Windows Defender ежедневно жалуется на уже удалённую угрозу / не могу удалить его кэш или историю

Добрый день.

Преамбула: Windows Defender нашёл VirTool:Win32/Obfuscator.XZ в пираченной (каюсь, но к делу не относится) игре на домашней тачке с Windows 10 Pro 22H2 (без каких либо извращений с отключениями обновлений, телеметрии и проч. Обычнная десятка с исо с сайта майкрософта и без стороннего антивируса).


Проблема: Дефендер слегка поехал крышей и решил что он теперь будет гореть в трее угрожающе-красным и сигнализировать ровно каждый день что нашёл тот самый вирус от той самой даты, хотя того файла на диске по тому пути нет и в помине уже. Кнопка Запуск действий ничего не даёт. Кнопки удалить файл нет, переместить в карантин нет, только чекбоксы которые ничего не дают. Создать пустой файл с тем же именем и папку с тем же путём, а потом добавление этой комбинации в исключения ничего не даёт. Предполагаю что дефендер ежедневно сканирует свой же кэш или что там у него. Беглый гуглёж подсказывает что надо почистить папку C:\ProgramData\Microsoft\Windows Defender\Scans\History, но добавление этой папки в исключения не помогло, значит я чего то не понимаю...


Подпроблема: ЭТА БЛ%@СКАЯ ПАПКА НЕ ЧИСТИТСЯ ВООБЩЕ!!1 Ну допустим я понимаю почему у меня с эксплорера нет доступа к файлу. Ну допустим даже из превилегированного эксплорера я не могу сменить владельца системной папки (неактивна кнопка сменить владельца в расширенных настройках безопасности). Но какого спрашивается лешего я из командной строки с правами локальной системы (psexec) запускаю тотал коммандер с правами системы и он при удалении предлагает мне спросить разрешения у системы? Служба дефендера логично не отключается - код ошибки 5 даже из этой консоли с правами системы. Как почистить эту папку?


И надо ли вообще - может вы знаете решение проблемы без перехода к подпроблеме? Нет я конечно почищу эту скотину в безопасном режиме или из под другой ос, но может проще можно, а я в глаза долблюсь?

Благодарю за ваше время.

1

Попробуйте другой антивирус

0

AL_O, Тут были? https://www.thewindowsclub.com... on-history

2

Сообщение от gecata AL_O, Тут были?

Там три варианта.
Второй - почистить папку. Звучит просто, а на деле это моя подпроблема в первом посте и не чистится нифига.
Третий - журнал событий. Пробовали - журнал чистится успешно, проблемы не решает. Визуально после ничего не меняется. Как было см.скриншот 1, так и осталось.
Первый - поменять в дефендере время хранения его истории интереснее. Была мысль, но почему то не развилась. Сейчас попробую, но чует моё сердце что 0 он не захочет, а 1 - ждать результата до завтра. Или дату ему поменять системную...

0

Сообщение от AL_O C:\ProgramData\Microsoft\Windows Defender\Scans\History, но добавление этой папки в исключения не помогло

И не поможет, это только исключит ее из сканирования на вирусы.
На днях была такая же проблема, что только не пробовал. В итоге загрузился со Стрельца и грохнул подпапку Service в папке History.

1

Ноль вводить и не надо. Я так поняла, тогда история вообще чиститься не будет

This specifies the number of days for which items are stored in the scan log folder. After this time, Windows Defender deletes the items. If you specify a null value, Windows Defender will not remove items. If you do not specify a value, Windows Defender will remove items from the default scan log folder, that is, 30 days.

1

Сообщение от gecata AL_O, Тут были?

Опачки. Прогресс, да ещё какой. Первый вариант ВОЗМОЖНО прокатил.
Set-MpPreference -ScanPurgeItemsAfterDelay 1 плюс перевод системного времени на 3-4 суток в будущее визуально помог.


Сейчас время верну как было и тогда - огромное вам спасибо.

0

И потом, в статье рекомендуют удалять не папку History, a вложенную в неё папку Service

2

Сообщение от gecata AL_O, Тут были?

Ну в общем это работает: Set-MpPreference -ScanPurgeItemsAfterDelay 1 плюс перевод системного времени на 3-4 суток в будущее. ВОЗМОЖНО это работает в комбинации с тем что несуществующие в данный момент папки и пути к обнаруженным вредоносным файлам добавлены в исключения, но факт.

А ведь это тоже было в гугле... Надо было поискать чуть дальше, но как же меня выбесила не удаляющаяся от имени NT AUTHORITY\SYSTEM папка. Мозг отключился. Извините и ещё раз спасибо.

Сообщение от gecata И потом, в статье рекомендуют удалять не папку History, a вложенную в неё папку Service

А как её физически удалить из под работающей в данный момент системы не рекомендуют

0

Сообщение от AL_O Беглый гуглёж подсказывает что надо почистить папку C:\ProgramData\Microsoft\Windows Defender\Scans\History

Не пробовал запретить к ней доступ полностью очистив перед этим ? Путь у тебя длинный и не критичный для работы системы. Я не могу запретить доступ только к папкам в корне C:\Windows, а например уже доступ к C:\Windows\SoftwareDistribution запрещён всем. запрет означает то, что в эту папку исключена какая-либо запись в прнципе.
Для того, что-бы иметь возможность становится владельцем файлов-папок применяю простой файлик реестра. Приводить весь файлик (как его сделать )тут не буду, скачай в сети Poleznie soveti dlja Windows 7 от Nizaury. Там порядочно того, что работает и в более свежих ОС.

Миниатюры

 

0

Друг, спасибо тебе за ответ. Я счастлив, что этот форум до сих пор живет. Была такая же проблема. Сейчас попробую решать теми же способами, что человек, задавший тему.

0

Есть другое надёжное решение:

В параметрах уведомлений windows defender снять галочку с "найдены угрозы, но немедленные действия не требуются".

У Винды куча ложных срабатываний на пиратский софт, которые в базе данных имеют "высокий" уровень угрозы. В основном настоящие вирусы имеют "критический" уровень угрозы. "Критические" вирусы у меня удалены (по понятным причинам), не уверен, влияет ли снятие этой галочки на их оперативное обнаружение.

Добавлено через 1 минуту
Критический Obfuscator это жалоба на настоящий вирус, а не просто на кряк, но в моём случае снятие этой галочки помогло справиться с "высоким" уровнем угрозы.

0