【aDesk】virus.win32.ravs.a病毒导致PC客户端组件签名丢失

更新时间：2023-01-05

所属模块客户端相关 | VDI客户端功能

适用版本通用

VDI PC客户端的签名丢失，使用过程中报错

“创建失败，请检查(C:\Program Files (x86)\Sangfor\VDI\SangforUpdate\SangforUD.exe)文件的签名是否合法”

1. 查看C:\Program Files (x86)\Sangfor\VDI\BackUp目录暂存的更新模块文件，发现存在部分exe的签名存在，有部分丢失：

2. VDC临时启用ssh，从VDC下载对应的模块文件：

/sf/share/app-win/

3. 对比文件，发现每个模块被篡改的内容有固定特征，都与c:\windows\svc.dat文件内容相同；

4. 百度sysmgr.exe 和 svc.dat发现sysmgr.exe与svc.dat为病毒virus.win32.ravs.a特征，其他特征详见：

5. 确认注册表特征，符合（系统文件保护被关闭）：

virus.win32.ravs.a病毒感染，破坏了VDI的客户端模块，导致签名信息无法正确读取。

1. 通用方案：安装杀软杀毒；

2. 实际用户为Win 7 SP0系统，需要升级SP1，打上SHA2补丁后，才能装上杀软。

3. 杀毒后重装VDI客户端。

局域网内根据上述特征判断是否已感染，感染的机器，都需要杀毒后重装VDI客户端。

1. 文件签名丢失除了打微软的签名补丁，还需要关注文件是不是被篡改。

也就是除了系统组件的因素，还有可能是病毒因素，不能只关注系统组件因素。

{{contentObj.name||'--'}}