火绒安全软件

标题: 新电脑最近提示scvhost.exe触犯敏感动作保护规则 [打印本页]

作者: XieYunRunner 时间: 2025-1-14 13:56
标题: 新电脑最近提示scvhost.exe触犯敏感动作保护规则

软件截图

【1】2025-01-14 10:23:57,其他,升级日志,自动更新成功，版本号：6.0.5.0

升级方式：自动更新
升级结果：成功，版本号：6.0.5.0，病毒库时间：2025-01-13 18:11
下载文件：
2025-01-14 10:23:56 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-01-14 10:23:56 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-01-14 10:23:56 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-01-14 10:23:56 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\wlst.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\wlst.db
2025-01-14 10:23:57 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2025-01-14 10:07:34,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 已阻止

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE -Command "Start-Process -WindowStyle Hidden task.bat"
操作结果：已阻止
进程ID：3704
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
操作进程校验和：55EFB424933087D755B18468BC574DB4463D9CE6
父进程ID：1952
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\WINDOWS\system32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2025-01-14 10:03:22,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 已阻止

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE -Command "Start-Process -WindowStyle Hidden task.bat"
操作结果：已阻止
进程ID：3704
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
操作进程校验和：55EFB424933087D755B18468BC574DB4463D9CE6
父进程ID：1952
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\WINDOWS\system32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2025-01-14 05:08:47,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 已阻止

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE -Command "Start-Process -WindowStyle Hidden task.bat"
操作结果：已阻止
进程ID：3704
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
操作进程校验和：55EFB424933087D755B18468BC574DB4463D9CE6
父进程ID：1952
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\WINDOWS\system32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2025-01-14 02:08:47,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 已阻止

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE -Command "Start-Process -WindowStyle Hidden task.bat"
操作结果：已阻止
进程ID：3704
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
操作进程校验和：55EFB424933087D755B18468BC574DB4463D9CE6
父进程ID：1952
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\WINDOWS\system32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

作者: 火绒运营专员 时间: 2025-1-14 13:59
您好，您反馈的问题这边已收到，更新至病毒库时间：2025-01-13 18:11后有再出现此问题吗？

作者: XieYunRunner 时间: 2025-1-14 14:05

火绒运营专员发表于 2025-1-14 13:59
您好，您反馈的问题这边已收到，更新至病毒库时间：2025-01-13 18:11后有再出现此问题吗？ ...

感谢这么快回复。我的病毒库是最新的，最近一次这个提示是8小时前，应该是更新病毒库之后。

作者: 火绒运营专员 时间: 2025-1-14 14:07

XieYunRunner 发表于 2025-1-14 14:05
感谢这么快回复。我的病毒库是最新的，最近一次这个提示是8小时前，应该是更新病毒库之后。
...

看您日志记录病毒库更新时间为今天上午，今天上午10:23分到现在有再出现异常提示吗？

作者: XieYunRunner 时间: 2025-1-14 14:13

火绒运营专员发表于 2025-1-14 14:07
看您日志记录病毒库更新时间为今天上午，今天上午10:23分到现在有再出现异常提示吗？ ...

10:23之后没再出现提示

作者: 火绒运营专员 时间: 2025-1-14 14:15

XieYunRunner 发表于 2025-1-14 14:13
10:23之后没再出现提示

好的，您再观察下，如果有再出现您及时联系我们~

作者: lxw95955 时间: 2025-1-15 11:12
我也有这个情况。

作者: 火绒运营专员 时间: 2025-1-15 11:15

lxw95955 发表于 2025-1-15 11:12
我也有这个情况。

您好，您这边是最新版本病毒库吗？麻烦您把火绒安全日志导出这边看下呢~

作者: 火绒运营专员 时间: 2025-1-15 12:59

XieYunRunner 发表于 2025-1-14 14:13
10:23之后没再出现提示

您好，系统加固问题有再出现提示吗？

作者: lxw95955 时间: 2025-1-16 10:41

火绒运营专员发表于 2025-1-15 11:15
您好，您这边是最新版本病毒库吗？麻烦您把火绒安全日志导出这边看下呢~ ...

你好，附件上传了安全日志。

2025.1.15.zip

580 Bytes, 下载次数: 2, 下载积分: 金钱 -1

安全日誌

作者: 火绒运营专员 时间: 2025-1-16 10:46

lxw95955 发表于 2025-1-16 10:41
你好，附件上传了安全日志。

您好，麻烦您将火绒的全部安全日志导出这边看下，看您上传的附件只有一条记录呢，您这边病毒库是否为最新呢？

作者: lxw95955 时间: 2025-1-16 10:58

火绒运营专员发表于 2025-1-16 10:46
您好，麻烦您将火绒的全部安全日志导出这边看下，看您上传的附件只有一条记录呢，您这边病毒库是否为最新 ...

这里有好几天的记录,昨天在官网下载安装包覆盖安装了，全盘扫描了，今天暂时没有警报。

2025.1.16.zip

1.67 KB, 下载次数: 4, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-1-16 11:07

lxw95955 发表于 2025-1-16 10:58
这里有好几天的记录,昨天在官网下载安装包覆盖安装了，全盘扫描了，今天暂时没有警报。
...

好的，这边在13日病毒库更新后对系统加固问题做了规则优化，您再观察下，如果有再出现问题您及时联系我们~

作者: 火绒运营专员 时间: 2025-1-17 12:33
您好，目前最新版本已对此问题做优化处理，后续有问题您及时联系我们，感谢您的反馈~

作者: 火绒运营专员 时间: 2025-1-20 13:34

lxw95955 发表于 2025-1-15 11:12
我也有这个情况。

您好，目前最新版本已对此问题做优化处理，后续有问题您及时联系我们，感谢您的反馈~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)