Windows Defender 프로세스와 관련된 데이터를 찾는 방법windows10에서 참조 시작

최근 내 Windows Defender는 내 PC에서 발견된 악성 프로그램에 대해 경고했습니다. Windows Defender가 제공하는 데이터를 해석하는 데 문제가 있으며 processStart와 관련된 Microsoft 문서를 찾지 못했습니다.

Windows Defender의 보고서는 다음과 같습니다(내 출력은 네덜란드어이므로 영어로 번역했습니다).

1. 해결 방법이 불충분함:

감지됨: HackTool:Win32/Wpakill.AR!MTB

상태: 실패

이 위협 요소 또는 이 응용 프로그램은 완전히 복원되지 않을 수 있습니다.

날짜: 2022년 9월 2일 20:01

세부 정보: 이 프로그램은 원치 않는 동작을 보일 수 있습니다.

관련된 항목:

프로세스: pid:7576,ProcessStart:132889069092372720

2. 위협이 제거되거나 복원되었습니다.

감지됨: HackTool:Win32/Wpakill.AR!MTB

상태: 제거 또는 반환됨

이 위협 또는 앱은 격리 저장소에서 삭제되었거나 컴퓨터에 복원되었습니다.

날짜: 2022년 9월 2일 20:01

세부 정보: 이 프로그램은 원치 않는 동작을 보일 수 있습니다.

관련된 항목:

프로세스: pid:708,ProcessStart:132889068914364653

이제 Google에 "HackTool:Win32/Wpakill.AR!MTB"를 입력하면 내 문제의 실제 심각도가 약간 모호해집니다. 실제 페이로드가 실행되었을 수도 있고 실행되지 않았을 수도 있습니다. 이는 OS에 위험한 영향을 미칠 수도 있고 그렇지 않을 수도 있습니다. 그러나 내 컴퓨터에는 느린 시작 시간, 무작위 충돌, CPU 스파이크, 느린 응용 프로그램 응답과 같은 이상한 증상이 있습니다. 정기적인 Malwarebytes 검사와 CHKDSK 작업에도 불구하고 수년 동안 이런 일이 발생했기 때문에 이를 특정 이벤트와 연결하는 것은 다소 어렵습니다.

tasklist를 사용하여 PIDS를 추적했습니다.

tasklist /FI "PID eq 7576"

지정된 기준으로 실행 중인 작업이 없습니다.

tasklist /FI "PID eq 708"

이미지 이름: SystemSettingsBroker.exe, PID: 708, 세션: 콘솔, 세션 번호: 1, 메모리 사용량: 29.324 K

SystemSettingsBroker.exe 파일 속성을 확인하면 실제로 Microsoft SHA-256 확인 서명이 있는 것으로 표시됩니다.

Google에서 다음을 검색했습니다. -Windows Defender startProcess 해석 방법 -Windows Defender startProcess -Windows Defender 항목 사양 -Windows Defender startProcess 항목 사양

온라인에서 찾은 내용을 해석하면 processStart가 이벤트에 대한 항목이라고 믿게 됩니다. 이벤트 뷰어를 열고 Windows Defender에서 지정된 날짜의 모든 로그를 검색했지만 불규칙한 부분을 찾을 수 없었습니다. 그런 다음 다음을 사용하여 항목 ID에 대한 로그를 쿼리해 보았습니다.

wevtutil qe Application /q:132889069092372720

없음

wevtutil qe Security /q:132889069092372720

없음

wevtutil qe System /q:132889069092372720

없음

이 명령을 잘못 사용하고 있을 가능성이 높습니다. 하지만 제가 경험이 너무 부족해서 도움 없이 이 문제를 더 이상 추적할 수 없을 것 같습니다. Windows Defender가 제공하는 processStart의 마법 같은 가치를 추적하는 방법에 대한 힌트를 줄 수 있는 사람이 있습니까?