卡巴斯基全方位安全软件，系统监控组件检测到木马程序；但是貌似卡巴斯基被服务被停止，后放过。

[Michael_Eil]

您好

我的应用程序版本 21.2.16.590（c）

10月13日18：00，突然产生锁屏广告，根据相关网页，找到原因：锁屏画报相关程序并卸载，删除 WinAppMgmt服务。
后检索卡巴斯基报告发现：
系统监控（2021/10/12 18:35:56 ）：检测到恶意3个名为Update Module的木马，但是我的电脑没有弹窗提醒和后续记录。
我的卡巴斯基系统监控设置为：检测到恶意软件或其他活动时：终止应用程序；检测到威胁时的操作：阻止操作；回滚。

我看报告发现：
从Starsoftcomm公司软件（电脑内置） 执行的Update Module软件产生一系列程序
应用程序名称：
 【StarSoftComm SafeBox Service Application、
锁屏画报 服务组件 、
 ls_setup.exe、
LSSetup.exe、LSSetup5.exe、
HuiGuanJiaDisableAssistantAutoRun.exe、
CooCare Assistant、
360安全浏览器
Update Module
cchelperBI9MQTXI.exe
Update Module
cchelper6NTWRBEC.exe】（软件主要位于C:\ProgramData\WinAppMgmt文件夹）

结果：导致卡巴斯基反锁屏保护失效，貌似卡巴斯基相关服务组件也被停止。

同时查看之前的报告：发现【文件反病毒组件】：莫名奇妙 停止再启动，处理错误；一些文件损坏。
其他组件（防火墙、ASMI、邮件反病毒、网页反病毒）都有莫名停止，再启动现象。

 

我想知道:(1)我的分析是否正确，同时木马被放过的原因

              （2)卡巴斯基组件，停止再启动的原因

关于某品牌笔记本国行预装系统中内置隐藏软件

建议：全盘扫描等扫描设置，能否整合在总设置中

 

[Yliven]

尊敬的用户您好：

关于您描述的问题,

首先, 卡巴斯基检测了相关威胁并将其处理, 您可以在”隔离区”中查看被处理的文件

卡巴斯基主界面中间下方点击”更多工具”-”隔离”

然后, 请进入卡巴斯基设置界面, 在保护右边点击”应用程序控制” , 点击”管理应用程序”, 在列表中找到”锁屏广告”相关程序文件, 鼠标右键点击”它”,选择”限制”-”不信任组”, 如有多个请重复此操作.

最后, 您看到一些保护组件”停止\启动”, 这种情况一般发生在”系统休眠待机”或”卡巴斯基游戏模式”原因

您也可以再使用观察一下，是否可以找到一些事件规律，我们需要收集卡巴斯基跟踪文件来进一步研究分析。

 

谢谢

[Michael_Eil]

尊敬的用户您好：

关于您描述的问题,

首先, 卡巴斯基检测了相关威胁并将其处理, 您可以在”隔离区”中查看被处理的文件

卡巴斯基主界面中间下方点击”更多工具”-”隔离”

然后, 请进入卡巴斯基设置界面, 在保护右边点击”应用程序控制” , 点击”管理应用程序”, 在列表中找到”锁屏广告”相关程序文件, 鼠标右键点击”它”,选择”限制”-”不信任组”, 如有多个请重复此操作.

最后, 您看到一些保护组件”停止\启动”, 这种情况一般发生在”系统休眠待机”或”卡巴斯基游戏模式”原因

您也可以再使用观察一下，是否可以找到一些事件规律，我们需要收集卡巴斯基跟踪文件来进一步研究分析。

 

谢谢

你好：

我之前检查过隔离区：没有这几个锁屏广告文件；

我在发现锁屏广告后，就将它们全部放入不信任组；

设置中没有勾选启动游戏模式，并且没有使用电脑玩过游戏，和下载游戏程序；并且由于启动反锁屏保护，电脑不会睡眠（现在合上笔记本盖子，除了屏幕关闭，不会睡眠，不会暂停任务。）

1.我观察这几个组件基本同时停止，并且大部分8秒以内，但是有的组件有时长达4分钟，再启动；被安装锁屏广告软件时间段，系统监控组件停止，其他组件反而没停止。

2.这几个组件停止 是 系统用户:NT AUTHORITY\SYSTEM 和 活动用户：DESKTOP 触发
我现在设置了密码保护：暂时正常。同时电脑可能还内置残余厂商流氓软件，有可能是一种原因；我再分析一下，其他电脑的卡巴斯基报告。

3.我把日志上传到上方 1 Attachment新建文件夹.zip

4.这个是我检索的相关网页：关于某品牌笔记本国行预装系统中内置隐藏软件

                              我的卡巴斯基老是被nt authority\system暗中停止任务，请问是不是中了木马了？

谢谢

[Wesly.Zhang]

Hello，

这款软件有无独立的安装源？

[Yliven]

尊敬的用户您好：

首先, 请您先为卡巴斯基程序设置一个密码保护.观察一下是否还会出现组件”停止\开启”的现象,如果依然出现的话, 请您收集卡巴斯基跟踪文件来进行分析.

第一步.

