瑞星卡卡安全论坛

由于目前杀毒软件行业对病毒的判断基本上是通过特正匹配的方式来实现的，所以偶尔也会出现将一些非病毒文件错误判断成具有病毒特征的文件，如果遇到这种问题，可以在这里回帖，以便能够尽快地上报给瑞星公司，使问题在第一时间解决。具体见下：


回帖的用户请提供一下信息
1.判断错误的文件原样本（需要压缩、加密处理，需要将密码附上，关于原样本的取得方法请看下面贴图）
2.瑞星报的病毒名称（见图片）
3.出现问题时的病毒库版本（见图片）
4.用户发现误判的流程（a.文件监控处理：文件监控发现的病毒；b.网页监控处理：网页监控报出来的病毒；c.主程序扫描处理：利用主程序进行查杀发现的病毒）
5.并且附上查毒时的解图

帖子维护方式：
1.对于一些已经处理的病毒将通知上报用户，并且将帖子删除；对于48小时无反馈信息的用户，也将删贴
2.对于提供信息不全的用户，短时间内可以进行修改，时间长不修改的帖子（信息不全的）（进行删除处理）
3.杜绝一切与此主题无关的帖子

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 1.1.4322)


附件: 92695920071115160226.jpg

继续

附件: 92695920071118103339.jpg

我是一键GHOST的作者葛明阳，最近有网友反映（本人也测试了），在安装一键GHOST硬盘版（070707版）的最一开始，近期的瑞星2007和2008 均误报 wan_lan.exe 文件有病毒，请纠正。


1.判断错误的文件原样本 附件较大论坛限制而无法上传，提供整个软件的地址：http://onlinedown.net/soft/33492.htm
2.瑞星报的病毒名称 Trojan.Win32.Agent.a
3.出现问题时的病毒库版本 20.19.02
4.用户发现误判的流程 文件监控处理：文件监控发现的病毒
5.附图:


———处理中———

附件: 50610720071119211542.gif

遨游浏览器的广告拦截插件AdHunterEnhancer,瑞星说有毒,就把他的AdHunterEnhancer.exe文件删除了,查出来是Backdoor.Win32.Bifrose.bgp这种毒,今天才出现的,这个软件很好用,以前都没有,瑞星拦截了这个插件后就不让它运行了,给我访问网站造成了很大的麻烦.卡巴,江民都没有查出来,就瑞星查出来了,应该是误杀,希望高人帮助在下. 该论坛是http://addons.maxthon.com/post/2007/07/09/adhunterenhancer插件的下载地址是：http://addons.maxthon.com/post/download_url/1274/AdHunterEnhancer.m2p
主程序扫描处理：利用主程序进行查杀发现的病毒
病毒库版本是2007.11.21从瑞星升级到20.19.12版以后开始查出此病毒的，当前病毒库版本是20.19.32当前病毒库日期2007.11.22文件名：AdhunterEnhancer.exe>>fakeupx全路径：C:\Docements and settings\腌牛排＼桌面＼AdhunterEnhancer\AdhunterEnhancer.exe>>fakeupx病毒名：Backdoor.win32.Bifrose.bgp
由于这只能贴一张图那我就把所有信息都写下来．


-----已经解决

附件: 98045120071122151756.bmp

http://forum.ikaka.com/topic.asp?board=38&artid=8397103

这个是病毒？？？？？？



----------请把文件打包发上来

附件: 68741320071122231428.jpg

今天瑞星把我的“Hijackthis”全给卡嚓了~


附件: 84374520071123122513.jpg

这是屏保啊！怎么会是病毒呢？

附件: 96546320071123193946.bmp

还有啊

附件: 96546320071123194041.bmp

把我用来给文件夹加密、隐藏的一个EXE程序当病毒杀了。。

EXE文件名：ulock

显示病毒名称：Backdoor.Win32.Agent.apy

把ulock.exe改为ulock.txt文件上传了~~请拿去~~



现在不报毒

附件: 22625920071124205722.txt

为什么1年前在卡卡论坛置顶贴上下的hijackthis现在却被报毒了?

