Так что для некоторого контекста я немного параноик, потому что несколько дней назад я позволил подруге собрать ее презентацию PowerPoint на моем ноутбуке с Windows 8.1 Pro N, и когда я на мгновение отвел взгляд, она вставила флэш-накопитель чтобы сохранить ее работу. Как правило, я не допускаю использования таинственных приводов в своих компьютерах. Особенно не из менее технологически грамотных. :)

Я не заметил ничего необычного до сегодняшнего дня. Я иногда вижу высокую загрузку ЦП из-за различных фоновых процессов, особенно связанных с Центром обновления Windows. Обычно это продолжается некоторое время, а затем останавливается. Но сегодня я видел то, чего никогда не видел: MsMpEng.exe/ Защитник Windows использует 100% ЦП более пяти часов. Он обновился сегодня: однажды, когда я загрузился, и только сейчас, когда я обновил вручную (и не увидел изменений).

Я оставил это в покое на некоторое время на случай, если бы он действительно делал то, о чем заботился. Но это не остановило, поэтому я решил открыть Resource Monitor, чтобы посмотреть, что он делает. MsMpEng.exe читает набор файлов в C:\Windows\System32\catroot, который, как я полагаю, является частью планового сканирования, хотя я не могу найти никаких других признаков того, что сканирование выполняется. Но что меня по-настоящему беспокоило, так это то, что наиболее записанным в файл (системой) является файл журнала событий целостности кода Microsoft Windows.

Поэтому я открыл окно просмотра событий и обнаружил, что почти непрерывно 1700 предупреждающих событий (точное число иногда меньше, иногда выше) выглядят так:

Код целостности не удалось загрузить каталог Microsoft-Windows-WMPNetworkSharingService-Package ~ 31bf3856ad364e35 ~ amd64 ~~ 6.3.9600.16384.cat, так как сертификат подписи для этого каталога был отозван. Это может привести к невозможности загрузки изображений, поскольку не удается найти действительную подпись. Узнайте у издателя, доступна ли новая подписанная версия каталога и изображений.

создаются (с изменением конкретного .cat), а затем удаляются.

В чем дело? Я не могу найти какие-либо релевантные результаты в Google для этого конкретного события, и я могу представить, что это результат какого-то вредоносного ПО. Если сертификат отозван, каталог не будет заменен через Центр обновления Windows? Останется ли когда-нибудь Защитник Windows во время запуска этого события? Похоже, когда я обновляюсь, те же каталоги появляются с новыми событиями.

Обновить:

Я также запустил sfc /scannow, который обнаружил поврежденный (принтерный) драйвер, который я восстановил с помощью dism. После перезагрузки я не вижу 100% загрузки ЦП от Защитника Windows, но похоже, что он работал сегодня утром и зарегистрировал те же ~ 1700 предупреждений о сертификатах. Кроме того, я заметил, что некоторые журналы ошибок были включены на этот раз - не уверен, что они всегда были, их гораздо меньше. Они выглядят так:

Целостность кода определила, что процесс (\Device\HarddiskVolume2\Program Files\ Защитник Windows \ MsMpEng.exe) попытался загрузить \Device\HarddiskVolume2\Program Files\ Microsoft Silverlight \ xapauthenticodesip.dll, который не соответствует уровню подписи Custom 3 / Antimalware требования.

Все еще полностью сбит с толку относительно того, что происходит. Что бы это ни стоило, похоже, что все предупреждения относятся к разным каталогам проигрывателя Windows Media, а все ошибки - к одной и той же библиотеке DLL Silverlight.

Обновление 2: Я также посмотрел непосредственно на сертификаты (перейдите по адресу C:\Windows\System32\catroot, щелкните правой кнопкой мыши по соответствующему каталогу, вкладка цифровых подписей), и Windows Explorer сообщает, что сертификаты в порядке и не работают. не перечислять статус отзыва. Они, однако, истек ...

0