最近我的 Windows Defender 警告我它在我的电脑上发现了一个可能的恶意程序。我无法解释为我服务的数据 Windows Defender,而且我还没有找到任何关于 processStart 的 Microsoft 文档。
Windows Defender 的报告如下(我的输出是荷兰语,所以我将其翻译成英文):
- 解决方案不足:
检测到:HackTool:Win32/Wpakill.AR!MTB
状态:失败
此威胁或此应用程序可能无法完全恢复。
日期:9-2-2022 20:01
详细信息:此程序可能会显示不需要的行为
涉及项目:
进程:pid:7576,ProcessStart:132889069092372720
- 威胁已删除或恢复:
检测到:HackTool:Win32/Wpakill.AR!MTB
状态:移除或退回
此威胁或应用程序已从隔离区中删除或恢复到计算机
日期:9-2-2022 20:01
详细信息:此程序可能会显示不需要的行为
涉及项目:
进程:pid:708,ProcessStart:132889068914364653
现在,将“HackTool:Win32/Wpakill.AR!MTB”放入谷歌,我的问题的真正严重性仍然有点模糊。实际的有效载荷可能已经运行,也可能未运行。这可能会对您的操作系统产生危险影响,也可能不会。但是,我的计算机确实出现了一些奇怪的症状,例如启动时间慢、随机崩溃、CPU 峰值、应用程序响应缓慢。尽管我定期进行恶意软件字节扫描和 CHKDSK 操作,但这种情况已经存在好几年了,因此将其与任何特定事件联系起来有点困难。
我已经用任务列表跟踪了 PIDS。
tasklist /FI "PID eq 7576"
没有使用指定条件运行的任务
tasklist /FI "PID eq 708"
映像名称:SystemSettingsBroker.exe,PID:708,会话:控制台,会话#:1,内存使用:29.324 K
检查 SystemSettingsBroker.exe 文件属性,它确实显示具有 microsoft SHA-256 验证签名。
我在谷歌上搜索过:-Windows Defender 如何解释 startProcess -Windows Defender startProcess -Windows Defender 项目规范 -Windows Defender startProcess 项目规范
我对我在网上找到的东西的解释使我相信 processStart 是一个事件的入口。我打开了我的事件查看器并在指定日期从 Windows Defender 搜索了所有日志,但找不到任何违规行为。然后我尝试使用以下命令查询日志以获取条目 ID:
wevtutil qe Application /q:132889069092372720
没有任何
wevtutil qe Security /q:132889069092372720
没有任何
wevtutil qe System /q:132889069092372720
没有任何
我很可能错误地使用了这些命令。但是我担心我可能太缺乏经验,无法在没有帮助的情况下进一步追踪这个问题。谁能给我一个提示,告诉我如何追踪 Windows Defender 提供的 processStart 的这个神奇价值?
我偶尔会看到这个。我有 Windows Defender 不喜欢的应用程序和工具。
当 Windows Defender 捕获有问题的应用程序时,您需要检查(当时)并决定:
(a) 这是我的应用程序,我可以允许。然后在 Windows Defender 屏幕中执行此操作 - 该选项将自行显示。
(b) 我不知道这是什么。允许 Windows Defender 隔离应用程序。
如果该应用程序已被隔离,如果这是适当的操作,您可以去那里并释放它。
这项工作都是手动的 - 没有整体设置可以停止捕获你的东西。
这是我允许的应用程序的屏幕截图。