Kürzlich hat mich mein Windows Defender vor einem möglicherweise bösartigen Programm gewarnt, das er auf meinem PC gefunden hat. Ich habe Probleme, die Daten zu interpretieren, die mir Windows Defender liefert, und ich habe keine Microsoft-Dokumentation zu ProcessStart gefunden.
Die Berichte von Windows Defender lauten wie folgt (meine Ausgabe ist auf Niederländisch, also habe ich sie ins Englische übersetzt):
- Lösung unzureichend:
Erkannt: HackTool:Win32/Wpakill.AR!MTB
Status: Fehler
Diese Bedrohung oder diese Anwendung kann möglicherweise nicht vollständig wiederhergestellt werden.
Datum: 9-2-2022 20:01
Details: Dieses Programm kann unerwünschtes Verhalten zeigen
Betroffen sind:
Prozess: pid:7576,ProcessStart:132889069092372720
- Bedrohung entfernt oder wiederhergestellt:
Erkannt: HackTool:Win32/Wpakill.AR!MTB
Status: Entfernt oder zurückgegeben
Diese Bedrohung oder App wurde aus der Quarantäne gelöscht oder auf dem Computer wiederhergestellt
Datum: 9-2-2022 20:01
Details: Dieses Programm kann unerwünschtes Verhalten zeigen
Betroffen sind:
Prozess: pid:708,ProcessStart:132889068914364653
Wenn ich jetzt „HackTool:Win32/Wpakill.AR!MTB“ in Google eingebe, bleibt die wahre Schwere meines Problems etwas unklar. Die eigentliche Nutzlast kann ausgeführt worden sein oder auch nicht. Dies kann gefährliche Auswirkungen auf Ihr Betriebssystem haben oder auch nicht. Mein Computer leidet jedoch unter seltsamen Symptomen wie langsamen Startzeiten, zufälligen Abstürzen, CPU-Spitzen und langsamen Anwendungsreaktionen. Dies ist nun schon seit mehreren Jahren der Fall, trotz meiner regelmäßigen Malwarebytes-Scans und CHKDSK-Vorgänge, daher ist es ein bisschen schwierig, dies einem bestimmten Ereignis zuzuordnen.
Ich habe die PIDS mit der Aufgabenliste verfolgt.
tasklist /FI "PID eq 7576"
Es werden keine Aufgaben mit den angegebenen Kriterien ausgeführt
tasklist /FI "PID eq 708"
Bildname: SystemSettingsBroker.exe, PID: 708, Sitzung: Konsole, Sitzungsnr.: 1, Speichernutzung: 29,324 K
Beim Überprüfen der Dateieigenschaften von SystemSettingsBroker.exe wird tatsächlich angezeigt, dass die verifizierte Microsoft-SHA-256-Signatur vorliegt.
Ich habe bei Google nach Folgendem gesucht: -Windows Defender: Wie interpretiert man den Startprozess? -Windows Defender: Startprozess -Windows Defender: Artikelspezifikation -Windows Defender: Startprozess-Artikelspezifikation
Meine Interpretation von Dingen, die ich online gefunden habe, lässt mich glauben, dass processStart ein Eintrag zu einem Ereignis ist. Ich habe meine Ereignisanzeige geöffnet und alle Protokolle zum angegebenen Datum von Windows Defender durchsucht, konnte aber keine Unregelmäßigkeiten finden. Dann habe ich versucht, die Protokolle nach der Eintrags-ID abzufragen, und zwar mit:
wevtutil qe Application /q:132889069092372720
Keiner
wevtutil qe Security /q:132889069092372720
Keiner
wevtutil qe System /q:132889069092372720
Keiner
Es ist sehr wahrscheinlich, dass ich diese Befehle falsch verwende. Ich fürchte jedoch, dass ich zu unerfahren bin, um dieses Problem ohne Hilfe weiter zu verfolgen. Kann mir jemand einen Hinweis geben, wie ich diesen magischen Wert von processStart, der von Windows Defender angeboten wird, verfolgen kann?
Antwort1
Ich sehe das gelegentlich. Ich habe Apps und Tools, die Windows Defender nicht mag.
Wenn Windows Defender die schädliche App abfängt, müssen Sie diese (sofort) überprüfen und entscheiden:
(a) Dies ist meine App und ich kann sie zulassen. Tun Sie dies dann im Windows Defender-Bildschirm – die Option wird angezeigt.
(b) Ich weiß nicht, was das ist. Erlauben Sie Windows Defender, die App unter Quarantäne zu stellen.
Wenn die App unter Quarantäne gestellt wurde, können Sie dorthin gehen und sie freigeben, wenn das die richtige Maßnahme ist.
Die Arbeit erfolgt vollständig manuell. Es gibt keine allgemeine Einstellung, die das Einklemmen Ihrer Daten verhindert.
Hier ist ein Screenshot meiner zulässigen Apps.
