C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe (([WMISEARCHER]'SELECT ID FROM SoftwareLicensingProduct WHERE ApplicationID=''55c92734-d682-4d71-983e-d6ec3f16059f''').Get()).ID | % {echo ('ID
以上就是反漏洞弹出窗口向我展示的全部命令。我已确认这是一个真正的弹出窗口,而不是来自我的浏览器的弹出窗口。上周发生过几次这种情况,尽管当时我并没有仔细检查命令(不过我现在会留意它)。我预计每次的情况都会类似,即使不是相同。
似乎有什么东西在后台运行,或者根据我正在浏览的内容触发?我在浏览 Reddit 时出现了这个问题。
启动时唯一启用的应用程序是反漏洞应用程序本身、iCue(用于海盗船键盘)和 SecurityHEalthSystray.exe(Windows Defender)。
我打开了许多其他类型的应用程序,但这些应用程序都是我通常会打开的。我可以有条不紊地关闭每个应用程序,看看它是否不会出现,但这会花很长时间,并且会对我电脑用户造成很大影响。除了有条不紊地关闭和等待之外,还有其他方法可以调试或发现可能导致这种情况的原因吗?
答案1
可以使用免费的 进程探索器。
窗口显示后,打开 Process Explorer 并将靶心图标拖到
并将其放在窗口上。 拥有该进程的进程将在 Process Explorer 中自动被选中,这样您就可以检查其属性及其父进程的属性。
双击所选进程的条目以检查其属性。
答案2
我最终想到查看 MalwareBytes Anti-exploit 日志,我可以看到一系列这样的日志。每周一次,每次尝试四次,时间是 12:00。它们运行类似的命令来查找 Windows 或 Office 以及“KMS 客户端”或其他内容。
意识到这可能是一个计划任务,我检查了任务计划程序,查看当时是否有任何最后运行的任务,并找到了 Online_KMS_Activation_Script-Renewal - Weekly 激活任务。这显然是罪魁祸首,现在我只需要弄清楚它属于什么。
总之,我应该检查日志,然后从那里继续:)