Vì vậy, đối với một số bối cảnh, tôi hơi hoang tưởng vì vài ngày trước, tôi đã cho một người bạn tập hợp bài thuyết trình PowerPoint của mình trên máy tính xách tay Windows 8.1 Pro N của tôi và khi tôi quay mặt đi một lúc, cô ấy đã nhét ngón tay cái vào để cứu cô ấy Theo quy định, tôi không cho phép các ngón tay cái bí ẩn trong máy tính của mình. Đặc biệt không phải từ những người ít hiểu biết về công nghệ. :)
Tôi đã không nhận thấy bất cứ điều gì bất thường cho đến ngày hôm nay. Thỉnh thoảng tôi thấy việc sử dụng CPU cao từ các quá trình nền khác nhau, đặc biệt là các quá trình liên quan đến Windows Update. Nó thường diễn ra trong một thời gian và sau đó dừng lại. Nhưng hôm nay, tôi đã thấy một thứ mà tôi chưa từng thấy trước đây: MsMpEng.exe / Windows Defender đã sử dụng 100% CPU trong hơn năm giờ . Nó đã cập nhật ngày hôm nay: một lần khi tôi khởi động, và bây giờ, khi tôi cập nhật thủ công (và không thấy thay đổi.)
Tôi để nó một mình trong một thời gian trong trường hợp nó thực sự đang làm một cái gì đó tôi quan tâm. Nhưng nó không dừng lại, vì vậy tôi quyết định mở Resource Monitor để xem nó đang làm gì. MsMpEng.exe đang đọc một loạt các tệp trong C: \ Windows \ System32 \ catroot, mà tôi giả sử là một phần của quá trình quét theo lịch trình, mặc dù tôi không thể tìm thấy bất kỳ dấu hiệu quét nào đang diễn ra. Nhưng điều tôi thực sự quan tâm là đây: tệp được ghi nhiều nhất (theo Hệ thống) là tệp nhật ký sự kiện Liêm chính của Microsoft Windows Code.
Vì vậy, tôi đã mở Trình xem sự kiện và phát hiện ra rằng, gần như liên tục, 1700 sự kiện cảnh báo (con số chính xác đôi khi thấp hơn, đôi khi cao hơn) trông như thế này:
Tính toàn vẹn mã không thể tải gói Microsoft-Windows-WMPNetworkSharedService-Gói ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.3.9600.16384.cat vì chứng chỉ ký cho danh mục này đã bị thu hồi. Điều này có thể dẫn đến hình ảnh không tải được vì không thể tìm thấy chữ ký hợp lệ. Kiểm tra với nhà xuất bản để xem nếu có một phiên bản mới của danh mục và hình ảnh có sẵn.
đang được tạo (với .cat cụ thể khác nhau) và sau đó bị xóa.
Chuyện gì đang xảy ra vậy? Tôi không thể tìm thấy bất kỳ kết quả có liên quan nào trên Google cho sự kiện cụ thể này và tôi có thể tưởng tượng rằng đó là kết quả của một loại phần mềm độc hại. Nếu chứng chỉ bị thu hồi, danh mục sẽ không được thay thế thông qua Windows Update? Windows Defender có bao giờ kết thúc chạy trong khi sự kiện này đang được kích hoạt không? Có vẻ như khi tôi làm mới, các danh mục tương tự đang hiển thị với các sự kiện mới.
Cập nhật:
Tôi cũng đã chạy sfc / scannow, trình phát hiện trình điều khiển (máy in) bị hỏng mà tôi đã sửa chữa với tháo gỡ. Sau khi khởi động lại, tôi không thấy mức sử dụng CPU 100% từ Windows Defender, nhưng có vẻ như nó đã chạy sáng nay và ghi lại cùng một cảnh báo chứng chỉ ~ 1700. Ngoài ra, tôi nhận thấy một số nhật ký lỗi được đưa vào lần này - không chắc là chúng luôn như vậy, có ít hơn chúng không. Họ trông như thế này:
Tính toàn vẹn của mã đã xác định rằng một quá trình (\ Device \ HarddiskVolume2 \ Program Files \ Windows Defender \ MsMpEng.exe) đã cố tải \ Device \ HarddiskVolume2 \ Files Files \ Microsoft Silverlight \ xapauthenticodesip.dll không đáp ứng mức độ tùy chỉnh 3 / Antimal yêu cầu.
Vẫn hoàn toàn bối rối về những gì đang xảy ra. Đối với những gì đáng giá, có vẻ như tất cả các cảnh báo là về các danh mục Windows Media Player khác nhau, trong khi tất cả các lỗi là về cùng một Silverlight DLL.
Cập nhật 2: Tôi cũng đã xem trực tiếp các chứng chỉ (điều hướng đến C: \ Windows \ System32 \ catroot, nhấp chuột phải vào danh mục được đề cập, tab chữ ký số) và Windows Explorer báo cáo rằng các chứng chỉ là "OK" và không 't liệt kê bất kỳ trạng thái thu hồi. Họ là , tuy nhiên, đã hết hạn ...