感觉感染好久了，卡巴才检测报出来的

1073328164

cxy密斯 发表于 2024-8-14 09:35
卡巴报的VHO：Trojan.Win32.Convagent.gen

我刚发VT那会卡巴没杀，现在才有的

biue

腾讯电脑管家 不报

117054487

ESSP扫描miss

ANY.LNK

微软目前解压+扫描没有报告

anthonyqian

可能是误报，已上报卡巴分析

yyds_x

360miss

孤勇者

anthonyqian 发表于 2024-8-14 19:15
可能是误报，已上报卡巴分析

人家都感染，怎么还是误报？

dght432

编辑

Jirehlov1234

dght432 发表于 2024-8-14 12:28
现在卡巴启发杀了，你为什么会认为是误报？万一等一下卡巴误加白怎么办？

如果卡巴还怕误加白的上报“攻击”，那分析团队可以就地解散了

huoji120

极有可能是误报，RarExt32的插件.VT上面的Kingsoft和ZoneAlarm by Check Point都是抄卡巴的告警内容，实际检出只有卡巴一个人报。
WCHAR *sub_1003CBA0()
{
  HMODULE phModule; // [esp+8h] [ebp-1008h] BYREF
  WCHAR Dst[2048]; // [esp+Ch] [ebp-1004h] BYREF

  phModule = 0;
  Src[0] = 0;
  if ( GetModuleHandleExW(6u, (LPCWSTR)sub_1003CBA0, &phModule) )
  {
    GetModuleFileNameW(phModule, Src, 0x800u);
    sub_10031040(Src, L"WinRAR.exe", 2048);
  }
  if ( !Src[0] || !(unsigned __int8)sub_1002F3C0(Src) )
  {
    sub_10038570(
      -2147483646,
      L"\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\WinRAR.exe",
      &psz,
      (LPBYTE)Src,
      L"winrar.exe",
      2047);
    ExpandEnvironmentStringsW(Src, Dst, 0x800u);
    sub_10036450(Src, Dst, 2048);
  }
  return Src;
}