Недавно мой защитник Windows предупредил меня о возможной вредоносной программе, которую он нашел на моем ПК. У меня возникли проблемы с интерпретацией данных, которые предоставляет мне защитник Windows, и я не нашел никакой документации Microsoft относительно processStart.
Отчеты Защитника Windows выглядят следующим образом (мои выходные данные на голландском языке, поэтому я перевел их на английский):
- Недостаточное решение:
Обнаружено: HackTool:Win32/Wpakill.AR!MTB
Статус: Провал
Эта угроза или это приложение не могут быть полностью восстановлены.
Дата: 9-2-2022 20:01
Подробности: Эта программа может демонстрировать нежелательное поведение.
Вовлеченные элементы:
процесс: pid:7576,ProcessStart:132889069092372720
- Угроза устранена или восстановлена:
Обнаружено: HackTool:Win32/Wpakill.AR!MTB
Статус: Удален или возвращен
Эта угроза или приложение были удалены из карантина или восстановлены на компьютере.
Дата: 9-2-2022 20:01
Подробности: Эта программа может демонстрировать нежелательное поведение.
Вовлеченные элементы:
процесс: pid:708,ProcessStart:132889068914364653
Теперь, если ввести "HackTool:Win32/Wpakill.AR!MTB" в Google, истинная серьезность моей проблемы остается немного неопределенной. Фактическая полезная нагрузка могла быть запущена, а могла и не быть. Это может иметь или не иметь опасные последствия для вашей ОС. Однако мой компьютер страдает от странных симптомов, таких как медленное время запуска, случайные сбои, скачки ЦП, медленная реакция приложений. Это происходит уже несколько лет, несмотря на мои регулярные сканирования Malwarebytes и операции CHKDSK, поэтому немного сложно связать это с каким-либо конкретным событием.
Я отследил PIDS с помощью tasklist.
tasklist /FI "PID eq 7576"
ни одна задача не выполняется с указанными критериями
tasklist /FI "PID eq 708"
Имя образа: SystemSettingsBroker.exe, PID: 708, Сеанс: Консоль, Номер сеанса: 1, Использование памяти: 29,324 КБ
Проверка свойств файла SystemSettingsBroker.exe действительно показывает, что он имеет проверенную подпись Microsoft SHA-256.
Я искал в Google: - Защитник Windows, как интерпретировать startProcess - Защитник Windows, startProcess - Спецификация элемента Защитника Windows - Спецификация элемента Защитника Windows
Моя интерпретация того, что я нашел в сети, приводит меня к мысли, что processStart — это запись в событие. Я открыл свой eventviewer и просмотрел все журналы на указанную дату из Windows Defender, но не смог найти никаких нарушений. Затем я попытался запросить журналы для идентификатора записи, используя:
wevtutil qe Application /q:132889069092372720
Никто
wevtutil qe Security /q:132889069092372720
Никто
wevtutil qe System /q:132889069092372720
Никто
Весьма вероятно, что я неправильно использую эти команды. Однако я боюсь, что я слишком неопытен, чтобы отслеживать эту проблему дальше без посторонней помощи. Может ли кто-нибудь дать мне подсказку о том, как отслеживать это магическое значение processStart, предлагаемое защитником Windows?
решение1
Я иногда это вижу. У меня есть приложения и инструменты, которые не нравятся Защитнику Windows.
Когда Защитник Windows обнаруживает вредоносное приложение, вам необходимо проверить его (прямо сейчас) и принять решение:
(a) Это мое приложение, и я могу разрешить его. Затем сделайте это на экране Защитника Windows — опция появится сама собой.
(b) Я не знаю, что это. Разрешите Защитнику Windows поместить приложение в карантин.
Если приложение было помещено на карантин, вы можете зайти туда и разблокировать его, если это уместно.
Вся работа выполняется вручную — нет общей настройки, которая бы предотвращала застревание вещей.
Вот снимок экрана с моими разрешенными приложениями.
