为什么我的防病毒软件将XiaoU / LenovoService卸载程序Lenovo软件检测为恶意软件？

我最近购买了装有Windows 10 Home x64的Lenovo H50-55计算机。我卸载了计算机附带的某些Lenovo软件，但不是全部。

我使用Avast Free Antivirus对计算机进行了完整的恶意软件扫描，结果将其检测到C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe（是Lenovo文件）为恶意软件，并告诉我它是“ Win32：Malware-gen”。

这促使进一步调查，因此我将文件上传到VirusTotal，可以在此处查看结果（53个防病毒程序中有12个将其检测为恶意）。

• VirusTotal上的两个防病毒程序将setup.exe文件检测为“ W32 / OnlineGames.HI.gen！Eldorado”，根据此处的 Microsoft页面，此文件可能会窃取一些非常严重的数据。
• 但是，这是有关该恶意软件家族的常规文章（尽管此 Microsoft页面更具体，并且涉及窃取凭据的名称非常相似的恶意软件）。

我将文件上传到Comodo Valkyrie，其结果可以在此处查看。该服务认为它是恶意软件。更新：在Comodo Valkyrie上对该文件进行的手动分析认为它很干净。

我告诉Avast修复该文件，但我担心仍然存在其他恶意软件，或者数据可能已经被盗。

• 这是真正的威胁吗？
• 接下来我该怎么办？

我正在考虑擦除整个PC并从头开始重新安装Windows 10，但是如果已经发生数据盗窃，那将无济于事。

我不知道这是否相关，但是我在Windows Task Scheduler中找到了一个名为“ Lenovo Customer Feedback Program 64 35”的任务，该任务已被禁用，但以前运行的是C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe每天调用的exe 。互联网上似乎只有少量有关客户反馈计划的信息。我认为客户反馈任务与潜在的恶意文件是分开的。VirusTotal认为客户反馈exe是安全的，Lenovo自己在此处有一篇有关它的文章，说它发送非个人数据。

我的网络连接似乎每隔很短一段时间就会掉线。我不知道这是否是相关问题。

如果在Comodo Valkyrie页面上单击该文件的“静态分析”链接，您将看到标记该文件的原因之一是因为“检测到TLS回调函数数组”。将该代码包含在您上载到站点的可执行文件中可能有正当的理由，但是恶意软件开发人员可以使用TLS回调代码，通过增加调试代码的过程来阻止防病毒研究人员对其代码的分析。难。例如，从 具有TLS回调的检测调试器开始：

TLS回调是在流程入口点执行之前调用的函数。如果使用调试器运行可执行文件，则在调试器中断之前将执行TLS回调。这意味着您可以在调试器执行任何操作之前执行防调试检查。因此，TLS回调是一种非常强大的反调试技术。

野外的TLS回调讨论了使用此技术的恶意软件示例。

联想在其系统附带的软件方面声誉不佳。例如，摘自2015年2月15日Ars Technica文章，Lenovo PC附带了可破坏HTTPS连接的中间人广告软件：

安全研究人员说，联想正在出售预装有广告软件的计算机，这些广告软件会劫持加密的Web会话，并可能使用户容易受到HTTPS中间人攻击，这对于攻击者而言是微不足道的。

在装有来自Superfish公司的广告软件的Lenovo PC上，存在严重威胁。尽管许多人发现将广告注入到网页中的软件不那么好用，但是Superfish软件包却更加邪恶。它安装了一个自签名根HTTPS证书，该证书可以拦截用户访问的每个网站的加密流量。当用户访问HTTPS站点时，站点证书由Superfish签名和控制，并以虚假的身份将其表示为官方网站证书。

一个中间人攻击访问使用站点击败你，否则将有保护HTTPS而不是HTTP允许软件对所有网络流量窥探用户与金融机构之间甚至业务，如银行。

当研究人员在Lenovo机器上发现Superfish软件时，Lenovo最初宣称：“我们已经对这项技术进行了彻底的调查，没有发现任何证据可以证实安全问题。” 但是，当安全研究人员透露Superfish软件如何使Lenovo系统受到恶意侵害时，该公司不得不撤回该声明。

