Defender新的问题

显示全部楼层 · 发表于 2021-8-7 20:45:29

在处理Backdoor:Win32/Bladabindi!ml类威胁（目前仅观测到在此类威胁时出现该问题）时显示已对威胁采取措施，执行隔离操作，但威胁仍然在

附其中一次的日志

Microsoft Defender 防病毒采取了措施以保护此计算机防御恶意软件或其他可能不需要的软件。
有关详细信息，请参阅以下内容:
https://go.microsoft.com/fwlink/ ... 48&enterprise=0
名称: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
严重性: 严重
类别: 后门程序
路径: file:_C:\Users\<User Name>\Downloads\20201225-20210106\ALL\99174e98e1733a52f0f9cad882a2388c.exe
检测起源: 本地计算机
检测类型: 快速路径
检测源: 用户
用户: DESKTOP-KV90KIP\<sign in user name>
进程名称: Unknown
操作: 删除
操作状态: No additional actions required
错误代码: 0x80508023
错误描述: 程序在此设备上找不到恶意软件和其他可能不需要的软件。
安全智能版本: AV: 1.345.101.0, AS: 1.345.101.0, NIS: 1.345.101.0

引擎版本: AM: 1.1.18400.4, NIS: 1.1.18400.4

+	System

-	Provider

[ Name]

Microsoft-Windows-Windows Defender

[ Guid]

{11cd958a-c507-4ef3-b3f2-5fd9dfbd2c78}

EventID

1117

Version

0

Level

4

Task

0

Opcode

0

Keywords

0x8000000000000000

-	TimeCreated

[ SystemTime]

2021-08-07T12:30:36.2799697Z

EventRecordID

117609

Correlation

-	Execution

[ ProcessID]

4592

[ ThreadID]

832

Channel

Microsoft-Windows-Windows Defender/Operational

Computer

DESKTOP-KV90KIP

-	Security

[ UserID]

S-1-5-18

-	EventData

Product Name

Microsoft Defender 防病毒

Product Version

4.18.2107.4

Detection ID

{408795D4-6343-4719-9B8D-51429EF2A520}

Detection Time

2021-08-07T12:30:12.181Z

Unused

Unused2

Threat ID

2147748148

Threat Name

Backdoor:Win32/Bladabindi!ml

Severity ID

5

Severity Name

严重

Category ID

6

Category Name

后门程序

FWLink

https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/Bladabindi!ml&threatid=2147748148&enterprise=0

Status Code

4

Status Description

State

2

Source ID

1

Source Name

用户

Process Name

Unknown

Detection User

DESKTOP-KV90KIP\<sign in user name>

Unused3

Path

file:_C:\Users\<User Name>\Downloads\20201225-20210106\ALL\99174e98e1733a52f0f9cad882a2388c.exe

Origin ID

1

Origin Name

本地计算机

Execution ID

0

Execution Name

未知

Type ID

8

Type Name

快速路径

Pre Execution Status

0

Action ID

3

Action Name

删除

Unused4

Error Code

0x80508023

Error Description

程序在此设备上找不到恶意软件和其他可能不需要的软件。

Unused5

Post Clean Status

0

Additional Actions ID

0

Additional Actions String

No additional actions required

Remediation User

DESKTOP-KV90KIP\<sign in user name>

Unused6

Security intelligence Version

AV: 1.345.101.0, AS: 1.345.101.0, NIS: 1.345.101.0

Engine Version

AM: 1.1.18400.4, NIS: 1.1.18400.4

显示全部楼层 · 发表于 2021-8-7 21:44:58

可能是并发执行多个处理流程，然鹅，机制并不健全也不完善导致的吧！就像模拟多个杀毒软件同时处理病毒一样。。猜的猜的猜的

显示全部楼层 · 发表于 2021-8-7 22:15:25

ELOHIM 发表于 2021-8-7 21:44
可能是并发执行多个处理流程，然鹅，机制并不健全也不完善导致的吧！就像模拟多个杀毒软件同时处理病毒一样 ...

但这个bug总是出现在这一种威胁上，而且威胁总是显示已处理，但文件仍在原位置未动，并且还会反复报告。
而且当其他威胁都处理完后再处理这一个威胁仍会报告同样的错误

显示全部楼层 · 发表于 2021-8-8 11:18:15

ANY.LNK 发表于 2021-8-7 22:15
但这个bug总是出现在这一种威胁上，而且威胁总是显示已处理，但文件仍在原位置未动，并且还会反复报告。
...

处理过程建议不要重复进入样本文件夹。

显示全部楼层 · 发表于 2021-8-8 12:44:23

ELOHIM 发表于 2021-8-8 11:18
处理过程建议不要重复进入样本文件夹。

就进了一次，有的时候甚至都没有进样本文件夹

[其他事项] Defender新的问题

浏览过的版块