我现在真的很担心。我从 Defender (Windows 11) 收到以下消息:
我到目前为止尝试过的:
移除甚至隔离的措施都不起作用。
Defender 离线扫描、Malwarebytes 和 MSERT 没有发现任何内容,但 Defender 完整扫描再次提出了这个问题。
现在,这个文件夹有点神秘,因为似乎没有来自微软的官方信息。即使使用“显示隐藏项目”,也无法访问。在管理员模式下使用 CMD,它只会显示拒绝访问。
我的问题:
这可能是误报吗?另一方面,我发现系统出现了一些奇怪的卡顿现象,我最初以为是 Phone Link 软件的问题。
除了重新设置系统外,我还能尝试其他什么吗?但即便如此,其他文件也可能被感染,然后一切又会重新开始……
谢谢
更新
我使用三种不同的扫描仪(clamav、eset 和 f-secure)从干净的 Linux 系统扫描了计算机,并配备了最新的签名,但什么也没发现。确实很奇怪。仍然不知道该怎么办。
更新 2
现在,即使 Defender 全面扫描也找不到它。而且我两次 (!) 收到完全相同的消息!非常奇怪。难道保护历史记录有问题?
答案1
Detected: Trojan:Win32/Wacatac.B!ml
这通常是误报。事实上,我可以在我的电脑上编译 VB exe,Windows Defender 会立即尝试使用此检测删除/隔离它。我已将此类文件提交给 Microsoft,无一例外地收到通知,这确实是误报。
此类文件的检测基于一套非常松散的规则。例如,规则集可以是 3 条规则中的 2 条匹配项的组合:(1) 通用文件名(例如 SQOTT.exe)、(2) 缺少数字签名和 (3) 被打包的可执行代码。
如果 Defender 或其他恶意软件扫描程序无法再找到它,那么这个“威胁”如果曾经存在,现在也已经消失。
一旦 Defender 检测到可疑文件并且您尝试删除它,您很容易发现自己陷入了困境,但我认为此时您不必太担心这种检测。
为了摆脱这个文件,我建议禁用实时监控>清空回收站>重新启用实时监控。
如果该文件确实存在,并且作为最后的手段,您可以使用 DMDE 磁盘编辑器的免费版本。
选择驱动器,然后选择包含该文件的卷。> 现在单击“打开卷”。您想要的文件位于特殊的 MetaData 文件夹中。查看是否存在,如果存在,则继续删除该文件。
如果没有,请单击“全部找到/虚拟文件系统”> 在对话框中,您应该选择纯 FS 重建和包含删除 > 确定。现在再次检查您要删除的文件是否存在。
正在删除文件。选择文件>工具>NTFS工具(写入模式)>删除文件/空目录..按照提示启用写入模式。
关闭 DMDE 并运行 chkdsk。
答案2
病毒:Win32/Wacatac.B!ml 确实是恶意软件:
该病毒通过将其代码附加到您的 PC 或网络上的其他文件来传播。一些受感染的程序可能无法再正常运行。
Microsoft Defender Antivirus 检测并删除该程序。
Defender 已成功检测并修复了该问题。由于该文件当时正在使用中,因此被移至$Deleted
文件夹中,直到下次重新启动时释放打开的文件句柄。
一开始这可能是误报,但谨慎起见,应该像您一样使用多种防病毒产品仔细扫描系统。您什么也没发现,但我建议继续定期扫描以防万一。
该文件可能在下次重启后被删除并且不再存在,因为在后续扫描中未找到该文件,但通知仍然保留在 Defender 的检测历史记录中。
您可以通过清除 Defender 的保护历史记录来消除误报,如下所示:
以安全模式启动 Windows
运行 Explorer 并导航至:
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service删除子文件夹“检测历史”(或出于安全考虑暂时重命名)
正常重启。
当下次检测到恶意软件时,Windows 将重建检测历史记录。