火绒安全软件

标题: 火绒禁用了雷云4 [打印本页]

作者: 2207046947 时间: 2025-3-2 17:18
标题: 火绒禁用了雷云4
打开火绒后雷云4的东西被当作病毒直接删了，打开雷云4就闪退

作者: 火绒运营专员 时间: 2025-3-2 17:21
您好，麻烦您导出一下终端全部的日志我们看下呢

作者: 2207046947 时间: 2025-3-2 17:22
【1】2025-03-02 16:50:00,病毒防护,恶意行为监控,发现未知病毒Trojan/Injector.M!1.1, 已信任

病毒名称：Trojan/Injector.M!1.1
病毒路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作结果：已信任

进程ID：16760
操作进程命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
父进程ID：7656
父进程：C:\Windows\explorer.exe
父进程命令行：C:\WINDOWS\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2025-03-02 16:05:37,系统防护,系统加固,MSIBA34.tmp触犯敏感动作防护规则, 已阻止

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Get-Service -Name VSSrv -ErrorAction Ignore
操作结果：已阻止
进程ID：21612
操作进程：C:\WINDOWS\Installer\MSIBA34.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSIBA34.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_12499515 175 wixca!wixca.CustomActions.PostInstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：6408
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding C54E073DBF63F88FCD946A3F2538E4F2
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2025-03-02 16:05:07,系统防护,系统加固,MSIBA34.tmp触犯敏感动作防护规则, 已阻止

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Stop-Service -Name VSSrv -Force -ErrorAction Ignore
操作结果：已阻止
进程ID：21612
操作进程：C:\WINDOWS\Installer\MSIBA34.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSIBA34.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_12499515 175 wixca!wixca.CustomActions.PostInstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：6408
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding C54E073DBF63F88FCD946A3F2538E4F2
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2025-03-02 15:57:12,系统防护,系统加固,MSID6F0.tmp触犯敏感动作防护规则, 已允许

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Get-Process -Name VSHelper -ErrorAction Ignore
操作结果：已允许
进程ID：23404
操作进程：C:\WINDOWS\Installer\MSID6F0.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSID6F0.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_12048390 55 thxapo!thxapo_ca.CustomActions.PreUninstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：35044
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 1E22415A8851D0354E52106DB44A2E0E
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2025-03-02 15:57:09,系统防护,系统加固,MSID6F0.tmp触犯敏感动作防护规则, 已允许

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Get-Process -Name VSSrv -ErrorAction Ignore
操作结果：已允许
进程ID：23404
操作进程：C:\WINDOWS\Installer\MSID6F0.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSID6F0.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_12048390 55 thxapo!thxapo_ca.CustomActions.PreUninstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：35044
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 1E22415A8851D0354E52106DB44A2E0E
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2025-03-02 15:56:56,系统防护,系统加固,MSID741.tmp触犯敏感动作防护规则, 已阻止

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Get-Process -Name VSHelper -ErrorAction Ignore
操作结果：已阻止
进程ID：20228
操作进程：C:\WINDOWS\Installer\MSID741.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSID741.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_11982890 2 wixca!wixca.CustomActions.PreUninstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：9524
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 5BB5EC369967A347D85CA64B21CB20C7
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2025-03-02 15:56:26,系统防护,系统加固,MSID741.tmp触犯敏感动作防护规则, 已阻止

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy ByPass Get-Process -Name VSSrv -ErrorAction Ignore
操作结果：已阻止
进程ID：20228
操作进程：C:\WINDOWS\Installer\MSID741.tmp
操作进程命令行：rundll32.exe "C:\WINDOWS\Installer\MSID741.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_11982890 2 wixca!wixca.CustomActions.PreUninstallAction
操作进程校验和：7AAC962CA521D0F8ABB1EC057A8DFF32DBF23368
父进程ID：9524
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 5BB5EC369967A347D85CA64B21CB20C7
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2025-03-02 12:57:35,其他,升级日志,自动更新成功，版本号：6.0.5.3

升级方式：自动更新
升级结果：成功，版本号：6.0.5.3，病毒库时间：2025-03-01 15:53
下载文件：
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-03-02 12:57:35 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

作者: 火绒运营专员 时间: 2025-3-2 17:26

2207046947 发表于 2025-3-2 17:22
【1】2025-03-02 16:50:00,病毒防护,恶意行为监控,发现未知病毒Trojan/Injector.M!1.1, 已信任

病毒名称： ...

您好，目前看日志没有删除您的文件，如果相关文件来源可信可以在系统加固对应位置加白操作进程

作者: 2207046947 时间: 2025-3-2 17:27
6,7条禁用了呀

作者: 火绒运营专员 时间: 2025-3-2 17:31

2207046947 发表于 2025-3-2 17:27
6,7条禁用了呀

目前建议您尝试重新访问官网https://cn.razerzone.com/synapse-4下载对应的安装包，本地测试安装雷云软件未出现此问题现象，结合第一条报毒日志，目前不建议您进行信任操作

作者: 2207046947 时间: 2025-3-2 17:32
重启电脑后就无法打开了

作者: 火绒运营专员 时间: 2025-3-2 17:39

2207046947 发表于 2025-3-2 17:32
重启电脑后就无法打开了

麻烦您到官网重新安装一下叭，怀疑您当前安装包来源可能有问题

作者: 火绒运营专员 时间: 2025-3-4 14:33
您好，您那问题解决了吗？有重新安装软件了吗？

作者: 火绒运营专员 时间: 2025-3-6 13:15
您好，您那还有问题吗？

作者: 火绒运营专员 时间: 2025-3-10 13:19
您好，您那当前问题是否解决，未解决的话麻烦您及时联系我们。

作者: 火绒运营专员 时间: 2025-3-10 17:38
楼主您好，一周仍未收到您的回复，您的帖子帮您关闭了，后续有问题麻烦到论坛发新帖，会有专人帮您跟进的，再次感谢您的支持。

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)