 14:47:43 | 显示全部楼层
syswow64 发表于 2022-3-6 13:39
未运行病毒也可能病毒发作后的残留物,所以会进行系统清理,诺顿也是这样
            

这些个病毒样本是昨天在论坛刚下载的,就是从压缩包里面解压出来而已,可以确定不会有”发作后的残留物“。
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2022-3-6 14:52:04 | 显示全部楼层
yfdyh000 发表于 2022-3-6 13:46
1. 卡巴的组件间冲突有个先例,病毒清除时加排除,文件仍会被删除、有概率不放入隔离区。

2. 不排除与 ...

我手头只有一台笔记本是火绒,同样的样本能删除的都删除了,无需重启;

楼上有童鞋说诺顿也有重启删除的习惯??
回复

举报

syswow64
发表于 2022-3-6 17:57:49 | 显示全部楼层
jone_jys 发表于 2022-3-6 14:47
这些个病毒样本是昨天在论坛刚下载的,就是从压缩包里面解压出来而已,可以确定不会有”发作后的残留物“ ...

你确定没有,但是卡巴确定不了,有可能是在病毒发作之后才入库的,所以有些感染性病毒会要求高级清除
            

  Windows 11 Pro 【 22000.527

Mozilla Firefox【97.0.1】

Intel(R)Core(TM)CPU【I7-12700K @ 5.0 GHz】
回复

举报

superax
发表于 2022-3-6 21:29:02 | 显示全部楼层
jone_jys 发表于 2022-3-6 14:52
我手头只有一台笔记本是火绒,同样的样本能删除的都删除了,无需重启;

楼上有童鞋说诺顿也有重启删除 ...

诺顿的SEP的确实有这个习惯,极个别的病毒,杀毒软件会提示你重启后才能彻底清除掉。
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-3 12:46 , Processed in 0.101635 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表