最近,我的 Windows Defender 警告我,它在我的 PC 上发现了一个可能恶意的程序。我无法解释 Windows Defender 为我提供的数据,而且我找不到任何有关 processStart 的 Microsoft 文档。
Windows Defender 的报告如下(我的输出是荷兰语,所以我将其翻译成英文):
- 解决方案不足:
检测到:HackTool:Win32/Wpakill.AR!MTB
状态:失败
此威胁或此应用程序可能无法完全恢复。
日期:2022-09-02 20:01
详细信息:此程序可能会出现不良行为
涉及项目:
进程:pid:7576,进程开始:132889069092372720
- 威胁已消除或恢复:
检测到:HackTool:Win32/Wpakill.AR!MTB
状态:移除或退回
此威胁或应用程序已从隔离区删除或恢复到计算机
日期:2022-09-02 20:01
详细信息:此程序可能会出现不良行为
涉及项目:
进程:pid:708,进程开始:132889068914364653
现在,将“HackTool:Win32/Wpakill.AR!MTB”输入谷歌,我的问题的真正严重程度仍然有点模糊。实际的有效载荷可能已经运行,也可能没有运行。这可能会或可能不会对您的操作系统产生危险影响。但是,我的电脑确实出现了奇怪的症状,例如启动时间慢、随机崩溃、CPU 峰值、应用程序响应缓慢。尽管我定期进行 malwarebytes 扫描和 CHKDSK 操作,但这种情况已经持续了好几年,因此很难将其与任何特定事件联系起来。
我已经使用任务列表跟踪了 PIDS。
tasklist /FI "PID eq 7576"
没有按照指定条件运行的任务
tasklist /FI "PID eq 708"
图像名称:SystemSettingsBroker.exe,PID:708,会话:控制台,会话编号:1,内存使用量:29.324 K
检查 SystemSettingsBroker.exe 文件属性,它确实显示具有微软 SHA-256 验证签名。
我在谷歌上搜索过:-Windows defender 如何解释 startProcess-Windows defender startProcess-Windows defender 项目规范-Windows defender startProcess 项目规范
我对网上找到的内容的解释使我相信 processStart 是一个事件的条目。我打开了事件查看器并从 Windows Defender 搜索了指定日期的所有日志,但没有发现任何异常。然后我尝试使用以下命令查询日志中的条目 ID:
wevtutil qe Application /q:132889069092372720
没有任何
wevtutil qe Security /q:132889069092372720
没有任何
wevtutil qe System /q:132889069092372720
没有任何
很可能我错误地使用了这些命令。但是我担心我可能太缺乏经验,无法在没有帮助的情况下进一步追踪这个问题。有人能给我一点提示,告诉我如何追踪 Windows Defender 提供的 processStart 这个神奇的值吗?
答案1
我偶尔会看到这种情况。我有一些 Windows Defender 不喜欢的应用程序和工具。
当 Windows Defender 捕获有问题的应用程序时,您需要(立即)检查并决定:
(a)这是我的应用程序,我可以允许它。然后在 Windows Defender 屏幕中执行此操作 - 该选项将自动显示。
(b) 我不知道这是什么。允许 Windows Defender 隔离该应用程序。
如果应用程序已被隔离,您可以前往那里并将其发布(如果这是适当的操作)。
这项工作全都是手动的——没有整体设置来停止捕获你的东西。
这是我允许的应用程序的屏幕截图。
