引用:
|
作者cys070
另外你這台裝什麼防毒防火牆?
看一下日誌是不是有被擋到
|
1》防火牆:Malwarebytes Windows Firewall Control
Window防毒保護歷史、防火牆LOG在下列相簿。
https://photos.app.goo.gl/5H8MgiYH8oYDXgnG8
其中最奇怪的是:LOG顯示【Background Intelligent Transfer Service、Windows Update】被阻擋(BLOCK),但點進去后它們卻顯示允許進出(ALLOW)。這好奇怪!
2》防毒:DefenderUI 1.30(推薦配置文件)
Defender安全日志:
Event 1 ID: 1121 - 2024/11/21 21:12:01
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-21T13:12:01.351Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.368.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11
Event 2 ID: 1121 - 2024/11/20 20:37:11
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-20T12:37:11.925Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.368.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11
Event 3 ID: 1121 - 2024/11/20 7:25:16
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-19T23:25:16.000Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.368.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11
Event 4 ID: 1121 - 2024/11/19 20:25:50
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-19T12:25:50.017Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.333.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11
Event 5 ID: 1121 - 2024/11/19 7:15:16
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-18T23:15:16.059Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.333.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11
Event 6 ID: 1121 - 2024/11/18 19:28:02
Message: Microsoft Defender 惡意探索防護已封鎖 IT 系統管理員不允許的作業。
如需詳細資訊,請連絡您的 IT 系統管理員。
識別碼: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
偵測時間: 2024-11-18T11:28:02.126Z
使用者: NT AUTHORITY\SYSTEM
路徑: C:\Windows\System32\svchost.exe
處理程序名稱: C:\Windows\System32\lsass.exe
目標命令列:
上層命令列:
涉及檔案:
繼承旗標: 0x00000000
安全情報版本: 1.421.333.0
引擎版本: 1.1.24090.11
產品版本: 4.18.24090.11