|
|
|
|
| Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 10 » Службы - Журнал защиты пуст |
|
|
Службы - Журнал защиты пуст
|
Ветеран Сообщения: 1617 |
Всем привет!
Вчера обновился с Win 10 2004 на 20Н2. Все работает корректно за исключением одного момента, а именно. Заметил, что Журнал защиты приложений раздела "Управление приложениями/браузером" перестал фиксировать события, связанные с блокировкой доступа приложений к системным папкам. Т.е. до обновления было так: при запуске некоторых впервые установленных приложений срабатывала защита, о чем незамедлительно оповещал Центр уведомлений соответствующим событием "Доступ заблокирован". После этого можно было там же кликнуть по событию и перейти в Журнал защиты, а там уже выбрать действие "Доверять приложению" (добавить в список исключений). Соответственно сейчас при таком переходе Журнал защиты пуст, события в нем не регистрируются. Кто виноват и что делать? Скрин окна прикрепляю ниже. InkedСнимок экрана 2020-10-23 013703_LI.jpg |
|
|
Отправлено: 01:52, 23-10-2020 |
|
Новый участник Сообщения: 4
|
Профиль | Отправить PM | Цитировать Наблюдаю аналогичное поведение. Журналы защиты в гуе Безопаснть Windows пусты, но если заглянуть в лог Microsoft-Windows-Windows Defender/Operational там все события присутствуют. Кроме того, если открыть уведомление об обнаруженной угрозе и среди предлагаемых действий выбрал разрешить, антивирус не восстановит файл из карантина. В журнале Microsoft-Windows-Windows Defender/Operational есть событие с кодом 1117 в котором указано: Действие: Поместить в карантин.
В журнале Разрешённые угрозы присутствую старые действия, до обновления 20H2. Это создаёт неудобства, т.к. часто уведомления об обнаружении прилетают ещё до того, как ты вошёл в систему, их можно легко пропустить. Пока, добавил в исключения нужные мне "угрозы". |
|
Отправлено: 11:52, 07-11-2020 | #11 |
|
(*.*) Сообщения: 36491
|
Профиль | Сайт | Отправить PM | Цитировать madgrok, Phoenix,
С помощью страницы https://demo.wd.microsoft.com/ я не смог воспроизвести проблему в 20H2 19042.610 и Dev. Конкретно, при отключенном Smart Screen я скачивал тестовые файлы Защита от вирусов https://wdtestgroundstorage.blob.cor...idatecloud.exe PUA http://amtso.eicar.org/PotentiallyUnwanted.exe После обнаружения и/или блокировки события присутствуют в журнале приложения Безопасность Windows  и в журнале событий
Код:
 Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-Windows Defender/Operational"; Id=1116,1117} -MaxEvents 10 | ft -Wrap
ProviderName: Microsoft-Windows-Windows Defender
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
07.11.2020 12:36:35 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/EICAR
_Test_File&threatid=224688&enterprise=0
Name: PUA:Win32/EICAR_Test_File
ID: 224688
Severity: Low
Category: Potentially Unwanted Software
Path: file:_C:\Users\User\Downloads\PotentiallyUnwanted.exe; we
bfile:_C:\Users\User\Downloads\PotentiallyUnwanted.exe|http://amt
so.eicar.org/PotentiallyUnwanted.exe|pid:11840,ProcessStart:132492
153952224654
Detection Origin: Internet
Detection Type: Concrete
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:33 1117 Information Microsoft Defender Antivirus has taken action to protect this mach
ine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
9308,ProcessStart:132492153262273879
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Action: Quarantine
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:26 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
9308,ProcessStart:132492153262273879
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:07 1117 Information Microsoft Defender Antivirus has taken action to protect this mach
ine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
25596,ProcessStart:132492151800183820
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Action: Quarantine
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:01 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
25596,ProcessStart:132492151800183820
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
Поэтому я заносить в центр отзывов не буду. А вы - пожалуйста. Шлите проблему с записью действий. См. также https://www.outsidethebox.ms/19142/#feedbacktips |
|
------- Отправлено: 12:43, 07-11-2020 | #12 |
|
Ветеран Сообщения: 1617
|
Профиль | Отправить PM | Цитировать Цитата madgrok:
С учётом ещё того, что любое приложение при первом запуске автоматически причисляется этим параноидальным PUA к разряду потенциально опасных, приходится лезть в дебри настроек безопасности и там уже вручную добавлять исполняемый файл в список доверенных приложений. По-поводу причин этого явления, не носящего массовый характер: предположу, что дело в способе обновления с 2004 до 20Н2. Я это сделал не через Центр обновлений (мне апдейт автоматически туда не прилетел), а принудительно, посредством утилиты Media Creation Tool. Способ вроде официальный, но м.б. чреват появлением мелких багов, вроде описанного в сабже. P.S. Vadikan, писать никуда не буду, подожду исправления. В целом система работает стабильно. |
|
|
Отправлено: 00:20, 08-11-2020 | #13 |
|
Новый участник Сообщения: 9
|
Профиль | Отправить PM | Цитировать Всем привет.
Столкнулся у себя на ПК с такой же проблемой. Причём, заметил только на 20H2, когда понадобилось разрешить запуск одного файла. Обновлялся штатно с 2004, через WU, компьютер не в домене, учётка с правами администратора (Win 10 x64 Корпоративная). Сравнивал с чистой виртуальной машиной, там проблема не воспроизводилась. Проверял тестовым вирусом eicar c сайта Касперского. В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History. |
|
Отправлено: 10:22, 29-11-2020 | #14 |
|
Ветеран Сообщения: 1617
|
Профиль | Отправить PM | Цитировать У меня папка Servise не удаляется, пишет что используется.
|
|
Отправлено: 19:41, 30-11-2020 | #15 |
|
Ветеран Сообщения: 1617
|
Профиль | Отправить PM | Цитировать Поставил на виртуалку Hyper-V чистую Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. Это возмутительно. Я на них жалобу подам! Коллективную.
|
|
Отправлено: 02:16, 11-01-2021 | #16 |
|
Новый участник Сообщения: 4
|
Профиль | Отправить PM | Цитировать Цитата Duber123:
Цитата Phoenix:
|
||
|
Последний раз редактировалось madgrok, 12-01-2021 в 02:35. Отправлено: 19:45, 11-01-2021 | #17 |
|
Новый участник Сообщения: 1
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Duber123:
|
|
|
Отправлено: 03:43, 24-05-2022 | #18 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Доступ - [решено] chm пуст | Peutrov | Microsoft Windows 10 | 3 | 15-06-2018 00:04 | |
| Темы и Стили - Обзо папок пуст | zettus | Оформление Windows 11/ 10 / 8 / 7 / Vista | 7 | 28-03-2017 19:24 | |
| Разное - Отсутствуют точки восстановления, пуст список обновлений | timber143 | Microsoft Windows 7 | 7 | 25-07-2016 12:36 | |
| Установка - Журнал заметок/ Журнал Windows | monster | Microsoft Windows 7 | 4 | 24-11-2012 16:07 | |
| Службы - проблема с дровами.диспетчер устройств пуст | rumpel66 | Microsoft Windows Vista | 2 | 07-01-2009 22:07 | |
|
|
Время: 21:32. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
