鉴于QVM刚刚起步，误报不可避免，为了更好的改善产品，欢迎大家提交误报样本

jason_jiang

回复 18楼 junyangxie 的帖子

rkpavproc.sys是panda的antirootkit驱动
以前爆出过几次漏洞
今年的一次是http://www.ntinternals.org/ntiadv0905/ntiadv0905.html
我不知道是否影响本例中1.0.0.5版的rkpavproc.sys
也查不到此特定版本rkpavproc.sys的漏洞信息
但正常的panda驱动都有签名
因此建议把没签名的那个列黑
（貌似panda 2007、2008有漏洞的驱动已经被adware利用了，你提到的随机文件名就是证据）

junyangxie

zhengxu_1985 发表于 2010-12-21 20:40
回复 1楼 zdolo 的帖子

   2.0检测出来的  是一键恢复里的文件

收到，谢谢！

junyangxie

jason_jiang 发表于 2010-12-22 10:33
回复 18楼 junyangxie 的帖子

rkpavproc.sys是panda的antirootkit驱动

当时分析花了一些时间。目前给的鉴定”低风险“
考虑的因素有：
（1）这个驱动目前应该只存在于卡饭上提供的antoscan这个软件包中。如果置黑，那么会影响这部分用户使用。
（2）但这个文件有漏洞，相关的信息在分析时也看到了，从代码上也看到了对调用校验不严格，可能会被利用。因此也没入白。
鉴于上面的两点因素，给这个文件的级别是”低风险“，如果自启动会被清掉启动项，当用户主动加载时，360主防能会拦截。这样可以有效地防止这个文件作恶，同时不太影响正常用户的使用。
谢谢您的反馈！

zhengxu_1985

回复 17楼 zdolo 的帖子

主防总是拦截无线3G上网里面的行为  以前上报了 解除了 昨天又报 不过报的不是同一个文件 请分析下。。谢谢了

junyangxie

zhengxu_1985 发表于 2010-12-22 12:35
回复 17楼 zdolo 的帖子

主防总是拦截无线3G上网里面的行为  以前上报了 解除了 昨天又报 不过报的不是同一 ...

收到，谢谢！

微微的笑

zhengxu_1985 发表于 2010-12-21 20:40
回复 1楼 zdolo 的帖子

   2.0检测出来的  是一键恢复里的文件

你这个样本最好发到kefu@360.cn  

这个帖子主要是解决QVM误报的。

junyangxie

zhengxu_1985 发表于 2010-12-21 20:40
回复 1楼 zdolo 的帖子

   2.0检测出来的  是一键恢复里的文件

zhengxu_1985，你好！
你给的文件
b92743810ef92f8a1da8216927d71f9e   del_gho
很久以前就在白名单中。你联网查杀，应该不会报。
谢谢！

junyangxie

65705960 发表于 2010-12-22 13:21
你这个样本最好发到  

这个帖子主要是解决QVM误报的。

谢谢65705960对大家的提醒。

XMonster

回复 21楼 jason_jiang 的帖子

呵呵   J叔也用QVM了？   误报我还没发现