最近,我的 Windows Defender 警告我它在我的電腦上發現了一個可能是惡意程式。我無法解釋為我服務的資料視窗防御者,並且我沒有找到任何有關 processStart 的微軟文件。
Windows Defender的報告如下(我的輸出是荷蘭語,所以我將其翻譯成英文):
- 解決方案不足:
檢測到:HackTool:Win32/Wpakill.AR!MTB
狀態:失敗
此威脅或此應用程式可能無法完全恢復。
日期:2022年9月2日 20:01
詳細資訊:該程式可能會顯示不必要的行為
涉及項目:
進程:pid:7576,進程開始:132889069092372720
- 威脅已刪除或恢復:
檢測到:HackTool:Win32/Wpakill.AR!MTB
狀態:已刪除或已退回
此威脅或應用程式已從隔離區中刪除或還原到電腦中
日期:2022年9月2日 20:01
詳細資訊:該程式可能會顯示不必要的行為
涉及項目:
進程:pid:708,進程開始:132889068914364653
現在,將“HackTool:Win32/Wpakill.AR!MTB”放入谷歌中,我的問題的真正嚴重性仍然有點模糊。實際有效負載可能已運行,也可能未運行。這可能會對您的作業系統產生危險影響,也可能不會。然而,我的電腦確實出現了奇怪的症狀,例如啟動時間緩慢、隨機崩潰、CPU 峰值、應用程式反應緩慢。儘管我定期進行惡意軟體位元組掃描和 CHKDSK 操作,這種情況已經持續了好幾年,所以將其與任何特定事件聯繫起來有點困難。
我已經用任務清單追蹤了 PIDS。
tasklist /FI "PID eq 7576"
沒有任務按照指定條件運行
tasklist /FI "PID eq 708"
映像名稱:SystemSettingsBroker.exe,PID:708,會話:控制台,會話#:1,記憶體使用量:29.324 K
檢查 SystemSettingsBroker.exe 檔案屬性,它確實顯示具有 Microsoft SHA-256 驗證簽章。
我在Google上搜尋過: -Windows Defender如何解釋startProcess -Windows Defender startProcess -Windows Defender項目規範 -Windows Defender startProcess項規範
我對網路上找到的內容的解釋使我相信 processStart 是事件的入口。我打開事件檢視器並從 Windows Defender 中搜尋指定日期的所有日誌,但找不到任何異常情況。然後我嘗試使用以下命令查詢日誌中的條目 id:
wevtutil qe Application /q:132889069092372720
沒有任何
wevtutil qe Security /q:132889069092372720
沒有任何
wevtutil qe System /q:132889069092372720
沒有任何
我很可能錯誤地使用了這些命令。然而,我擔心我可能太缺乏經驗,無法在沒有幫助的情況下進一步追蹤這個問題。有人可以給我一個關於如何追蹤 Windows Defender 提供的 processStart 的神奇價值的提示嗎?
答案1
我偶爾會看到這個。我有 Windows Defender 不喜歡的應用程式和工具。
當 Windows Defender 捕獲有問題的應用程式時,您需要(立即)進行審查並決定:
(a) 這是我的應用程序,我可以允許它。然後在 Windows Defender 畫面中執行此操作 - 該選項將自行顯示。
(b) 我不知道這是什麼。允許 Windows Defender 隔離該應用程式。
如果應用程式已被隔離,您可以前往那裡並釋放它(如果這是適當的操作)。
這項工作全是手動的 - 沒有整體設置來阻止你的東西被困。
這是我允許的應用程式的螢幕截圖。
