很奇怪的“病毒”样本查杀情况

VIP用户

回复 9楼 luxiao200888 的帖子

看来avast是把这个位置纳入了扫描范围的，建议费尔也这样做，因为已经有病毒在利用这个位置了，扫描这个位置非常有必要。

Filseclab

费尔会对电脑中的所有文件活动进行监控,而不管它是在什么位置.System Volume Information文件夹费尔并没有排除扫描,除非用户手工加入信任.但此目录在NTFS下超级用户帐户默认是没有权利访问,比如你试下用资源管理器也一般是无法打开和访问的,所以当你专门扫描它时会因为权利问题不能发现里面有文件.AVAST应该也没有权利访问和扫描,除非扫描时它用其他方法修改了这个目录的权限.所以这时触发了费尔的监控捕捉到.建议你用管理员帐户登录电脑尝试访问System Volume Information文件夹看能否打开,如果可以再用费尔右键扫描试试.

VIP用户

回复 12楼 Filseclab 的帖子

是超级用户帐户登录的电脑，而且同一台电脑上的同一个位置，avast和费尔的扫描情况也不一样，avast共扫描1172个文件，费尔共扫描1个文件，相差很多。请看截图：

Filseclab

VIP用户 发表于 2011-4-24 22:16
回复 12楼 Filseclab 的帖子

是超级用户帐户登录的电脑，而且同一台电脑上的同一个位置，avast和费尔的扫描 ...

我们会帮你远程协助查看一下原因。

VIP用户

回复 14楼 Filseclab 的帖子

有问题的是一台内网电脑，今天特意查看了这台电脑上的“System Volume Information”文件夹，使用超级用户帐户登录后，居然在资源管理器中没有显示出来，即使取消“隐藏受保护的操作系统文件”，选择“显示所有文件和文件夹”，也还是没有。看来病毒还是没有扫描和清除干净。

VIP用户

回复 14楼 Filseclab 的帖子

13楼的扫描结果是在另外一台电脑上的截图，我要表述的意思是：同一台电脑上的同一个位置，avast和费尔的扫描结果不一样！是否因为这样，内网电脑上的病毒才没有查杀干净呢？

f176712667

w867057887 发表于 2011-4-23 21:04
看起来好怪啊？费尔调用小a当引擎？

是小a把文件调到内存中  而费尔有常驻内存的实时扫描程序

VIP用户

f176712667 发表于 2011-4-25 16:14
是小a把文件调到内存中  而费尔有常驻内存的实时扫描程序

有道理，看来费尔是因此才监控到了System Volume Information文件夹中的文件，这样或许就能解释为什么直接用费尔扫描不到，但是通过avast则监控得到。

如果真这样的话，那么能否说——费尔对系统底层的操控权限，比之avast是有所不同的。

f176712667

VIP用户 发表于 2011-4-25 19:34
有道理，看来费尔是因此才监控到了System Volume Information文件夹中的文件，这样或许就能解释为什么直接 ...

也有可能是设置的问题  有可能费尔的默认设置不不扫描这个文件夹的  

VIP用户

回复 19楼 f176712667 的帖子

但是目前费尔也没有其它更适宜的设置了。。。