很奇怪的“病毒”样本查杀情况

显示全部楼层 · 发表于 2011-4-23 20:25:09

如题，最初发现的“病毒”样本隐藏在名为“System Volume Information”的文件夹中，直接用费尔是扫描不出来的，可是当用avast扫描时，费尔却能够监控到，但是avast却没有任何警报。也就是说，单独用avast查不出这个“病毒”，单独用费尔也查不出，只有用avast扫描时费尔才能监控到这个“病毒”。当把这个“病毒”提取到新建文件夹中后，费尔立刻就能监控到了，不过avast依然没有任何警报。估计费尔对一些特定位置，比如这个名为“System Volume Information”的文件夹，没有主动深入监控和扫描。之所以用引号括住病毒这两个字，是因为费尔报告的是广告程序。

显示全部楼层 · 发表于 2011-4-23 21:04:31

看起来好怪啊？费尔调用小a当引擎？

显示全部楼层 · 发表于 2011-4-23 21:19:10

回复 2楼 w867057887 的帖子

费尔没有调用avast，因为费尔在内网上的一台电脑反复报监控到病毒，却总是查杀不干净，所以才又安装了avast，结果用avast 扫描时费尔监控到了这个隐藏的病毒。所以才对费尔的监控有疑惑。。。

显示全部楼层 · 发表于 2011-4-23 23:54:48

我也在困扰System Volume Information……
虽然没用费尔

显示全部楼层 · 发表于 2011-4-24 00:01:02

本帖最后由 whf20 于 2011-4-24 00:03 编辑

System Volume Information这个文件夹里存储着系统还原的备份信息。病毒利用“System Volume Information”文件夹自动生成的原理（且无法禁止该文件夹自动生成），进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面，然后把加壳加密的病毒下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。所以造成反复查杀感染。至于如何彻底查杀这种病毒，要看你的文件系统是NTFS还是FAT32。

显示全部楼层 · 发表于 2011-4-24 00:06:13

回复 5楼 whf20 的帖子

不理解的是，为何avast能够扫描到System Volume Information，费尔却不能，但是avast扫描时费尔又能监控到病毒并能够清除。

显示全部楼层 · 发表于 2011-4-24 01:09:38

不監控System Volume Information

显示全部楼层 · 发表于 2011-4-24 08:17:09

只要关闭系统还原，这个文件夹里的病毒就会被清除掉的。费尔并不监控这个文件夹，大概也是这个原因。

显示全部楼层 · 发表于 2011-4-24 09:30:53

这是个系统备份文件夹
其实很多杀软为了提高效率都是排除扫描和监控该文件夹的（开启备份功能时，该文件夹不可清除），这里面的东西在你不还原操作的情况下没有什么影响
估计费尔扫描是排除了这个文件夹，监控的时候是因为avast扫描触动了

显示全部楼层 · 发表于 2011-4-24 13:50:48

回复 8楼 JillPal 的帖子

如果真是这样，那就给病毒留下了隐藏的场所，费尔应该把这个位置加入扫描范围，避免漏查。

[费尔] 很奇怪的“病毒”样本查杀情况

本帖子中包含更多资源