【发布时间】:2018-05-14 12:15:44
【问题描述】:
我团队中的一个人发现他们的 VB6 IDE 不再工作。我们最终意识到文件 VB6.EXE(来自 C:\Program Files (x86)\Microsoft Visual Studio\VB98)丢失,这是因为 Symantec Endpoint Protection (14) 已将其删除,原因是 WS.Reputation.1 (在 Symantec 日志中注明)。
我尝试从另一台 PC 复制回 EXE,您可以在复制后的几秒钟内看到文件从资源管理器中消失。失败。
这只发生在这台 PC 上。这里的每个人都在使用 VB6 并且具有相同的防病毒软件,所以令人困惑的是为什么它只发生在一个人身上。
这台 PC 是否有某些独特的因素导致了这种情况?如果是(或者如果不是......)我们如何解决这个问题?**
其他细节:
- 新电脑,使用时间约 2 周
- VB6 之前一直在工作
- Windows 10
- Symantec Endpoint 版本 14,企业环境/集中管理
赛门铁克的 WS.Reputation.1 文档:
WS.Reputation.1 是对信誉低的文件的检测 得分基于对赛门铁克用户社区数据的分析和 因此很可能存在安全隐患。这种类型的检测是 基于赛门铁克基于信誉的安全技术。因为这 检测基于信誉分数,它不代表 特定类别的威胁,如广告软件或间谍软件,而是适用 所有威胁类别。
基于声誉的系统使用“群众的智慧”(赛门铁克的 数千万终端用户)连接到基于云的智能 计算应用程序的信誉分数,并在此过程中 以超越传统的全新方式识别恶意软件 签名和基于行为的检测技术。
【问题讨论】:
-
避免使用赛门铁克产品的另一个理由。反恶意软件基于一种旨在通过巨魔部落和机器人农场进行博弈的机制做出决策的想法是荒谬的。我们从 .Net 巨魔社区获得了足够的信息。
-
但问题是它不是那样做的,不管他们声称什么。我和一个客户有同样的问题,这个程序存在于地球上的两台机器上,我的和他的。当我在其他安装了完全相同的 Symantec 的机器上对其进行测试时,它运行良好。这显然是基于一些关于应用程序安装方式和位置的内部启发式方法,与任何“声誉”无关。
-
我想说赛门铁克是我的救命稻草。我从一个阴暗的网站下载了一些后门文件,这些文件感染了我计算机上所有正在运行的文件,而那些受感染的运行文件会感染新的正在运行的文件,使所有我计算机上的文件(exe/dll)已损坏.. 没有病毒扫描程序可以检测到这个病毒不是 Kaspersky/ESET/NOD32/Avast 他们都没有.. 只有赛门铁克,它也是
WS.Reputation.1我不知道是什么样的病毒一直存在,直到我使用 HexCmp 将我的文件与备份文件进行比较,发现它在每个文件的底部添加了一个 PE MZ 标头.. 并损坏了每个文件 EP -
@SSpoke 我一般并没有贬低赛门铁克。可能是他们现在已经充分改进了对 WSR1 的检测。