因此,在某些情况下,我有点偏执,因为几天前,我让一个朋友将她的PowerPoint演示文稿放到Windows 8.1 Pro N笔记本电脑上,当我移开一会儿时,她插入了一个拇指驱动器保存她的工作。通常,我不允许在计算机中使用神秘的拇指驱动器。特别是不是来自技术水平较低的人。:)
直到今天我都没有发现任何异常。我确实偶尔会从各种后台进程中看到较高的CPU使用率,尤其是与Windows Update相关的进程。通常会持续一会儿然后停止。但是今天,我看到了前所未有的东西:MsMpEng.exe / Windows Defender在超过五个小时的时间内一直使用100%的CPU 。它确实在今天更新:一次是在我启动时,而现在是在我手动更新时(没有发现任何变化)。
如果它实际上正在做我关心的事情,我将暂时不谈它。但是它并没有停止,所以我决定打开Resource Monitor来查看它在做什么。MsMpEng.exe正在读取C:\ Windows \ System32 \ catroot中的一堆文件,尽管我找不到任何其他迹象表明正在进行扫描,但我认为这是计划扫描的一部分。但是真正令我担心的是:(系统)写入文件最多的是Microsoft Windows Code Integrity事件日志文件。
因此,我打开了事件查看器,发现几乎连续不断地出现了1700个警告事件(确切的数字有时更低,有时更高),如下所示:
代码完整性无法加载Microsoft-Windows-WMPNetworkSharingService-Package〜31bf3856ad364e35〜amd64 ~~ 6.3.9600.16384.cat目录,因为该目录的签名证书已被吊销。这可能会导致图像无法加载,因为找不到有效的签名。请与发布者联系,以查看是否有新的签名版本的目录和图像。
被创建(特定的.cat有所不同),然后被删除。
这是怎么回事?对于该特定事件,我在Google上找不到任何相关结果,而且我可以想象这是某种恶意软件的结果。如果证书被吊销,是否可以通过Windows Update替换目录?Windows Defender是否会在触发此事件时完成运行?看起来当我刷新时,相同的目录中出现了新事件。
更新:
我还运行了sfc / scannow,它检测到我用dism修复的损坏的(打印机)驱动程序。重新启动后,我没有看到Windows Defender的100%CPU使用率,但看起来它确实在今天早上运行并记录了相同的〜1700证书警告。另外,我注意到这次包含了一些错误日志-不确定它们是否一直存在,数量更少。他们看起来像这样:
代码完整性确定进程(\ Device \ HarddiskVolume2 \ Program Files \ Windows Defender \ MsMpEng.exe)尝试加载不符合自定义3 /反恶意软件签名级别的\ Device \ HarddiskVolume2 \ Program Files \ Microsoft Silverlight \ xapauthenticodesip.dll要求。
对于发生的事情仍然完全感到困惑。值得一提的是,所有警告似乎都与不同的Windows Media Player目录有关,而所有错误均与同一个Silverlight DLL有关。
更新2:我也直接查看了证书(导航到C:\ Windows \ System32 \ catroot,右键单击有问题的目录,数字签名选项卡),Windows资源管理器报告证书为“ OK”,并且没有不会列出任何吊销状态。但是,它们已过期...