呼叫大肉鸡 呼叫大肉鸡 系统急救闯祸啦 快来看一下！

你开心就好

如题  @wowocock  前情提要：最近不是小道消息的火绒6.0很火么 我这边估摸着再过两天就有较大规模的内测了 就开始新建了一个虚拟机环境 Windows10ltsc版本  准备测试 建立OK了 我想着360急救箱扫描一波 看有没有病毒木马和系统文件缺失什么的 就到官网下载 解压好 选择了全盘模式 （非强力）结果一开始就报了 我一看操作是“移除驱动文件”
我还以为是下载的系统文件里 “加料”了 没有太过在意 结果又蹭蹭几项 还有一个操作是“移除木马” 然后就结束了 要求重启 结果出问题了 系统重启后停留在 高级启动选项疑难解答那里
又重启了一次 直接蓝屏……
幸好我扫描完成后 在桌面保存了日志……

我个人推测  是删除了截图驱动文件导致的


下载地址：
https://fedorapeople.org/groups/ ... tio-win-0.1.248.iso

wowocock

你这个不是官方的安装包吧，加了不少REDHAT的驱动，没收白，用户量非常小。

你开心就好

wowocock 发表于 2024-3-5 10:36
你这个不是官方的安装包吧，加了不少REDHAT的驱动，没收白，用户量非常小。

请指路官方的 谢谢
另外 其他安全软件不报（例如天守等）

wowocock

Copyright 2009-2022 Red Hat, Inc. and/or its affiliates.
Copyright 2016 Google, Inc.
Copyright 2016 Virtuozzo, Inc.
Copyright 2007 IBM Corporation
用的是 virtio WIN，这种。都没收白。已经通知后台白名单去收白了。

wowocock

你开心就好 发表于 2024-3-5 10:45
请指路官方的 谢谢
另外 其他安全软件不报（例如天守等）

https://bbs.kafan.cn/thread-2220135-1-1.html

你开心就好

wowocock 发表于 2024-3-5 10:48
https://bbs.kafan.cn/thread-2220135-1-1.html

我还以为你说驱动不是官方的

你开心就好

wowocock 发表于 2024-3-5 10:47
Copyright 2009-2022 Red Hat, Inc. and/or its affiliates.
Copyright 2016 Google, Inc.
Copyright 201 ...

这种状态 只能靠事后用户反馈加白么 查杀过程中也是链接云安全中心的呀 如果能即时加白 虚拟机恐怕就不用蓝屏
我就不用捣鼓半天去取日志

wowocock

你开心就好 发表于 2024-3-5 11:03
这种状态 只能靠事后用户反馈加白么 查杀过程中也是链接云安全中心的呀 如果能即时加白 虚拟机恐怕就不用 ...

