Assim, em algum contexto, estou um pouco paranóico porque, há alguns dias, deixei uma amiga colocar sua apresentação em PowerPoint no meu laptop Windows NT Pro N, e quando eu desviei o olhar por um momento, ela inseriu um thumbdrive para salvar seu trabalho. Como regra, eu não permito thumbdrives misteriosos em meus computadores. Especialmente não do menos tecnologicamente alfabetizado. :)
Eu não notei nada incomum até hoje. Ocasionalmente, vejo alto uso de CPU de vários processos em segundo plano, especialmente os associados ao Windows Update. Geralmente, dura um pouco e depois pára. Mas hoje, vi algo que nunca vi antes: o MsMpEng.exe / Windows Defender usa 100% da CPU há mais de cinco horas . Ele atualizou hoje: uma vez quando eu inicializei, e apenas agora, quando atualizei manualmente (e não vi nenhuma alteração).
Eu deixo sozinho sozinho por um tempo no caso de estar realmente fazendo algo com o que eu me importava. Mas isso não parou, então decidi abrir o Monitor de Recursos para ver o que estava fazendo. MsMpEng.exe está lendo um monte de arquivos em C: \ Windows \ System32 \ catroot, que eu assumo é parte de uma verificação agendada, embora eu não possa encontrar qualquer outra indicação de uma verificação está em andamento. Mas o que realmente me preocupa é o seguinte: o mais escrito para o arquivo (pelo System) é um arquivo de log de eventos do Microsoft Windows Code Integrity.
Então eu abri o Visualizador de Eventos e descobri que, quase continuamente, 1700 eventos de aviso (o número exato é algumas vezes menor, às vezes maior) que se parecem com isso:
Code Integrity was unable to load the Microsoft-Windows-WMPNetworkSharingService-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.cat catalog because the signing certificate for this catalog has been revoked. This can result in images failing to load because a valid signature cannot be found. Check with the publisher to see if a new signed version of the catalog and images are available.
estão sendo criados (com o particular .cat variando) e depois excluídos.
O que está acontecendo? Não consigo encontrar nenhum resultado relevante no Google para esse evento específico, e posso imaginar que isso é resultado de algum tipo de malware. Se o certificado for revogado, o catálogo não será substituído pelo Windows Update? O Windows Defender nunca terminará a execução enquanto esse evento estiver sendo acionado? Parece que quando eu atualizo, os mesmos catálogos estão aparecendo com novos eventos.
Atualização:
Eu também executei o sfc / scannow, que detectou um driver corrompido (impressora) que eu consertei com o dism. Após uma reinicialização, não estou vendo o uso de 100% da CPU do Windows Defender, mas parece que ele foi executado hoje de manhã e registrou os mesmos avisos de certificado ~ 1700. Além disso, notei que alguns logs de erro foram incluídos desta vez - não tenho certeza se eles sempre foram, há muito menos deles. Eles se parecem com isso:
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files\Windows Defender\MsMpEng.exe) attempted to load \Device\HarddiskVolume2\Program Files\Microsoft Silverlight\xapauthenticodesip.dll that did not meet the Custom 3 / Antimalware signing level requirements.
Ainda totalmente confuso sobre o que está acontecendo. Por que vale a pena, parece que todos os avisos são sobre diferentes catálogos do Windows Media Player, enquanto todos os erros são sobre a mesma DLL do Silverlight.
Atualização 2: também examinei diretamente os certificados (navegue até C: \ Windows \ System32 \ catroot, clique com o botão direito do mouse no catálogo em questão, guia assinaturas digitais) e o Windows Explorer informa que os certificados estão "OK "e não lista nenhum status de revogação. Eles são , no entanto, expirados ...