火绒安全软件

动态防御问题反馈
发新帖
打印 上一主题 下一主题

实时监控对syswow64下大量dll报毒

[复制链接]
2987 16
楼主
发表于 2023-1-17 19:31:11 | 只看该作者 |正序浏览 |阅读模式
跳转到指定楼层
日志已打包,被报毒的dll已提取打包,见附件。
今晚突然开始对syswow64下被调用到的dll文件报TrojanSpy/Banker.gg,总共应该是共12个报毒文件。都具有微软数字签名,且Windows defender快速扫描及需要重启的脱机版扫描均没有报告病毒。我认为是误报。但是这些dll权限很高且应该是一直被占用,所以火绒这个报完毒又处理不掉,就不停的报不停的弹……我只能把整个windows/syswow64目录加进白名单。

1.zip

2.41 KB, 下载次数: 7, 下载积分: 金钱 -1

日志txt

样本?.zip

2.8 MB, 下载次数: 11, 下载积分: 金钱 -1

被报毒的dll

回复

使用道具 举报

2987 16
17#
发表于 2023-1-20 09:30:53 | 只看该作者
您好,您的问题已通过远程协助处理完成,后续还有问题及时反馈。
回复

使用道具 举报

2987 16
16#
发表于 2023-1-18 12:53:49 | 只看该作者
LingTian 发表于 2023-1-18 12:46
您好,问题依旧存在,QQ 3020344056

稍后加您,麻烦留意好友验证消息
回复

使用道具 举报

2987 16
15#
发表于 2023-1-18 12:46:24 | 只看该作者
火绒运营专员 发表于 2023-1-18 11:18
您好,您是否目前还有问题现场呢,方便留一下QQ,我们看下嘛?

您好,问题依旧存在,QQ 3020344056
回复

使用道具 举报

2987 16
14#
发表于 2023-1-18 11:18:37 | 只看该作者
您好,您是否目前还有问题现场呢,方便留一下QQ,我们看下嘛?
回复

使用道具 举报

2987 16
13#
发表于 2023-1-18 11:03:21 | 只看该作者
LingTian 发表于 2023-1-17 20:41
好的,文件在这里,https://t.wss.ink/f/aa3q7h1evpk

好的,收到,我们确认一下
回复

使用道具 举报

2987 16
12#
发表于 2023-1-17 21:32:46 | 只看该作者
音速 发表于 2023-1-17 21:24
中感染型病毒了吧,我也用classin,火绒没报。

应该不是,报毒报的不是感染型病毒,而且是更新完病毒库就开始齐刷刷出来的
回复

使用道具 举报

2987 16
11#
发表于 2023-1-17 21:24:22 | 只看该作者
中感染型病毒了吧,我也用classin,火绒没报。
回复

使用道具 举报

2987 16
10#
发表于 2023-1-17 20:41:48 | 只看该作者
火绒运营专员 发表于 2023-1-17 20:27
您帮忙将这个文件提取后打包上传我们看下,若无法上传到论坛可以上传三方网盘我们下载看下的C:\ProgramDa ...

好的,文件在这里,https://t.wss.ink/f/aa3q7h1evpk
回复

使用道具 举报

2987 16
9#
发表于 2023-1-17 20:27:57 | 只看该作者
LingTian 发表于 2023-1-17 20:23
实时监控等级是最低一级,仅在文件执行时扫描。版本信息5.0.73.1,病毒库时间:2023-01-17 17:35,在另一 ...

您帮忙将这个文件提取后打包上传我们看下,若无法上传到论坛可以上传三方网盘我们下载看下的C:\ProgramData\Huorong\Sysdiag\virdb
回复

使用道具 举报

2987 16
8#
发表于 2023-1-17 20:23:44 | 只看该作者
LingTian 发表于 2023-1-17 20:21
我往回看了一眼防护日志,在2023-01-17 18:38:32出现第一个报毒日志开始的7分钟前,18:31:34火绒自动更 ...

好的,可以暂时退出火绒,我们确认一下问题原因
回复

使用道具 举报

2987 16
7#
发表于 2023-1-17 20:23:36 | 只看该作者
火绒运营专员 发表于 2023-1-17 20:21
您好,方便确认一下您当前配置的文件实时监控等级与当前火绒版本信息嘛? ...

实时监控等级是最低一级,仅在文件执行时扫描。版本信息5.0.73.1,病毒库时间:2023-01-17 17:35,在另一条回复里有详细信息
回复

使用道具 举报

2987 16
6#
发表于 2023-1-17 20:21:14 | 只看该作者
火绒运营专员 发表于 2023-1-17 19:33
您好,您提供的信息已收到,我们分析确认看下,感谢反馈~

我往回看了一眼防护日志,在2023-01-17 18:38:32出现第一个报毒日志开始的7分钟前,18:31:34火绒自动更新了病毒库,版本号:5.0.73.1,病毒库时间:2023-01-17 17:35,从这之后就开始不停报毒了,现在火绒在我电脑里开大乱杀,不得不退出火绒……希望尽快解决

升级方式:自动更新
升级结果:成功,版本号:5.0.73.1,病毒库时间:2023-01-17 17:35
下载文件:
        2023-01-17 18:31:33 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
        2023-01-17 18:31:33 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2023-01-17 18:31:33 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2023-01-17 18:31:33 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2023-01-17 18:31:33 C:\ProgramData\Huorong\Sysdiag\db\behav.db
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件:
        2023-01-17 18:31:34 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\db\behav.db
        2023-01-17 18:31:34 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

回复

使用道具 举报

2987 16
5#
发表于 2023-1-17 20:21:02 | 只看该作者
LingTian 发表于 2023-1-17 20:18
您好,问题好像升级了,现在很多东西都报毒,刚才打开classin网课软件,主进程调用的dll全被干掉了

病毒 ...

您好,方便确认一下您当前配置的文件实时监控等级与当前火绒版本信息嘛?
回复

使用道具 举报

2987 16
地板
发表于 2023-1-17 20:18:15 | 只看该作者
火绒运营专员 发表于 2023-1-17 19:33
您好,您提供的信息已收到,我们分析确认看下,感谢反馈~

您好,问题好像升级了,现在很多东西都报毒,刚才打开classin网课软件,主进程调用的dll全被干掉了

病毒名称:TrojanSpy/Banker.gg
病毒ID:733B5C2A776C8CC0
病毒路径:C:\Program Files (x86)\ClassIn\libcurl.dll
操作类型:执行
操作结果:已处理

进程ID:14388
操作进程:C:\Program Files (x86)\ClassIn\ClassIn.exe
操作进程命令行:"C:\Program Files (x86)\ClassIn\ClassIn.exe"
父进程:C:\Windows\explorer.exe
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表