因此,就某些情况而言,我有点偏执,因为几天前,我让一位朋友在我的 Windows 8.1 Pro N 笔记本电脑上整理她的 PowerPoint 演示文稿,当我把目光移开片刻时,她插入了一个拇指驱动器来保存她的工作。一般来说,我不允许在我的计算机中安装神秘的拇指驱动器。尤其是来自技术素养较低的人。:)
直到今天我才注意到任何异常。我确实偶尔会看到各种后台进程的 CPU 使用率过高,尤其是与 Windows 更新相关的进程。它通常会持续一段时间然后停止。但今天,我看到了一些我从未见过的东西:MsMpEng.exe/Windows Defender 已经使用了 100% 的 CPU 超过五个小时。它今天确实更新了:一次是在我启动时,一次是在刚才,当我手动更新时(没有看到任何变化。)
我让它独自待了一段时间,以防它真的在做一些我关心的事情。但它没有停止,所以我决定打开资源监视器看看它在做什么。MsMpEng.exe 正在读取 C:\Windows\System32\catroot 中的一堆文件,我认为这是计划扫描的一部分,尽管我找不到任何其他迹象表明扫描正在进行。但真正让我担心的是:最书面文件(由系统提供)是 Microsoft Windows 代码完整性事件日志文件。
因此我打开了事件查看器,发现几乎连续出现了 1700 个警告事件(确切数字有时较低,有时较高),如下所示:
代码完整性无法加载 Microsoft-Windows-WMPNetworkSharingService-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.cat 目录,因为此目录的签名证书已被吊销。这可能导致图像加载失败,因为找不到有效的签名。请与发布者联系,查看是否有可用的新签名版本的目录和图像。
正在被创建(特定的 .cat 变化)然后被删除。
发生了什么事?我在 Google 上找不到与此特定活动相关的任何结果,我可以想象这是某种恶意软件的结果。如果证书被吊销,目录不会通过 Windows 更新替换吗?在触发此事件时,Windows Defender 是否会完成运行?看起来当我刷新时,相同的目录会显示新事件。
更新:
我还运行了 sfc /scannow,它检测到损坏的(打印机)驱动程序,我用 dism 修复了它。重新启动后,我没有看到 Windows Defender 的 100% CPU 使用率,但它似乎今天早上确实运行了,并记录了相同的 ~1700 条证书警告。此外,我注意到这次包含了一些错误日志 - 不确定它们是否一直如此,它们的数量要少得多。它们看起来像这样:
代码完整性确定进程(\Device\HarddiskVolume2\Program Files\Windows Defender\MsMpEng.exe)尝试加载不符合自定义 3/反恶意软件签名级别要求的 \Device\HarddiskVolume2\Program Files\Microsoft Silverlight\xapauthenticodesip.dll。
仍然完全搞不懂到底发生了什么。值得一提的是,所有警告似乎都与不同的 Windows Media Player 目录有关,而所有错误都与相同的 Silverlight DLL 有关。
更新 2:我还直接查看了证书(导航到 C:\Windows\System32\catroot,右键单击相关目录,数字签名选项卡),Windows 资源管理器报告证书“正常”,并且没有列出任何撤销状态。他们是然而,已过期...