如果您的计算机上有安装其它安全软件,建议您先临时卸载它们,然后重启计算机执行下面的步骤:

请按照下列步骤进行操作：

1.请先下载GSI分析工具：
下载地址：
https://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.2.15.exe
备用下载地址：
https://share.weiyun.com/F9WogJV2
2.使用鼠标右键点击GetSystemInfo.exe，选择“以管理员身份运行”
3.工具运行后，在英文窗口下方点击“Accept”进入程序主界面
4.在程序主界面勾选“Include Windows Event logs” ，然后点击下面的“Start”按钮，程序开始进行扫描工作
5.等待扫描工作结束 （大约需要10分钟左右）
6.扫描结束后会会显示"Resart"，然后直接关闭 GSI 工具窗口（点击右上角的 X）
7.这时，在您计算机桌面上找到生成的报告文件（文件命名格式：GSI6_xxxxxxxxxx.zip）

 

第二步.

首先,通过您的使用观察是否可以在一段固定的时间里复现这个问题吗? 建议时间控制在半小时以内

如果可以的话,请根据下面的步骤操作, 如果无法固定时间请告知我们,
1.打开卡巴斯基程序主界面
2.请点击卡巴斯基主界面左下角的“支持”（一个带耳机的头像）  
3.点击---支持工具（在界面最下方）
4.在“支持工具”界面最下方，点击一次---删除所有服务数据和报告
5.回到“支持工具”界面上方，开启第一项---启用应用程序跟踪，点击保存
6.请手动重启一次计算机，等待卡巴斯基程序启动
7.重新复现问题
8.根据上面的步骤，把“启用应用程序跟踪”关闭
9.继续在当前界面最下面，点击“将报告发送给技术支持”
10.确认最上面两项都已打√，然后点击“在您的计算机上保存报告”
11.任意输入一个名字，选择位置保存，最后将报告发送给我即可

注：文件发送之后，请根据步骤4，点击一次---删除所有服务数据和报告

 

谢谢
 

[Yliven]

补充，如果您根据上面的信息收集了所需的文件，请不要在此回复。

请您务必通过邮件发送给我们，技术支持邮箱：china-support@kaspersky.com

如果跟踪文件相对比较大的话，您可以上传网盘后将分享链接发送给我们。

 

谢谢

 

[Michael_Eil]

Hello，

这款软件有无独立的安装源？

引发这个问题的软件为出厂自带；他下载的广告软件，当我发现问题就将它们全部删除了。

我上方 上传新建文件夹.zip附件,是发现问题两天的日志。可以帮我分析一下吗？

谢谢。

[Michael_Eil]

尊敬的用户您好：

首先, 请您先为卡巴斯基程序设置一个密码保护.观察一下是否还会出现组件”停止\开启”的现象,如果依然出现的话, 请您收集卡巴斯基跟踪文件来进行分析.

第一步.

如果您的计算机上有安装其它安全软件,建议您先临时卸载它们,然后重启计算机执行下面的步骤:

请按照下列步骤进行操作：

1.请先下载GSI分析工具：
下载地址：
https://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.2.15.exe
备用下载地址：
https://share.weiyun.com/F9WogJV2
2.使用鼠标右键点击GetSystemInfo.exe，选择“以管理员身份运行”
3.工具运行后，在英文窗口下方点击“Accept”进入程序主界面
4.在程序主界面勾选“Include Windows Event logs” ，然后点击下面的“Start”按钮，程序开始进行扫描工作
5.等待扫描工作结束 （大约需要10分钟左右）
6.扫描结束后会会显示"Resart"，然后直接关闭 GSI 工具窗口（点击右上角的 X）
7.这时，在您计算机桌面上找到生成的报告文件（文件命名格式：GSI6_xxxxxxxxxx.zip）

 

第二步.

首先,通过您的使用观察是否可以在一段固定的时间里复现这个问题吗? 建议时间控制在半小时以内

如果可以的话,请根据下面的步骤操作, 如果无法固定时间请告知我们,
1.打开卡巴斯基程序主界面
2.请点击卡巴斯基主界面左下角的“支持”（一个带耳机的头像）  
3.点击---支持工具（在界面最下方）
4.在“支持工具”界面最下方，点击一次---删除所有服务数据和报告
5.回到“支持工具”界面上方，开启第一项---启用应用程序跟踪，点击保存
6.请手动重启一次计算机，等待卡巴斯基程序启动
7.重新复现问题
8.根据上面的步骤，把“启用应用程序跟踪”关闭
9.继续在当前界面最下面，点击“将报告发送给技术支持”
10.确认最上面两项都已打√，然后点击“在您的计算机上保存报告”
11.任意输入一个名字，选择位置保存，最后将报告发送给我即可

注：文件发送之后，请根据步骤4，点击一次---删除所有服务数据和报告

 

谢谢
 

密码保护设置后，未出现（不是由我操作）停止现象。以后出现类似问题我再上传。

我上方 上传新建文件夹.zip附件,是发现问题两天的日志。可以帮我分析一下吗？

谢谢。

[Yliven]

尊敬的用户您好：

“新建文件夹”中只是保护组件状态的常规信息记录，对您的问题分析很有限，具体分析还需要更加详细的报告文件。

 

谢谢

[Michael_Eil]

尊敬的用户您好：

“新建文件夹”中只是保护组件状态的常规信息记录，对您的问题分析很有限，具体分析还需要更加详细的报告文件。

 

谢谢

自从设置卡巴斯基密码保护，查询报告没有异常。如果以后出现异常，我再进行报告文件分析上传。

谢谢。