嗯，只能这样了，因为你不是微软官方的驱动，没有微软官方的签名。第三方的签名不靠谱。

ikochina1

wowocock 发表于 2024-3-5 10:36
你这个不是官方的安装包吧，加了不少REDHAT的驱动，没收白，用户量非常小。

数字的急救箱白名单非常少，误报不是一般的高，一般我都不推荐这种非白即黑的软件

wowocock

ikochina1 发表于 2024-3-6 15:20
数字的急救箱白名单非常少，误报不是一般的高，一般我都不推荐这种非白即黑的软件

一般不少了，除非特殊行业，否则大多数都包含了。普通用户用完全没问题。

你开心就好

wowocock 发表于 2024-3-5 14:04
嗯，只能这样了，因为你不是微软官方的驱动，没有微软官方的签名。第三方的签名不靠谱。

这个 有异曲同工之妙

wowocock

你开心就好 发表于 2024-3-8 09:34
这个 有异曲同工之妙

已经让他们收白了？把文件MD5发过来，我让他们确认下。

你开心就好

wowocock 发表于 2024-3-8 09:38
已经让他们收白了？把文件MD5发过来，我让他们确认下。

稍等哦

你开心就好

wowocock 发表于 2024-3-5 10:36
你这个不是官方的安装包吧，加了不少REDHAT的驱动，没收白，用户量非常小。

Here

wowocock

你开心就好 发表于 2024-3-8 09:56
Here

发下文本吧，你这是让我找OCR去识别码？

你开心就好

wowocock 发表于 2024-3-8 10:01
发下文本吧，你这是让我找OCR去识别码？

报出文件文件指纹
类型:木马-Win64/Heur.Generic.H8oApM4A
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Program Files\Virtio-Win\VioFS\virtiofs.exe
文件大小:226.1K (231,488 字节)
文件版本:
文件描述:
文件指纹（MD5）:d1c5b59a895dee9b92998f5b96922f1d
组别:服务
数字签名:Microsoft Windows Hardware Compatibility Publisher
数字签名是否有效:有效
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\VirtioFsSvc
注册表名称:ImagePath
注册表值:"C:\Program Files\Virtio-Win\VioFS\virtiofs.exe"
处理建议:禁止自启动、隔离文件
----------------------------
类型:无需启动的程序-建议禁止开机自动运行的程序
描述:此类程序为未知且非必需的开机自动运行程序，存在潜在安全风险，且会影响系统的运行速度。如果您确认其需要自动运行，请加入“信任程序列表”。
扫描引擎:云安全引擎
文件路径:C:\Program Files\Qemu-ga\qemu-ga.exe
文件大小:4.09M (4,289,665 字节)
文件版本:107.0.1
文件描述:QEMU machine emulators and tools
文件指纹（MD5）:8c4ff01bce1f78b013592e10500c5a0e
组别:服务
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\QEMU-GA
注册表名称:ImagePath
注册表值:"C:\Program Files\Qemu-ga\qemu-ga.exe" -d --retry-path
处理建议:禁止自启动
----------------------------
类型:无需启动的驱动-建议禁止开机自动运行的程序
描述:未知且非必需的驱动程序，存在潜在安全风险，且会影响系统的运行速度。如果您确认其需要自动运行，请加入“信任程序列表”。
扫描引擎:云安全引擎
文件路径:C:\Windows\System32\drivers\vioser.sys
文件大小:90.1K (92,224 字节)
文件版本:100.94.104.24800
文件描述:Red Hat VirtIO Serial driver
文件指纹（MD5）:63b7f8b7855e3a598fa6e027db982a2c
组别:驱动
数字签名:Microsoft Windows Hardware Compatibility Publisher
数字签名是否有效:有效
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\VirtioSerial
注册表名称:ImagePath
注册表值:\SystemRoot\System32\drivers\vioser.sys
处理建议:禁止自启动
------------------------------
类型:无需启动的驱动-建议禁止开机自动运行的程序
描述:未知且非必需的驱动程序，存在潜在安全风险，且会影响系统的运行速度。如果您确认其需要自动运行，请加入“信任程序列表”。
扫描引擎:云安全引擎
文件路径:C:\Windows\System32\drivers\balloon.sys
文件大小:62.2K (63,656 字节)
文件版本:100.94.104.24800
文件描述:Red Hat VirtIO Balloon driver
文件指纹（MD5）:aee7d61ad28e8e3d58a66b759f0e9c50
组别:驱动
数字签名:Microsoft Windows Hardware Compatibility Publisher
数字签名是否有效:有效
注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\BALLOON
注册表名称:ImagePath
注册表值:\SystemRoot\System32\drivers\balloon.sys
处理建议:禁止自启动
------------------------

wowocock

你开心就好 发表于 2024-3-8 10:17
报出文件文件指纹
类型:木马-Win64/Heur.Generic.H8oApM4A
描述:木马是一种伪装成正常文件的恶意软件， ...

现在WHQL被认为不可信签名，所以不会默认加白，这几个我让后台去加白了。

ikochina1

wowocock 发表于 2024-3-6 15:41
一般不少了，除非特殊行业，否则大多数都包含了。普通用户用完全没问题。

我用的原版系统，优化也不多，用那个玩意儿扫，新装系统都给你报一堆，咔咔咔，然后启动不了了。经过了两次后再也不碰这玩意儿

你开心就好

wowocock 发表于 2024-3-8 10:19
现在WHQL被认为不可信签名，所以不会默认加白，这几个我让后台去加白了。

大肉鸡欸 你这白名单不怎么稳定哦
又报了 相同的驱动名字 这次 还警告了火绒安全的几个文件
（无意引战）

wowocock

你开心就好 发表于 2024-4-1 16:04
大肉鸡欸 你这白名单不怎么稳定哦
又报了 相同的驱动名字 这次 还警告了火绒安全的几个文件
（无 ...

KM]FYI NOT VIRUS
        [30]\SystemRoot\system32\DRIVERS\BdNet.sys
        629bf387b9477523094c9bd38aacc8fd,aacc3958c1661764510ac00a768eaa2fa840ddac
[SPRF]-NS \device\harddiskvolume3\windows\system32\drivers\fwcfg.sys
[KM]FYI NOT VIRUS
        [30]\Device\HarddiskVolume3\Windows\System32\drivers\fwcfg.sys
        9eaa6a74f4ed1b6b8ccc58a1a6fb0f4a,d648137c365ebce4ec0fa7b874a7a31a348c4fb2
[SPRF]-NS \device\harddiskvolume3\windows\system32\drivers\vioser.sys
[KM]FYI NOT VIRUS
        [30]\Device\HarddiskVolume3\Windows\System32\drivers\vioser.sys
        fb12c07d76ef0a50c7e4c40ea30c354d,bbd0d665f03ea32642be9468eb9dea2d4c84f6dd
这几个吗？我让他们加白下。