请问系统这样的行为是在干什么

cys014

我使用了坛友的一套自定义规则
发现win10系统每次关机时火绒就会产生这样的拦截日志
而此时桌面已经关闭 我只能在下一次开机时发现这类记录
请问这种行为是在干什么？

操作进程：C:\Windows\system32\csrss.exe
命令行：%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
防护项目：[结束]疑似利用系统进程进行恶意操作
操作目标：【写入】 HKEY_USERS\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows\CurrentVersion\RunOnce\Application Restart #0
操作结果：已允许

火绒运营专员

您好，麻烦您上传一下您这边的自定义规则以及完整的安全日志，我们先看一下，感谢您的反馈~

cys014

火绒运营专员 发表于 2020-2-25 18:20
您好，麻烦您上传一下您这边的自定义规则以及完整的安全日志，我们先看一下，感谢您的反馈~ ...

日志和规则在这里了

191196846

更新一下，这个很早的规则了，不再维护

cys014

191196846 发表于 2020-2-26 04:40
更新一下，这个很早的规则了，不再维护

好的 谢谢大佬

火绒运营专员

cys014 发表于 2020-2-25 18:51
日志和规则在这里了

我们先看一下您的规则和日志，感谢您的反馈~

火绒运营专员

您好，本地导入规则未复现，怀疑您环境设置的规则导致的。方便添加QQ3158498132.我们远程看一下吗，感谢您的反馈~

cys014

火绒运营专员 发表于 2020-2-28 14:10
您好，本地导入规则未复现，怀疑您环境设置的规则导致的。方便添加QQ3158498132.我们远程看一下吗，感谢您 ...

本来我只是想询问一下这种行为，不过现在我本地重新导入规则后也不能复现了
目前更新了坛友的新版规则，不再有这样的提示
不过还是谢谢火绒大官人，不必费心了，结贴吧

火绒运营专员

cys014 发表于 2020-2-28 17:41
本来我只是想询问一下这种行为，不过现在我本地重新导入规则后也不能复现了
目前更新了坛友的新 ...

好的，感谢您的反馈~