AzureAttestServiceInstaller.exe触犯注册表防护规则, 已阻止

emc25277 · 发表于 2022-6-16 16:45:17

查了下好像是这个: Azure 证明概述 | Microsoft Docs

【1】2022-06-15 19:28:45,其他,升级日志,自动更新成功，版本号：5.0.68.3

升级方式：自动更新
升级结果：成功，版本号：5.0.68.3，病毒库时间：2022-06-15 17:27
下载文件：
2022-06-15 19:28:45 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.dat
2022-06-15 19:28:45 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.tdl
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

更新文件：
2022-06-15 19:28:45 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.dat
2022-06-15 19:28:45 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.tdl
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2022-06-15 19:28:45 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2022-06-15 19:12:15,系统防护,系统加固,AzureAttestServiceInstaller.exe触犯注册表防护规则, 已阻止

防护项目：系统服务扩展项
操作类型：修改
数据内容：C:\Program Files\Microsoft\AzureAttestService\AzureAttestService.dll
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AzureAttestService\Parameters\ServiceDLL
操作结果：已阻止

进程ID：5420
操作进程：C:\Program Files\Microsoft\AzureAttestService\AzureAttestServiceInstaller.exe
操作进程命令行："C:\Program Files\Microsoft\AzureAttestService\AzureAttestServiceInstaller.exe" -Install AzureAttestService.dll
操作进程校验和：3222E447E3CB33AB2508164929CDEE7E2CD82766
父进程ID：9316
父进程：C:\Windows\System32\msiexec.exe
父进程命令行：C:\WINDOWS\system32\msiexec.exe /V
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2022-06-14 22:35:05,其他,升级日志,自动更新成功，版本号：5.0.68.3

升级方式：自动更新
升级结果：成功，版本号：5.0.68.3，病毒库时间：2022-06-14 19:13
下载文件：
2022-06-14 22:35:05 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.dat
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

更新文件：
2022-06-14 22:35:05 F:\BootStartup\Huorong\Sysdiag\bin\libvxf.dat
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2022-06-14 22:35:05 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

火绒运营专员 · 发表于 2022-6-16 16:51:31

您好，“系统服务扩展项”为火绒系统加固防御点，如果您信任该软件，可勾选下次不在询问，点击允许，若该软件不是您主动使用的，建议您先进行全盘查杀扫描电脑中是否存在病毒

emc25277 · 发表于 2022-6-16 17:45:45

火绒运营专员发表于 2022-6-16 16:51
您好，“系统服务扩展项”为火绒系统加固防御点，如果您信任该软件，可勾选下次不在询问，点击允许，若该软 ...

嗯, 这个解决方法我知道的. ..问题在于, 这不是windows的进程么我是WIN11预览版

火绒运营专员 · 发表于 2022-6-16 17:54:13

emc25277 发表于 2022-6-16 17:45
嗯, 这个解决方法我知道的. ..问题在于, 这不是windows的进程么我是WIN11预览版 ...

该进程中存在修改系统服务扩展的行为，因此会被系统加固监测到~

emc25277 · 发表于 2022-6-16 17:58:24

火绒运营专员发表于 2022-6-16 17:54
该进程中存在修改系统服务扩展的行为，因此会被系统加固监测到~

明白了, 谢谢