“此文件包含病毒并已被删除”在我构建的可执行文件（和代码签名）上

Posted 2023-02-16

【中文标题】“此文件包含病毒并已被删除”在我构建的可执行文件（和代码签名）上

【英文标题】："This file contained a virus and was deleted" on an executable I built (and code-signed)

【发布时间】：2019-03-31 21:45:25

【问题描述】：

我已经构建了一个需要管理员权限才能运行的 Windows 可执行文件（使用 MSVC++）（它索引文件）；我什至用我购买的代码签名证书对其进行了代码签名。

它在 Win7、Win8 上运行良好，但在 Windows 10 上，如果我从浏览器下载文件，那么我会从 IE/Edge 收到此消息：

此文件包含病毒并已被删除

并且（非超级用户）用户几乎不可能访问 ZIP、解压缩并运行 .exe。 （找到合适的隔离点，将其从隔离区中移除等是非常复杂的；而且对于商业产品来说也是不行的）

这显然是误报（我没有病毒，我用很多杀毒软件检查过，https://www.virustotal.com）。

有什么解决方案？（我以为我已经尽我所能，甚至使用知名 CA 的证书对其进行代码签名）

【问题讨论】：

看起来特定机器感染了 ZeroAccess rootkit 病毒。我建议您尝试使用任何其他 Win10 机器下载相同的文件。如果下载成功，我们可以说您的问题机器存在病毒相关问题。您也可以尝试使用该机器上的其他浏览器来检查它是否允许您下载文件。参考：malwareremovalguides.info/…

@Deepak-MSFT 不，不是，这是从 Microsoft 下载的干净虚拟机：developer.microsoft.com/en-us/microsoft-edge/tools/vms，除了下载我的 .exe 之外，我什么也没做。 （这也很干净）。这显然是误报。

我理解并且我相信您的文件是干净的。安装 VM 后，它有可能被病毒感染。因此，由于这个原因，我想知道您是否能够从其他 Windows 10 机器下载相同的文件。它可以帮助缩小问题的范围。如果您在其他机器上遇到相同的错误，我们可以尝试使用您的有问题的文件进行测试以检查问题。感谢您的理解。

【参考方案1】：

文件被 Windows Defender 检测为文件系统索引器。所有这些文件都可以被视为威胁。您应该 report your file 对 Microsoft 安全。

【参考方案2】：

首先，我建议您检查您是否启用了“实时保护”以及 Windows Defender 设置中的其他设置。 Windows 10 几乎在执行之前通过它运行每个文件（此功能称为 SmartScreen 并包含在 RealTime-Protection 中），所以也许这就是它的原因。

如果它发生得更早，在下载时，那么很可能这是在您的 IE/Edge 设置中。不幸的是，我不知道这些设置的确切位置（如果您知道它们在哪里，请随时编辑此答案），所以我无法为您提供帮助。

如果一切都失败了，请尝试切换到其他浏览器。我自己正在使用勇敢。它是 Chrome 的修改版本，具有一些附加功能，但您可以自行选择。只需确保在设置中也禁用下载保护。快速浏览您的隐私设置通常可以让您更改这些设置。