重装的系统每天火绒报风险，求助

nsys

防护项目：命令行修改用户账户激活状态
执行文件：C:\Windows\System32\net.exe
执行命令行：net user Guest /active:yes
操作结果：已阻止
进程ID：3916
操作进程：C:\Temp\i386\opennet.bat
操作进程命令行："C:\Windows\System32\cmd.exe" /c opennet.bat
父进程ID：1384
父进程：C:\Windows\System32\wscript.exe
父进程命令行："C:\Windows\System32\WScript.exe" "C:\Temp\i386\opennet.vbs"


每天只发生一次，目前没找到自动生成的bat和vbs文件，有没有办法捕获这两个文件，想找到是什么软件？脚本？计划任务生成的

xiao48047310

你系统怎么激活的？是不是那种kms自动延期的那种激活啊，所以没有开机要自动运行一次，所以被报毒了。

freelive

[搬运]进程监视器(Process Monitor)3.85完整汉化版
https://www.52pojie.cn/thread-1520249-1-1.html

鹿坪

是用什么镜像装的？干净的吗

nsys

鹿坪 发表于 2024-7-20 08:50
是用什么镜像装的？干净的吗

wepe安装的吻妻的win7冬季纯净版，吻妻官网链接，md5之类的码也是对比没问题的
自己玩系统重装也十几年了，pe和gho包到手都没有问题，之前自己用的系统都是原版镜像安装完以后自己驱动、批量补丁包这么做，最近懒了，不待折腾了。看大家推荐这个镜像，就试试，第二天开始每天火绒弹提示

fkxxzc

原版系统飘过

nsys

xiao48047310 发表于 2024-7-20 11:07
你系统怎么激活的？是不是那种kms自动延期的那种激活啊，所以没有开机要自动运行一次，所以被报毒了。

你这么说倒是有可能，win7旗舰版激活不会用kms吧？他不是开机自动运行，不定时，有时候上午有时候下午

xiao48047310

nsys 发表于 2024-7-20 12:03
你这么说倒是有可能，win7旗舰版激活不会用kms吧？他不是开机自动运行，不定时，有时候上午有时候下午

卸载了，找其他激活方式试试，好久没用win7了，就记得以前叫小马激活的，那个当时很不错。

nsys

xiao48047310 发表于 2024-7-20 13:46
卸载了，找其他激活方式试试，好久没用win7了，就记得以前叫小马激活的，那个当时很不错。

不是KMS 和激活应该没关系

小哲网络

把隐藏的项目勾选，显示隐藏文件，