火绒这是在发什么疯，居然把 Python 给报毒了

为什么就不能是你确实中了毒，感染了 Python 的文件呢？

病毒它非得叫 virus.exe 吗？之前确实见过病毒伪装成 python 的

加密压缩发出来看看呗，

去网站 www.virustotal.com 上查一下这个文件，可以输入文件的 md5/sha1 ，如果没找到就把文件传上去，看看世界上其他杀软的检测结果，如果那些著名的杀软都不报毒，说明火绒误报了

@iNarcissuss

检查下你的原始的 python 安装包中的 python311.dll 的 md5 和你这个被处理的 python311.dll 的 md5 是不是一样。不一样的话问题就来了。

https://www.python.org/ftp/python/3.11.1/python-3.11.1-embed-amd64.zip 中 python311.dll 的校验结果



MD5 a72993488cecd88b3e19487d646f88f6

SHA1 5d359f4121e0be04a483f9ad1d8203ffc958f9a0


SHA256 aa1e959dcff75a343b448a797d8a5a041eb03b27565a30f70fd081df7a285038


SHA512 c895176784b9ac89c9b996c02ec0d0a3f7cd6ebf653a277c20dec104da6a11db084c53dd47c7b6653a448d877ad8e5e79c27db4ea6365ebb8ca2a78aa9c61b38

卡巴斯基倒是报过 Node.JS 生成文件的毒，几个月没用了不知道现在修复了没有

我这也有，完整的日志是这样的

病毒名称：Trojan/Generic!D909BF3841677271
病毒 ID：D909BF3841677271
病毒路径：C:\Python311\python311.dll
操作类型：执行
操作结果：已处理，删除文件

进程 ID：26472
操作进程：C:\Python311\python.exe
操作进程命令行：C:\Python311\python.exe -c "import os, os.path, sys; normalize = lambda p: os.path.normcase(os.path.normpath(p)); cwd = normalize(os.getcwd()); orig_sys_path = [p for p in sys.path if p != \"\"]; sys.path[:] = [p for p in sys.path if p != \"\" and normalize(p) != cwd]; import sys, json; json.dump(dict(major=sys.version_info[0], minor=sys.version_info[1]), sys.stdout)"
父进程：C:\Users\liyon\AppData\Local\Programs\Microsoft VS Code\Code.exe

与这个无关，想起来之前有人做测试，python 代码里有 shellcode 字样就被报了毒。。
估计你这个是做了什么他觉得危险的行为？

你可以去火绒论坛反应啊，他们迭代的速度挺快的

这是木马感染了 python 的执行文件, 我之前遇到了一个木马感染了非常多的其他 exe 文件

楼主是典型的 360 用户思维，你快别用杀软了

@KIRAYOMATO 根据这个截图，应该是火绒误报了，你电脑里的 python311.dll 根本不是病毒，如果你勤快一点，可以通过客服或者其他渠道反馈给火绒，让他们去掉这个误报，等着他们的病毒库更新以后，就不会报毒了，如果懒一点，可以操作一下火绒软件，恢复一下被删掉的 pytho311.dll （一般杀毒软件会把它认为是病毒的文件放到一个暂存区里，以防止误删用户重要文件，让用户可以手动恢复），然后再给那个文件加个白，就不会被火绒再报毒了。我也没装过火绒，具体怎么操作，你摸索一下吧

提醒下好像楼主 VirusTotal 的截图里所有 hash 跟 7 楼发的都对不上

误报概率是有的，但是注入到 dll 里的情况也是有的...