针对这种崩溃，联想首席技术官彼得·霍滕修斯（Peter Hortensius）随后表示： “我今天可以说的是，我们正在探索各种选择，包括：创建更清晰的PC映像（操作系统和您设备上的软件即可使用）...“”也许该选项已被放弃。例如，请参阅The Hacker News的安全分析师Swati Khandelwal 在 2015年9月发表的文章《Lenovo Caught Redhand（第三次）：Lenovo Laptops中的预装间谍软件》中，该文章讨论了您在“ Lenovo客户反馈计划64”上找到的软件你的系统。

更新：

关于线程本地存储（TLS）回调的合法使用，在Wikipedia 线程本地存储中讨论了TLS。文章。我不知道程序员多久将其用于合法用途。我只发现一个人提到他对该功能的合法使用；我发现它的所有其他引用都与恶意软件对其的使用有关。但这可能仅仅是因为恶意软件开发人员的使用情况比程序员编写其合法使用情况的可能性更高。我认为，单独使用联想并不是决定性的证据，联想正试图隐藏软件中的功能，如果用户知道该软件的全部功能，其用户可能会感到震惊。但是，考虑到联想的已知做法，不仅是对Superfish，而且随后将其用于“联想系统引擎”使用Windows平台二进制表（WPBT） 联想使用Windows防盗功能安装了永久性的垃圾软件，我认为有理由有所警惕，并且与其他公司相比，联想给联想带来的好处要小得多。

不幸的是，有许多公司试图通过向其他“合作伙伴”出售客户信息或“访问”客户来从客户那里赚钱。有时，这是通过广告软件完成的，这不一定意味着该公司正在向这些“合作伙伴”提供可识别个人身份的信息。有时公司可能只是想收集有关其客户行为的信息，以便它可以向营销人员提供有关公司可能吸引的客户类型的更多信息，而不是提供识别个人的信息。

如果我将文件上传到VirusTotal并仅发现它用来扫描上传的文件（将文件标记为包含恶意软件）的许多防病毒程序中的一两个，则我通常将其视为错误肯定报告，如果该代码显然已经存在了很长时间。某个时间，例如，如果VirusTotal报告它在一年前曾扫描过该文件，否则我没有理由不信任软件开发人员，相反，也没有任何理由信任该开发人员，例如，由于长期良好的声誉。但是联想已经损害了它的声誉，在53个防病毒程序中，有12个标记您上传的文件大约占23％，我认为这是一个令人担忧的高比例。

但是，由于大多数防病毒软件供应商通常很少提供（如果有的话）有关导致文件被标记为特定类型的恶意软件的确切信息，以及特定恶意软件描述在其操作方面的确切含义，因此通常很难确切确定其含义。您需要担心的是何时看到特定说明。在这种情况下，甚至可能大多数人都看到TLS回调并仅以此为基础标记文件。即，所有12个人都可能在相同的错误基础上做出虚假肯定声明。有时，不同的产品会共享用于识别恶意软件的相同签名，并且该签名也可能出现在合法程序中。

至于VirusTotal上几个程序报告的“ W32 / OnlineGames.HI！gen！Eldorado”结果，其名称类似于 PWS：Win32 / OnLineGames.gen！B。没有关于导致文件与W32 / OnlineGames.HI.gen！Eldorado关联的结论以及与W32 / OnlineGames.HI.gen！Eldorado关联的行为的具体信息，即，人们应该期望哪些注册表项和文件为了找到具有特定说明的软件以及其行为方式，我无法断定该软件会窃取游戏凭证。没有任何其他证据，我认为那是不可能的。不幸的是，您将看到的许多恶意软件描述只是名称相似的通用描述，它们对于确定附加到文件中的描述对于确定您的担心程度没有多大价值。一些杀毒软件供应商经常在许多名称的开头附加“ W32”。他们共享该事实，而“ OnlineGames”和“ gen”代表“通用”

我将删除该软件，因为我认为该软件使用了对我没有好处的系统资源，并且，如果您玩网络游戏，可以重置密码作为预防措施，尽管我怀疑Lenovo软件已盗取了在线游戏凭据或正在执行击键记录。联想对其系统中包含的软件并没有很高的声誉，但是我看不到有报道称他们已经分发了任何可以以这种方式运行的软件。网络连接的周期性丢失甚至可能在您的PC外部。例如，如果同一位置的其他系统也周期性地失去连接性，则我认为路由器上更有可能出现问题。