请看0楼的规定，信息不全，请完善

附件: 45586820071125231915.jpg

重大问题！！！请相关开发人员查看一下
你好，瑞星官方，我们支持软件版权
我们是成都阅通互联信息服务有限公司，我公司主要从事eread阅读器的研发，推广
今天有客户给我们反映，客户在 升级瑞星杀毒软件以后，与我公司的阅读器冲突，出现查杀我公司阅读器，我公司阅读器为自己研发，不包含任何病毒，无任何插件，并与其他杀毒软件均无冲突，只是今日出现次类情况，请瑞星相关人员检查情况

我们的下载地址
http://www.isoshu.com
http://reader.isoshu.com/index_cn.html

我们测算出现的情况：
由于瑞星软件监控开启，下载该软件后，瑞星对本公司安装文件进行查杀，直接将安装包内部部分文件查杀，造成用户安装失败，并在查杀结果中无任何查杀记录，在未安装瑞星的电脑上测试，均为安装正常


由于本问题与本公司经济和声誉相关，希望贵公司能尽快处理!!!



请看0楼的规定，信息不全，请完善

我是用的番茄花园的操作系统的,昨天刚下好用虚拟光驱看了下,就弹出了好多病毒,不知道是不是误杀,我是在番茄花园的下载页上下载的,由于只能上传一张图片所以把图片一起打包上传上来!!



请把现在还报毒的文件发上来，以便确认

附件: 90001520071128192348.rar

我就不上报了,快门的安装程序瑞星可能有时会误报!希望给个方案出来或在以后更新中修复此问题.

这个问题我也早就碰到了，以前我用autoit写脚本程序，编译时采用了UPX壳，结果通通是病毒，我当时想是这个UPX惹的。 于是取消了upx，可是到了2008又报病毒，咔咔，我真是好郁闷......
  另外，我用卡巴扫描了N次都没有病毒，唉！瑞星

以下是autoit文件下载地址：
http://www.autoitscript.com/cgi-bin/getfile.pl?autoit3/autoit-v3-setup.exe
附件超过1M就不上传了

1.无密码

2.C:\Documents and Settings\moonsilver\桌面\Vobson.rar>>Vobson.exe>>upx_c
Trojan.DL.Win32.Small.gkj

3.当前最新版本

4.c.主程序扫描处理：利用主程序进行查杀发现的病毒

未发现报毒

附件: 56700320071130121342.rar

瑞星报Trojan.DL.Win32.Small.gkj

当前最新版本

附件无密码


周一就解决了，20.21.00应该不报了

附件: 56700320071130123256.rar

可怜的老毛桃版pe系统安装exe


20.21.30解决了

附件: 8117392007123134618.rar

Worm.Win32.Agent.yyo删除成功2007-12-5 23:34快捷方式查杀D:\Program Files\World of WarcraftBackgroundDownloader.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:35快捷方式查杀D:\Program Files\World of WarcraftLauncher.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:35快捷方式查杀D:\Program Files\World of WarcraftWoW.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:35快捷方式查杀D:\Program Files\World of WarcraftWowError.exe本机
魔兽世界的4个执行文件都被杀了
版本20.21.31
升级成20.21.32还是一样，刚重新装完魔兽还是被杀掉


你的电脑中了一个感染型病毒，这些都是被感染了，你杀毒时候需要选择清除病毒这样就不会删除整个文件了。建议你做一次全盘杀毒，应该是你的所有文件都被感染了！

附件: 9870552007126200543.jpg

第一条驱动之家下的NVIDIA驱动安装文件里的文件也被杀
主板带的声卡驱动安装完也报病毒
Worm.Win32.Agent.yyo删除成功2007-12-5 23:22快捷方式查杀C:\NVIDIA\Win2k\163.75\ISnvudisp.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:24快捷方式查杀C:\Program Files\Messengermsmsgs.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:24快捷方式查杀C:\Program Files\Realtek\InstallShieldAlcmtr.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:24快捷方式查杀C:\Program Files\Realtek\InstallShieldChCfg.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:24快捷方式查杀C:\Program Files\Realtek\InstallShieldRtlUpd.exe本机
Worm.Win32.Agent.yyo删除成功2007-12-5 23:24快捷方式查杀C:\Program Files\Realtek\InstallShieldSoundMan.exe本机


你的电脑中了一个感染型病毒，这些都是被感染了，你杀毒时候需要选择清除病毒这样就不会删除整个文件了。建议你做一次全盘杀毒，应该是你的所有文件都被感染了！

深山红叶Ｕ盘病毒免疫程序，瑞星２００７一直报有病毒，欲除之而后快，实际上我用了很长一段时间了，请楼主正名。



瑞星报的是什么名字，把你那被报毒的文件发上来

超级兔子IE工具条:

瑞星目前版本:20.22.12

文件:


20.22.22解决

附件: 7699182007121204732.rar

Office 2003 sp3 龙卷风2.3  iso文件里面的setup.exe文件说有病毒
文件监控 时有，解压到硬盘手动杀也有报
瑞星版本 20.22.40
病毒名称  Backdoor.Win32.Bifrose.kt

