病毒上报
本帖最后由 王脖颈 于 2026-4-22 13:40 编辑【电脑中毒及清理情况说明】
之前在 gmaillpc 网站下载了 `4.18MSTeamsSetup.zip` 安装包,解压运行 exe 后被火绒拦截报毒,信息如下:
病毒名称:Trojan/Generic!88F9E846D5EEE555
病毒 ID:88F9E846D5EEE555
病毒路径:C:\ProgramData\client\Utility.dll
操作类型:修改
操作结果:已处理,删除文件
进程 ID:27584
操作进程:C:\Program Files (x86)\AudioEditor\GameBox.exe
父进程:F:\ 下载目录 \software\4.18MSTeamsSetup\4.18MSTeamsSetup.exe
火绒删除文件后,该安装包仍在后台创建恶意服务,释放了以下文件:
C:\Program Files (x86)\AudioEditor\AweSun_x16_x64_16.3.0.29006.exe
C:\Program Files (x86)\AudioEditor\DuiLib_u.dll
C:\Program Files (x86)\AudioEditor\GameBox.exe
C:\Program Files (x86)\AudioEditor\MSTeamsSetup.exe
C:\Program Files (x86)\AudioEditor\Utility.dll
C:\Program Files (x86)\AudioEditor\config\dynamic\Account.cfg
C:\ProgramData\client\DuiLib_u.dll
C:\ProgramData\client\GameBox.exe
C:\ProgramData\client\Utility.dll
C:\ProgramData\client\config\dynamic\Account.cfg
C:\ProgramData\client\user.dat
(截图如下)
服务
已将样本上传 VirusTotal 分析,文件 SHA-256:
d2a30484f85c438fb223faad06c5cd8ececb2f71d4312404b7f7f8e846e14e14
目前已手动删除所有相关病毒文件,本地未敢保留报毒文件。之后用 360 系统急救箱全盘扫描,**未再检出 Trojan/Generic!88F9E846D5EEE555 这个病毒,但扫描结果里出现了 5 个标记为 “木马” 的文件**:
(截图如下)
想请教一下
1. 从这次扫描结果来看,之前那波 Teams 安装包带来的病毒是否已经彻底清除,电脑是否还安全?
2. 新扫出来的这几个文件,大概率是误报还是有真实风险?
3. 接下来怎么处理会比较稳妥? 您好,您直接把样本上传到附件中,我们让技术给您看下;一般用户安全卫士系统急救强力模式扫描不出来病毒,再用安全卫士的木马吃啥扫描一下,如果也扫描不出来了,就没事儿了 本帖最后由 瞿小凯 于 2026-4-21 18:31 编辑
我看了下你的这篇帖子,其实你的思路是很详细的,从你的帖子看,这个地方其实很可疑
正常的msteam不会释放这个文件,awesun是正常的远控工具,释放这个文件明显是不合适的。
另外从友商的查杀报毒结果看,应该是准确查杀到了相关的恶意执行关键文件。而急救箱新扫出的文件,大概率是恶意文件留下的残留项。
接下来依照楼上办法处理即可,有恶意文件随时提交,我们处理
页:
[1]