Jump to content

Recommended Posts

Posted

看了报告,显示“未处理对象,已跳过”,也不告诉是哪个文件,哪个进程释放的病毒。

2022-07-09_091213.png

Posted

尊敬的用户您好:

如果该问题可以稳定复现的话,请您收集两份日志发送给我们。

技术支持邮箱:*****@*****.tld

日志一:

请按照下列步骤进行操作:
1.打开卡巴斯基程序主界面
2.请点击卡巴斯基主界面左下角的“支持”(一个带耳机的头像)  
3.点击---支持工具(在界面最下方)
4.在“支持工具”界面最下方,点击一次---删除所有服务数据和报告
5.回到“支持工具”界面上方,开启第一项---启用应用程序跟踪,点击保存
6.请手动重启一次计算机,等待卡巴斯基程序启动
7.重新复现问题-等待威胁再次被检测
8.根据上面的步骤,把“启用应用程序跟踪”关闭
9.继续在当前界面最下面,点击“将报告发送给技术支持”
10.确认最上面两项都已打√,然后点击“在您的计算机上保存报告”
11.任意输入一个名字,选择位置保存,最后将报告发送给我即可

注:文件发送之后,请根据步骤4,点击一次---删除所有服务数据和报告

日志二:

请按照下列步骤进行操作:
1.请先下载GSI分析工具:
下载地址:https://media.kaspersky.com/utilities/ConsumerUtilities/GSI6.2.2.24.exe
备用地址:https://box.kaspersky.com/f/37bee8516eb54a0f9e5d
2.找到下载的GetSystemInfo.zip并解压缩 
3.使用鼠标右键点击GetSystemInfo.exe,选择“以管理员身份运行”
4.工具运行后,在英文窗口下方点击“Accept”进入程序主界面
5.在程序主界面勾选“Include Windows Event logs” ,然后点击下面的“Start”按钮,程序开始进行扫描工作
6.等待扫描工作结束 (大约需要15分钟左右时间)
7.扫描结束后在您计算机桌面上找到生成的报告文件(文件命名格式:GSI6_xxxxxxxxxx.zip)
8.关闭 GSI 工具窗口(点击右上角的 X)
9.最后请将报告文件发送给我们来进行分析

 

谢谢

Posted

不能稳定复现,感觉一个月才出现个一两次,隐藏得挺深。

关键是显示的“未处理对象,已跳过”太过分了,说得好像是我不让你们处理似的,这种后门病毒肯定是要立即处理的啊。

Posted

尊敬的用户您好:

由于此威胁检测的路径位置比较特殊为“系统内存”,所有相对的处理动作是不同的。

如果您哪里再次发生这个问题的话,请尝试根据上面的步骤,开启卡巴斯基跟踪,然后尝试将卡巴斯基程序退出,重新启动。然后进行一次“快速扫描”,是否可以检测到此威胁。同时再使用 GSI 工具生成一份日志一起发送给我们。

 

谢谢

 

Wesly.Zhang
Posted

Hello, @request

请注意这个 Gulpix 类的恶意黑客工具,它会使用未经授权的访问并控制计算机。请问你系统内除了使用卡巴斯基产品外,是否还有其他安全软件在运行?通常一些安全软件会使用相同的技术来控制监控计算机。此时卡巴斯基产品可能会发生误报或者并非误报,具体要了解一些系统环境。

  • 9 months later...
Posted

@Wesly.Zhang 您好,看了您的提醒,想请教一下这个问题,有多大可能是卡巴斯基和火绒安全的软件冲突造成的误报?

本人今日遇到了与本主题用户完全一样的情况,在系统内存中检测发现并且被卡巴斯基跳过,显示为MEM:Backdoor.Win32.Gulpix.gen的病毒,此为迄今为止第一次发现。另外,过去曾经卡巴斯基在内存中不定期(大约三个月到半年会出现一次)检测出Trojan.Win32.SEPEH.gen的木马,全盘查杀同样一无所获,无法稳定复现,不能确定是否与之相关。

本人的操作系统为自动跟新的win10,Windows defender和卡巴斯基日常自动跟新到最新,当时出现MEM:Backdoor.Win32.Gulpix.gen提醒时,正在使用firefox浏览器浏览网页并且通过该浏览器下载文件。同时电脑有安装 火绒安全(自动开机,和卡巴斯基一样),但是火绒并未报毒,(另外之前出现SEPEH木马时火绒也并未有任何报毒木马之类提示)。

目前全盘扫描未发现任何相关病毒,而刚刚漏洞扫描完成,卡巴斯基提醒易感染应用有两个,分别为7Z.exe和chrome.exe

另外,根据卡巴斯基自己数据库的提示,可以使用AVP.exe清除Backdoor.Win32.在电脑Windows文件夹中的server component,(https://threats.kaspersky.com/en/threat/Backdoor.Win32.RA-based/)

如果不是安全软件之间的冲突造成的误报,请问这种方法是否可以对Backdoor.Win32.Gulpix.gen同样有效果?

感谢您的时间

Wesly.Zhang
Posted

Hello,

移除其他安全软件后在观察是否有这个检测出现。

Posted
6 hours ago, Wesly.Zhang said:

Hello,

移除其他安全软件后在观察是否有这个检测出现。

好的?

  • 5 months later...
Posted

@

On 4/21/2023 at 2:35 AM, Wesly.Zhang said:

Hello,

移除其他安全软件后在观察是否有这个检测出现。

您好,经过接近半年的运行,在禁用火绒部分功能或者完全卸载,仅保留卡巴斯基的情况下,卡巴未再复现MEM:Backdoor.Win32.Gulpix.gen或Trojan.Win32.SEPEH.gen之类报毒提示。可能之前确实是由不同杀毒软件的一些组件存在冲突造成误报。

  • 1 year later...
qwming6596
Posted

我的电脑曾经安装了火绒剑,后来卸载火绒剑,安装卡巴斯基之后,一直会报MEM:Backdoor.Win32.Gulpix.gen,每天都会提示,还会强制杀毒自动重启。但是根本没有用这个错误依旧存在,我应该如何解决或者忽略,它太频繁了

Wesly.Zhang
Posted
On 11/15/2024 at 9:41 PM, qwming6596 said:

我的电脑曾经安装了火绒剑,后来卸载火绒剑,安装卡巴斯基之后,一直会报MEM:Backdoor.Win32.Gulpix.gen,每天都会提示,还会强制杀毒自动重启。但是根本没有用这个错误依旧存在,我应该如何解决或者忽略,它太频繁了

Hello,

单独火绒剑,你需要卸载它加载的驱动后再删除独立版本的火绒剑。

qwming6596
Posted
于 2024 年 11 月 22 日下午 3:09,Wesly.Zhang 说:

你好

单独火绒剑,你需要卸载它加载的驱动后再删除独立版本的火绒剑。

之前我删除了sysdiag.sys hrwfpdrv.sys,这两个文件之后再卸载的火绒剑。不知道是否正确,好像并没用。现在因为这个经常报毒重启现在我都不太敢开启卡巴斯基了😭

Posted (edited)
1 hour ago, qwming6596 said:

之前我删除了sysdiag.sys hrwfpdrv.sys,这两个文件之后再卸载的火绒剑。不知道是否正确,好像并没用。现在因为这个经常报毒重启现在我都不太敢开启卡巴斯基了😭

试下autoruns工具,管理员权限运行,找到service 和 driver两个,看下有没有火绒和其他杀软的信息,删掉。重启。

https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns

Edited by Xzz123
add link for autoruns

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...