不知道 是不是真有病毒啊！


该问题已经反馈，20.23版本解决

附件: 52627720071214221314.rar

========Content========
斑竹你好~！！请帮忙看一下子：
最近升级了瑞星的病毒库以后、发现了这样的一个问题……

是一个叫“Fair Use for Windows Media”的软件、之前都还是用得好好的、
就是最近升级了以后出的问题。

程序版本：20.22.42
病毒名称：Worm.Win32.Autorun.jac

该软件双击启动时、瑞星文件监控报警、同时弹出一警告对话框：
“Windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。”
也就是无法启动、（注：登陆的用户权限为admin）。

当禁用监控以后、再启动软件、结果恢复正常、可正常使用！

在此、偶不知道是什么原因：
·瑞星误报？？
·该软件有病毒？？
·偶的系统有毒？？
（为此偶刚重装了系统、装好了后还在安全模式下进行了全盘杀毒的说（无发现病毒））

请斑竹帮忙分析一下子、也请告知这是什么病毒？偶应该怎么办才好？？

麻烦斑竹了~！！

另贴了相关的截图：





问题已经反馈。20.23解决

附件: 3160632007121500728.rar

瑞星报RootKit.CallGate.h

通过扫描

今日最新版本

附件无密码


该问题已经解决，请升级到最新版本

附件: 56700320071219111042.rar

瑞星误报文件

瑞星报Trojan.Win32.Undef.abn

附件无密码

当前最新版本



问题已经反馈

附件: 56700320071222162554.rar

当前最新版本

附件无密码

文件存储器客户端


问题已经反馈

附件: 8070112007122553713.rar

瑞星误报Adware.Win32.AdPop.a


浩方文件里的


通过扫描发现，并且需要解压缩杀毒

20.24.60


附件无密码

不是误报。瑞星报的是广告软件adware，可能是流氓软件之类。

附件: 56700320071231115921.rar

文件名：SnowFall.exe
    病毒名：Trojan.Spy.Win32.Delf.ws

你好，瑞星公司：
　　我想说的附件中的压缩包中的可执行文件并不是病毒，贵公司的杀毒软件出现了误报现象，而用金山、卡巴、诺顿还有NOD32根本不会报病毒的。这是一个Delphi写的一个桌面飘雪程序(用UPX进行了加壳)，包含有资源文件，在运行的时候会将资源文件中的MID音乐文件释放出来。希望你们能好好分析一下，将病毒特征库稍微改一下，不要再让瑞星出现误报。在此，我附上了源代码，以方便贵公司技术人员的分析。
　　另外，无论是否用UPX对此程序进行压缩，瑞星杀毒软件都会将它误认为是病毒。
　　对此，我之前已经将这个文件通过http://up.rising.com.cn/webmail/uploadnew.htm发了几次给你们贵公司，并在其中做了一些建议，但发现你们根本没有看我描述的文字。希望发到ＢＢＳ上能引起你们的关注。
　　因为我不是用瑞星杀软件，所以没办法提供更详细的信息。



问题已解决，20.25.42解决

附件: 999658200814155543.zip

误报软件名称：象棋世家V6共享版

文件名：xqsj2.exe

病毒名：backdoor.win32.rbot.a

瑞星误报版本：　19.56.52



你好，瑞星公司：
　　昨晚由朋友反应，瑞星将象棋世家共享版作为病毒查杀，导致用户无法使用我们的产品，我正好也用瑞星，一切正常，所以立即升级病毒库一试，果然前2天的病毒库没有提示，最新的病毒库报发现 backdoor.win32.rbot.a 病毒，显然将象棋世家作为后门病毒在杀，这次误报是什么原因了？ 首先我用文件扫描功能扫描一下我们的所有产品，结果发现居然是armadillo惹的祸，我们的所有共享版全都是用这个软件加的壳，标准版用另外的软件加壳，结果安然无恙。再作一个实验，把notepad.exe拷贝出来，用arm加一下壳，嘿嘿，果然记事本成了病毒，现在可以确认是arm的原因了。

　　现象棋世家最新版在华军软件园无法更新，通不过他们的软件检测，因此非常紧急，请忙解决，谢谢。

因不能上传超过1M的附件，特附上安装程序下载地址，　不便之处敬请谅解。
http://www.xqsj.org/sjdl/XQSJ_Share_Setup.exe

也可以到象棋世家官方网站　www.xqsj.org 下载。




问题已经解决，请升级到20.26.02