查看: 2674|回复: 13
收起左侧

[已解决] 最近总是被WD提示阻止从lsass.exe中窃取凭据,不知道大家有没有遇到

[复制链接]
dongbingtuo
发表于 2022-2-1 15:51:18 | 显示全部楼层 |阅读模式
本帖最后由 dongbingtuo 于 2022-2-2 14:27 编辑




这几天出现的,总是弹出已阻止风险操作,除了Windows更新,最近并没有安装或者下载什么新软件。----------------------------------------------------------

在2L、3L帮助下已找到原因并解决,万分感谢,关闭asr就不报了,不知道什么时候给开了,完全没有印象
这个警告多了,wd窗口会闪退,也是神奇,不知道是不是bug。关闭asr并清除记录后,暂不闪退了。
感谢ANY.LNK提供的方法清除记录。
https://bbs.kafan.cn/thread-2226464-1-1.html
删掉C:\ProgramData\Microsoft\Windows Defender\Scans\mpenginedb.db这个文件即可解决,注意,此文件在Defender正常运行下会被占用无法删除,需要到恢复或PE环境中删除(安全模式下也没用)



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心心相印
发表于 2022-2-1 15:57:19 | 显示全部楼层
经常遇到,楼主开了asr吗?
anthonyqian
发表于 2022-2-1 16:13:46 | 显示全部楼层
某些应用程序的代码会枚举所有正在运行的进程,并尝试以详尽的权限打开它们。此规则拒绝此操作,并将详细信息记录到安全事件日志中。这个规则会产生许多的干扰信息。此事件日志条目本身并不一定表明存在恶意威胁。


(https://docs.microsoft.com/en-us ... authority-subsystem)
dongbingtuo
 楼主| 发表于 2022-2-1 16:28:01 | 显示全部楼层
本帖最后由 dongbingtuo 于 2022-2-1 16:29 编辑
心心相印 发表于 2022-2-1 15:57
经常遇到,楼主开了asr吗?

看记录1月16日开始的,觉得比较奇怪。不知道是什么原因导致的。而且可能因为保护记录比较多,查看保护记录的时候偶尔还会窗口自己关掉
请问一下asr是哪里设置?
dongbingtuo
 楼主| 发表于 2022-2-1 16:38:19 来自手机 | 显示全部楼层
anthonyqian 发表于 2022-2-1 16:13
(https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduct ...

多谢,应该是开asr了
心心相印
发表于 2022-2-1 16:38:19 | 显示全部楼层
dongbingtuo 发表于 2022-2-1 16:28
看记录1月16日开始的,觉得比较奇怪。不知道是什么原因导致的。而且可能因为保护记录比较多,查看保护记 ...

组策略或者powershell
dongbingtuo
 楼主| 发表于 2022-2-1 16:39:38 来自手机 | 显示全部楼层
心心相印 发表于 2022-2-1 16:38
组策略或者powershell

感谢感谢,应该是打开asr了,多谢您的提醒和三楼文档说明。我现在已经关闭,再观察看看,太感谢了
心心相印
发表于 2022-2-1 16:40:53 | 显示全部楼层
dongbingtuo 发表于 2022-2-1 16:39
感谢感谢,应该是打开asr了,多谢您的提醒和三楼文档说明。我现在已经关闭,再观察看看,太感谢了

开启asr可以防护很多新的病毒的,像这种阻止窃取凭据不会影响程序运行的。
dongbingtuo
 楼主| 发表于 2022-2-1 16:46:55 来自手机 | 显示全部楼层
现在就是不知道如何彻底清除这保护记录了,我把history文件夹下内容删了可还是存在
dongbingtuo
 楼主| 发表于 2022-2-2 00:28:45 | 显示全部楼层
dongbingtuo 发表于 2022-2-1 16:46
现在就是不知道如何彻底清除这保护记录了,我把history文件夹下内容删了可还是存在

https://bbs.kafan.cn/thread-2226464-1-1.html
2L的方法终于成功删除历史记录
删掉C:\ProgramData\Microsoft\Windows Defender\Scans\mpenginedb.db这个文件即可解决,注意,此文件在Defender正常运行下会被占用无法删除,需要到恢复或PE环境中删除(安全模式下也没用)


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 18:35 , Processed in 0.228470 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表