病毒问题

性质

具体情况

收集信息

已知

病毒

处理

成功

感染型

文件损坏、无法运行

感染前的文件、感染后的文件或者病毒母体，病毒日志

反复被检测

病毒日志，反复被检测的文件

要求分析病毒行为

原始样本或隔离文件

非感染型

反复被检测

隔离文件，ATTK，病毒日志

宏病毒清理后报错

原始样本，病毒日志

病毒行为分析

原始样本或隔离文件

处理

失败

感染型

清除失败，被隔离

样本文件或隔离文件，病毒日志

非感染型

隔离失败

样本文件，病毒日志

CRYP,POSSIBLE等

样本文件，病毒日志

宏病毒被隔离

原始样本或隔离文件

MBR病毒

MBR DUMP，病毒日志

未知

病毒（疑似）

网络异常，怀疑ARP

抓包，对异常主机（流量大等问题）抓取ATTK

某些进程占用异常

ATTK，进程文件，相关进程信息

CAD运行异常

DWG所在目录中lsp,fas,vlx,mnl文件

明显恶意行为

ATTK，可疑样本，异常情况描述或截图

第三方平台检测

样本文件，检测报告（可选）

误报

特征码误杀

原始样本或隔离文件

垃圾

邮件

正常邮件被拦截或举报

提交邮件样本（邮件另存为msg,eml格式）

URL

问题

URL被拦截或者举报

提交URL链接

备注：

感染型病毒

多指检测名为PE开头的病毒。感染型指在正常文件中插入恶意代码，多数情况下可以通过“清除”措施清除恶意代码，修复正常文件。注：一般-O结尾的PE是母体文件，无法清除，只能隔离。

执行文件被破坏

感染前的文件（可以从其他没感染的机器或者原始安装包中提取），感染后的文件（隔离目录下）或者病毒母体。

宏病毒清除后打开异常

收集样本，可以先设置一个例外目录，创建一个新的Office文件，打开文件，保存关闭，将文件加密压缩发送给我们。

宏病毒被隔离

必须提供原始样本文件，确保样本未被产品或者第三方检测，发送时注意加密压缩。

网络异常，怀疑ARP

使用Wireshark在故障出现时抓包，提交前请注意加密压缩。