更新:截至 3 月 4 日似乎已解决。
即使在重新访问原始问题中链接的站点后,我仍能够删除旁路(Defender 中的路径排除)并执行没有恶意软件检测的备份。
Mozilla 已经关闭了相关错误他们认为这是假阳性,这也是我的观点。
微软似乎没有发布任何权威信息关于更新恶意软件签名。他们的独立顾问提供了许多预先格式化的建议(似乎没有考虑到可能存在误报)。
原始帖子
12 月下旬,Windows 10 备份(旧版 Windows 7)在 VSS 快照创建步骤开始失败,因为 DefenderHTML/Phish!pz在 Firefox 的缓存文件夹中报告。
例如访问https://www.math.wustl.edu/~freiwald/309fibonacci.pdf系统地创建一个缓存条目1C7517ACB77A3721AE2BFD9CB54A965ABF7DC7FC,该条目在快照中被标识为包含恶意软件。
(文件夹HTML/Phish!pz中的恶意软件\Device\HarddiskVolumeShadowCopy32\Users\*\AppData\Local\Mozilla\Firefox\Profiles\*\cache2\entries)
这似乎是 Defender 的问题,而不是 Firefox 或 Backup 的问题。ESET 在线扫描程序没有发现恶意软件。可能是误报,尚未得到 Microsoft 的确认。
我的问题
为什么在缓存文件夹中创建文件时 Defender 看不到感染,而只有当备份使用卷影卷中的副本时才能看到?
是否有合理的方法来进一步调查这个问题,并确认该恶意软件是真实的?
可选:是否存在比 HTML/Phish!pz 更好的恶意软件描述MS 描述其中没有描述动作模式。
额外细节
在我进行的测试中,Defender 仅在卷影副本中看到此恶意软件签名,特别是在 Firefox 缓存文件夹中。
Defender 在原始缓存条目中未发现威胁。
创建符号链接以访问卷影卷并扫描快照后,Defender 没有看到任何恶意软件。
无论扫描类型如何(即时扫描、完整扫描、离线扫描),都会发生这种情况。
删除快照没有帮助,因为下次备份时会创建具有同样问题的新快照。
临时解决办法
可能的解决方法是排除cache2文件夹在快照中来自 Defender 范围,具有通用路径。由于快照不在通常的命名空间中,因此无法使用 Defender UI 添加排除,必须使用 Powershell:
Add-MpPreference -ExclusionPath \Device\HarddiskVolumeShadowCopy*\Users\*\AppData\Local\Mozilla\Firefox\Profiles\*\cache2.
谢谢@勤劳的人提到 PS 命令。别忘了删除此排除当不再需要时。cache2用户配置文件中的原始文件仍会被扫描,因此被视为安全。但是,在创建快照后,可能会故意将真正的恶意软件文件添加到此不受监控的文件夹中,因此如果出于任何原因要恢复此快照,建议不要恢复此特定cache2路径。
答案1
此问题是 Windows Defender 的误报检测。当 Windows 10 备份(旧版 Windows 7)使用 Firefox cache2 文件夹构建 VSS 映像时,会创建“病毒签名”。在 2023 年 12 月的最后一周,Defender 恶意软件模式开始在生成的 VSS 映像中“检测”Trojan:HTML/Phish!pz。Microsoft 需要修复此误报。
我的解决方法是为 VSS 映像添加 Windows Defender 排除项。GUI 不允许输入 VSS 路径,因此必须使用 Powershell 命令行“Add-MpPreference”添加。我使用的这个排除项会排除所有 VSS 映像,因为我通常扫描整个文件系统。如果您只想排除 Firefox cache2,则可以使路径更具体。以下是命令
PS C:\> Add-MpPreference -ExclusionPath "\Device\HarddiskVolumeShadowCopy*\"
应用排除后,备份再次正常完成。
答案2
这更多的是一种权宜之计,而不是解决方案
您只能删除包含恶意文件的卷影副本:
vssadmin list shadows /for=c:
vssadmin delete shadows /shadow="shadowID"
