火绒安全软件

标题: 火绒误报毒，差点导致系统无法启动 [打印本页]

作者: 2884omgpy 时间: 2020-4-11 10:59
标题: 火绒误报毒，差点导致系统无法启动
C:\Windows\System32文件夹中的svchost.exe被认定为触犯文件防护规则和触犯注册表防护规则，火绒安全软件的系统日志中提示该文件为盗号木马，我一开始认为该文件是病毒，就尝试直接删除该文件，结果却显示正在运行，然后我直接用文件粉碎机强制删除该文件，结果第二次启动不了了，也幸亏我还有一台正常的电脑，进入PE系统重新复制了文件后，再重新启动就可以了。这是一个很严重的问题，可能很多人会认为该文件是病毒，实际上它是一个Windows相当重要的文件，误删除后极难恢复（一般人不会记文件名），然后只能重新安装，希望能尽快解决该问题；在系统日志中还误认为Microsoft Edge的运行程序（C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe）是病毒，删除后虽然不会影响到Windows系统，可是会导致Microsoft Edge无法启动。也希望能尽快解决误报的问题。

作者: 2884omgpy 时间: 2020-4-11 11:01
也幸亏我记住了删除文件的名称，且旁边有一台能正常运行的电脑，否则电脑就挂了

作者: 虚妄的妄语 时间: 2020-4-11 11:07
。。不一定是误报啊。。万一中了感染型病毒呢= =。不过那个程序是系统程序就是了。。另外既然火绒提示有病毒，直接用火绒杀毒就是= =楼主为啥要自己强制粉碎程序。。

作者: 奋力拼搏 时间: 2020-4-11 11:16
有一些病毒会注入进正常进程当中，你可以用火绒剑查看加载的模块，就像电脑安装360，360会把进程注入到这其中是同样的道理，病毒木马也可以把病毒注入进程当中，应该点击立即处理，而不是粉碎，楼主不知道是怎么想的☺️

作者: 2884omgpy 时间: 2020-4-11 11:33

虚妄的妄语发表于 2020-4-11 11:07
。。不一定是误报啊。。万一中了感染型病毒呢= =。不过那个程序是系统程序就是了。。另外既然火绒提示有病 ...

我进行过病毒查杀，没扫出来

作者: 2884omgpy 时间: 2020-4-11 11:34

奋力拼搏发表于 2020-4-11 11:16
有一些病毒会注入进正常进程当中，你可以用火绒剑查看加载的模块，就像电脑安装360，360会把进程注入到这其 ...

我这么做过，可是没用，它并没有识别该文件为病毒文件，只是该文件的行为导致火绒误认为该文件是病毒

作者: 2884omgpy 时间: 2020-4-11 11:36

虚妄的妄语发表于 2020-4-11 11:07
。。不一定是误报啊。。万一中了感染型病毒呢= =。不过那个程序是系统程序就是了。。另外既然火绒提示有病 ...

不过现在我复制了另一台电脑的该文件，仍然存在该问题，更何况我把Windows 7的复制到Windows 10上（2个系统的该文件是一样的，否则无法启动），所以现在应该没有病毒（除非Windows 7的电脑也感染了）

作者: 火绒运营专员 时间: 2020-4-11 11:37
您好，麻烦您上传下拦截的日志我们这边确认下，感谢反馈

作者: 2884omgpy 时间: 2020-4-11 11:38

文外缪朴奂发表于 2020-4-11 11:37
Win7的复制到Win10上啊。。。有出问题的可能诶

两个文件是一样的，否则都无法启动，可是现在启动成功了，组件也没有问题

作者: 2884omgpy 时间: 2020-4-11 11:41

火绒运营专员发表于 2020-4-11 11:37
您好，麻烦您上传下拦截的日志我们这边确认下，感谢反馈

【1】2020-04-11 10:17:07,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止

操作进程：C:\windows\system32\svchost.exe
命令行：C:\windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程：C:\windows\system32\services.exe
防护项目：系统任务目录
目标文件：C:\windows\System32\Tasks\ASCU_SkipUac_adm
操作结果：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2020-04-11 10:14:16,安全工具,漏洞修复,未发现漏洞补丁

