病毒上报

【电脑中毒及清理情况说明】
之前在 gmaillpc 网站下载了 `4.18MSTeamsSetup.zip` 安装包，解压运行 exe 后被火绒拦截报毒，信息如下：

病毒名称：Trojan/Generic!88F9E846D5EEE555
病毒 ID：88F9E846D5EEE555
病毒路径：C:\ProgramData\client\Utility.dll
操作类型：修改
操作结果：已处理，删除文件
进程 ID：27584
操作进程：C:\Program Files (x86)\AudioEditor\GameBox.exe
父进程：F:\ 下载目录 \software\4.18MSTeamsSetup\4.18MSTeamsSetup.exe
火绒删除文件后，该安装包仍在后台创建恶意服务，释放了以下文件：

C:\Program Files (x86)\AudioEditor\AweSun_x16_x64_16.3.0.29006.exe
C:\Program Files (x86)\AudioEditor\DuiLib_u.dll
C:\Program Files (x86)\AudioEditor\GameBox.exe
C:\Program Files (x86)\AudioEditor\MSTeamsSetup.exe
C:\Program Files (x86)\AudioEditor\Utility.dll
C:\Program Files (x86)\AudioEditor\config\dynamic\Account.cfg
C:\ProgramData\client\DuiLib_u.dll
C:\ProgramData\client\GameBox.exe
C:\ProgramData\client\Utility.dll
C:\ProgramData\client\config\dynamic\Account.cfg
C:\ProgramData\client\user.dat

（截图如下）


服务


已将样本上传 VirusTotal 分析，文件 SHA-256：
d2a30484f85c438fb223faad06c5cd8ececb2f71d4312404b7f7f8e846e14e14
目前已手动删除所有相关病毒文件，本地未敢保留报毒文件。之后用 360 系统急救箱全盘扫描，**未再检出 Trojan/Generic!88F9E846D5EEE555 这个病毒，但扫描结果里出现了 5 个标记为 “木马” 的文件**：
（截图如下）


想请教一下
1. 从这次扫描结果来看，之前那波 Teams 安装包带来的病毒是否已经彻底清除，电脑是否还安全？
2. 新扫出来的这几个文件，大概率是误报还是有真实风险？
3. 接下来怎么处理会比较稳妥？

您好，您直接把样本上传到附件中，我们让技术给您看下；一般用户安全卫士系统急救强力模式扫描不出来病毒，再用安全卫士的木马吃啥扫描一下，如果也扫描不出来了，就没事儿了

我看了下你的这篇帖子，其实你的思路是很详细的，从你的帖子看，这个地方其实很可疑


正常的msteam不会释放这个文件，awesun是正常的远控工具，释放这个文件明显是不合适的。

另外从友商的查杀报毒结果看，应该是准确查杀到了相关的恶意执行关键文件。而急救箱新扫出的文件，大概率是恶意文件留下的残留项。
接下来依照楼上办法处理即可，有恶意文件随时提交，我们处理