# for example:
vssadmin delete shadows /shadow="{7d910f50-b963-48d5-92ef-ca546ba32cc2}"
就我而言,我遇到了与您完全相同的问题:Firefox 缓存。以下是我所做的:
- 使用上述命令删除了卷影副本
- 设置 Firefox 在关闭时删除缓存。可在“设置”->“隐私和安全”->“历史记录”中找到
- 关闭 Firefox
- 确保该
cache2目录不存在于我的个人资料中。%localappdata%\Mozilla\Firefox\Profiles - 再次运行备份
如果您像我一样手动运行备份,这可能会有所帮助,但当它自动运行时,不幸的是这不会有太大帮助。
我还向微软提交了报告https://www.microsoft.com/en-us/wdsi/filesubmission/我希望他们能够解决这个问题。
答案3
我根据编辑请求重写了此答案。我遇到了同样的问题。我没有解决方案。我正在分享我为消除受影响的影子文件的创建而进行的失败尝试。保护历史报告:
检测到:Trojan:HTML/Phish!pz 状态:失败 详细信息:此程序很危险,会执行攻击者的命令。
受影响的项目文件:
\Device\HarddiskVolumeShadowCopy97\Users\Reynold\AppData\Local\Mozilla\Firefox\Profiles\jfrgi35u.default-release\cache2\entries\02907D376A10490DAA61D7FF40D1C11C9258A268
命令
vssadmin 列出阴影
显示所有 6 个驱动器上的所有影子文件,包括C:驱动器上受影响的第 97 个。
命令
vssadmin 调整 shadowstorage /for=C: /on=C: /maxsize=401MB
删除了该文件,如下命令所示
vssadmin 列出阴影 /for=C:
该报告报告在 C: 上未找到任何项目。
此时,C: 驱动器显然没有影子文件。现在我运行备份,备份将进入 E: 驱动器。备份软件是备份和恢复实用程序 (Windows 7)。我的操作系统是 Windows 10。此备份实用程序的第一步是创建影子文件。在创建影子文件时,它会包含或吸收文件特洛伊木马:HTML/Phish!pz。在备份完成之前,检测到病毒并中止备份。Defender Protection History 显示文件存在,文件路径相同,但卷影副本有新编号。
我多次运行完整的在线扫描、C: 上的自定义扫描和离线扫描。它们无法解决已存在约 10 天的问题。
附加信息 2023 年 1 月 17 日。我与 Microsoft 进行了两次长时间的聊天。他们说这是一个实际威胁,而不是误报。他们规定的任何步骤都没有消除它。Thurion 的程序对我有用。我进行了手动备份,然后进行了自动备份——两次都成功了。
答案4
这不是一个答案,但我花了太多时间来解决 MS/Mozilla 可能解决的问题,以解决 Firefox 的误报问题。(MS 可能不会 - 见下文)
我有与报告完全相同的症状 - 我的解决方法是:
- 用 Sophos 替换 Defender,当 Defender 不是一个好的解决方案并且我仍然拥有家中其他盒子的许可证时,Sophos 是我选择的安全套件。
- 安装 Veeam 社区版(免费,单个盒子也可以)
现在这不是一个完整的测试。我没有完全验证 Veeam 是否可以与 Defender 和 Firefox 配合使用(没有理由认为它会起作用),也没有验证 Sophos 单独是否可以起作用:
- 在使用 Windows 7 备份时,Sophos 似乎在~97% 处陷入停滞 - 因此我终止了备份并安装了 Veeam - 但这可能会让我不耐烦。
- 尚未禁用 Sophos 来验证 Defender 是否可与 Veeam 兼容,但我对此表示怀疑。
Veeam 备份在系统映像阶段(96-99%)也略微陷入停滞,但运行完成,并且隔夜更新也顺利运行。
当然,也可能是 MS 最终放弃了它。他们在 1709 年就弃用了它。这很烦人,因为在此之前它确实有效 - 至少上次我不得不使用它时它是有效的。
系统映像备份 (SIB) 解决方案 此功能也称为备份和还原 (Windows 7) 旧版控制面板。对于全盘备份解决方案,请寻找其他软件发行商的第三方产品。您还可以使用 OneDrive 将数据文件与 Microsoft 365 同步。1709