svchost.exe触犯敏感动作防护规则, 已阻止

qtwyy · 发表于 2025-1-11 14:26:49

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE -Command "Start-Process -WindowStyle Hidden task.bat"
操作结果：已阻止
进程ID：2916
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
父进程ID：1316
父进程：C:\Windows\System32\services.exe

父进程命令行：C:\WINDOWS\system32\services.exe

这是什么情况，全盘扫描没有发现问题

火绒运营专员 · 发表于 2025-1-11 14:30:02

您好，您当前的病毒库日期是多少？您是操作什么后会出现此拦截提示呢？

qtwyy · 发表于 2025-1-11 14:36:00

病毒库是20150110，当时是在盗版网站刷剧

火绒运营专员 · 发表于 2025-1-11 14:51:59

qtwyy 发表于 2025-1-11 14:36
病毒库是20150110，当时是在盗版网站刷剧

您好，麻烦您导出火绒的全部安全日志，task.bat文件以及C:\ProgramData\Huorong\Sysdiag（需要显示隐藏文件或者直接复制路径即可）log.db、log.db-shm、log.db-wal这三个文件，我们确认下。

qtwyy · 发表于 2025-1-11 15:19:33

。。。。

火绒运营专员 · 发表于 2025-1-11 15:39:27

qtwyy 发表于 2025-1-11 15:19
。。。。

好的，我们分析下

火绒运营专员 · 发表于 2025-1-13 11:20:34

您好，此问题今日升级病毒库后优化处理，您可升级最新版本病毒库看下是否可以解决，若无法解决麻烦您及时联系我们，感谢您的反馈~