【求助】火绒检测到疑似木马文件，求大佬帮忙分析确认

Shoto

问题描述：
在使用火绒安全软件进行全盘查杀时，检测到疑似木马文件。由于本人技术能力有限，无法独立分析该病毒样本，特此请求各位大佬协助确认是否为真正的病毒文件。样本以及奇安信检测报告在帖子底部下载(百度，123，夸克网盘)

========================================
检测详情：
1. 检测工具：火绒安全软件
2. 检测类型：全盘查杀
3. 检测结果：发现疑似木马文件

可疑文件信息：
MD5:
895a193f4cc9ce82e396d29881450dd2

文件绝对路径：
C:\Windows.old\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Collections.Modle\v4.0_1.0.0.0__fffa069857d3563b\System.Collections.Modle.dll (已删除)
C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Collections.Modle\v4.0_1.0.0.0__fffa069857d3563b\System.Collections.Modle.dll (因进程占用无法删除)

相关截图：



AI给出的可疑点：
1. 文件名拼写异常：System.Collections.Modle 应为 System.Collections.Model（"Model" 拼写错误）
2. 位置特殊：位于 Windows.old 目录（系统升级后的备份目录）
3. 程序集名称可疑：非微软官方标准 .NET 程序集命名
4. 分析报告： Analysis_Report.txt (23.26 KB, 下载次数: 0)

2026-5-29 13:38 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

求助内容：
恳请各位安全领域的大佬帮忙：
1. 确认该文件是否为恶意病毒/木马
2. 分析文件的真实用途和危害程度
3. 提供相应的处理建议

========================================

样本下载链接：
百度网盘:
通过网盘分享的文件：病毒样本和奇安信检测报告(无解压码).zip
链接: https://pan.baidu.com/s/1rHUdRI7IuRB7GxwWlgQarw?pwd=52pj 提取码: 52pj

123云盘:
『来自123云盘用户Eenies的分享』病毒样本和奇安信检测报告(无解压码).zip
链接：https://1819651333.share.123865.com/123pan/3GhEjv-CFS1d?pwd=52ji#
提取码：52ji

夸克网盘：
我用夸克网盘分享了「病毒样本和奇安信检测报告(无解压码).zip」，点击链接即可保存。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。
链接：https://pan.quark.cn/s/496717942377
提取码：JBBF

非常感谢各位大佬的帮助！

AI-Compare

System.Collections.Modle.dll (因进程占用无法删除)

https://www.senarytech.com/SenaryLimited/index.aspx
https://think.lenovo.com.cn/supp ... aspx?DEditid=155739
找了一下，Senary Audio Application 该程序
对应的是深圳深蕾公司提供的声卡驱动程序

深蕾半导体音频编解码芯片 Codec 主要应用于笔记本和台式电脑，已通过了 Intel Evo 认证和 AMD AVL 认证，公司是联想、荣耀、同方、三星等全球企业的重要供应商。

System.Collections.Modle.dll (已删除)

病毒不会无缘无故潜入电脑，这是公司还是自家的电脑／笔记本？
文件最近修改日期还是前几天的，这几天有接触过相关可疑行为？

下载、运行、更新、突然发现、硬件占用异常、某个文件双击没反应？
或者并不是最近，而是病毒潜伏已久，最近才通过Ｃ２等下发、推送

如果是公司电脑，建议报备给技术部门（如有），小心横向渗透传播
从ＰＤＢ描述，这个可能会被当作某些反杀毒的操作和掩护免杀跳板

Henglie

微步只有6个报毒，但报的都是重量级。



看到这行小字，直接可以得出结论了，这确实是一个恶意软件。
1）它的版本就只写了1.0.0.0
2）它没有任何数字签名，绝不是微软的文件
3）调试文件信息文件夹目录写着“K360过火绒自带和360反微步修复计划最终版”，谁家正常软件的开发路径起这样的文件夹目录？很明显就是为了对抗杀软来的

adamstone

360PK火绒

Shoto

Henglie 发表于 2026-5-29 07:51
微步只有6个报毒，但报的都是重量级。

非常感谢您的回复，目前我已经删除了文件C:\Windows.old\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Collections.Modle\v4.0_1.0.0.0__fffa069857d3563b\System.Collections.Modle.dll

今天再次排查时发现同名文件（火绒扫描后没有报毒）C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Collections.Modle\v4.0_1.0.0.0__fffa069857d3563b\System.Collections.Modle.dll
并让ai进行了静态分析，尝试删除时发现SenaryAudio组件进程正在运行中(看着好像是官方的组件，我是否也要对这个文件紧急处理呢)
该文章我已更新，静态分析报告请见文章底部

Henglie

Shoto 发表于 2026-5-29 14:04
非常感谢您的回复，目前我已经删除了文件C:\Windows.old\Windows\Microsoft.NET\assembly\GAC_MSIL\Syste ...

有官方数字签名的是正常文件（现在这个），原先那个是伪造的。
处置建议：卡巴斯基全盘扫描删除该文件（没有数字签名的那个）。

Shoto

Henglie 发表于 2026-5-29 15:41
有官方数字签名的是正常文件（现在这个），原先那个是伪造的。
处置建议：卡巴斯基全盘扫描删除该文件（ ...

okok非常感谢

Shoto

AI-Compare 发表于 2026-5-29 17:28
System.Collections.Modle.dll (因进程占用无法删除)

https://www.senarytech.com/SenaryLimited/index. ...

谢谢您提供的排查思路，是个人电脑。突然想起来一年前好像报过这个毒，当时看包名以为是官方的没太在意。目前已经多次全盘查杀，紧急处理了。