Windows 10 で Windows Defender ProcessStart リファレンスに関連付けられたデータを検索する方法

最近、Windows Defender が、私の PC で悪意のある可能性のあるプログラムが見つかったと警告しました。Windows Defender が提供するデータを解釈するのが難しく、processStart に関する Microsoft のドキュメントも見つかりませんでした。

Windows Defender のレポートは次のとおりです (出力はオランダ語なので英語に翻訳しました)。

1. 解決策が不十分:

検出: HackTool:Win32/Wpakill.AR!MTB

ステータス: 失敗

この脅威またはこのアプリケーションは完全に復元されない可能性があります。

日付: 2022年9月2日 20:01

詳細: このプログラムは望ましくない動作を示す可能性があります

関係する項目:

プロセス: pid:7576、プロセス開始:132889069092372720

2. 脅威が除去または復元されました:

検出: HackTool:Win32/Wpakill.AR!MTB

ステータス: 削除または返却

この脅威またはアプリは隔離から削除されたか、コンピュータに復元されました

日付: 2022年9月2日 20:01

詳細: このプログラムは望ましくない動作を示す可能性があります

関係する項目:

プロセス: pid:708、プロセス開始:132889068914364653

さて、Google に「HackTool:Win32/Wpakill.AR!MTB」と入力すると、問題の本当の深刻さはやや曖昧なままです。実際のペイロードが実行されたかどうかはわかりません。これが OS に危険な影響を与えるかどうかはわかりません。しかし、私のコンピューターは、起動時間が遅い、突然クラッシュする、CPU スパイクが発生する、アプリケーションの応答が遅いなどの奇妙な症状に悩まされています。これは、定期的な malwarebytes スキャンと CHKDSK 操作にもかかわらず、ここ数年続いているため、これを特定のイベントに関連付けるのは少し困難です。

タスクリストを使用して PID をトレースしました。

tasklist /FI "PID eq 7576"

指定された条件でタスクが実行されていません

tasklist /FI "PID eq 708"

イメージ名: SystemSettingsBroker.exe、PID: 708、セッション: コンソール、セッション番号: 1、メモリ使用量: 29.324 K

SystemSettingsBroker.exe ファイルのプロパティを確認すると、確かに Microsoft SHA-256 検証済み署名があることが示されています。

Google で次の内容を検索しました: -Windows defender startProcess の解釈方法 -Windows defender startProcess -Windows defender 項目の仕様 -Windows defender startProcess 項目の仕様

オンラインで見つけたものを解釈すると、processStart はイベントへのエントリであると考えられます。イベント ビューアーを開き、Windows Defender から指定された日付のすべてのログを検索しましたが、異常は見つかりませんでした。次に、次のコードを使用してエントリ ID のログを照会してみました。

wevtutil qe Application /q:132889069092372720

なし

wevtutil qe Security /q:132889069092372720

なし

wevtutil qe System /q:132889069092372720

なし

これらのコマンドを誤って使用している可能性が非常に高いです。しかし、経験が浅すぎて、助けがなければこの問題をさらに追跡できないのではないかと心配しています。Windows Defender が提供する processStart のこの魔法の値を追跡する方法について、ヒントをくれる人はいませんか?