发现漏洞补丁：0个
已安装漏洞补丁：0个

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2020-04-11 10:14:05,系统防护,系统加固,services.exe触犯注册表防护规则, 已阻止

操作进程：C:\windows\system32\services.exe
命令行：C:\windows\system32\services.exe
父进程：C:\windows\system32\wininit.exe
防护项目：服务/驱动配置项
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AscFileFilter\ImagePath
操作类型：【修改】
数据内容：\??\D:\IObit\Advanced SystemCare Ultimate\drivers\win10_amd64\AscFileFilter.sys
操作结果：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

作者: 虚妄的妄语 时间: 2020-4-11 11:44
本帖最后由虚妄的妄语于 2020-4-11 11:45 编辑

2884omgpy 发表于 2020-4-11 11:41
【1】2020-04-11 10:17:07,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止

操作进程：C:\windo ...

楼主把报毒的日志发出来= =，你这个发的日志不是报毒啊。只是触发了注册表和文件规则而已。而且像服务驱动配置项，火绒默认应该是不勾选的。楼主应该自己更改过？

作者: 2884omgpy 时间: 2020-4-11 11:47

虚妄的妄语发表于 2020-4-11 11:44
楼主把报毒的日志发出来= =，你这个发的日志不是报毒啊。只是触发了注册表和文件规则而已。而且像服务驱动 ...

我为了防止有漏网之鱼，就把所有的都勾选了，我发的这个是全部日志

作者: 虚妄的妄语 时间: 2020-4-11 11:57

2884omgpy 发表于 2020-4-11 11:47
我为了防止有漏网之鱼，就把所有的都勾选了，我发的这个是全部日志

= =所以。。火绒没有报毒啊，，，这不是报毒日志啊，，单纯触发注册表和文件规则的，，有很多种情况，不是只有病毒才会触发。。楼主如果不确定的话还是建议用火绒默认的配置

作者: 2884omgpy 时间: 2020-4-11 11:59

虚妄的妄语发表于 2020-4-11 11:57
= =所以。。火绒没有报毒啊，，，这不是报毒日志啊，，单纯触发注册表和文件规则的，，有很多种情况，不 ...

我以前用过默认的，结果有病毒运行没发现

作者: 虚妄的妄语 时间: 2020-4-11 12:04

2884omgpy 发表于 2020-4-11 11:59
我以前用过默认的，结果有病毒运行没发现

= =可是楼主你这样，直接把系统程序当病毒给删了更不行啊。。还不如用默认的呢。。到时候真中病毒火绒杀不了，可以再找官方帮忙解决

作者: 火绒运营专员 时间: 2020-4-11 14:15

2884omgpy 发表于 2020-4-11 11:41
【1】2020-04-11 10:17:07,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止

操作进程：C:\windo ...

您好，这个不是报毒日志，是触犯系统防护规则的日志，火绒默认设置这两项都是没有勾选的，应该是您自己勾选的，触犯的规则不一定都是病毒，若是都勾选了正常软件也会触犯规则的，若是不清楚防护的是什么，建议您还是恢复默认设置

作者: Nobuchika 时间: 2020-4-11 15:36

2884omgpy 发表于 2020-4-11 11:41
【1】2020-04-11 10:17:07,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止

操作进程：C:\windo ...

第一個和第二個來看，應該沒風險
只是IOBIT的Advanced SystemCare Ultimate觸發的行為，建議保持預設的設定即可。

作者: 奋力拼搏 时间: 2020-4-11 15:52
@2884omgoy，您好，这个火绒是检测到那个文件有恶意行为所以拦截查杀

作者: Nobuchika 时间: 2020-4-11 20:06

奋力拼搏发表于 2020-4-11 15:52
@2884omgoy，您好，这个火绒是检测到那个文件有恶意行为所以拦截查杀

不是，這個是勾選了系統加固內的非預設選項
火絨內置了一部分可選的功能給有需要的用戶使用，觸發時會彈窗，但不是惡意行為

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)