Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 10 (http://forum.oszone.net/forumdisplay.php?f=118)
-   -   Журнал защиты пуст (http://forum.oszone.net/showthread.php?t=346794)

Phoenix 23-10-2020 01:52 2937272

Журнал защиты пуст
 
Вложений: 1
Всем привет!

Вчера обновился с Win 10 2004 на 20Н2. Все работает корректно за исключением одного момента, а именно.

Заметил, что Журнал защиты приложений раздела "Управление приложениями/браузером" перестал фиксировать события, связанные с блокировкой доступа приложений к системным папкам.

Т.е. до обновления было так: при запуске некоторых впервые установленных приложений срабатывала защита, о чем незамедлительно оповещал Центр уведомлений соответствующим событием "Доступ заблокирован".
После этого можно было там же кликнуть по событию и перейти в Журнал защиты, а там уже выбрать действие "Доверять приложению" (добавить в список исключений).

Соответственно сейчас при таком переходе Журнал защиты пуст, события в нем не регистрируются.

Кто виноват и что делать?

Скрин окна прикрепляю ниже.

Файл 162744

Phoenix 23-10-2020 14:33 2937318

Вот сегодня опять: Центр уведомлений курлыкнул сводкой о том, что Защитник Windows просканировал столько-то файлов и заблокировал столько-то потенциальных угроз (приложений), но в Журнале по-прежнему пустота Эридана.

Проведите! Проведите меня к нему!
Я хочу увидеть этого человека эти приложения!

памагити.

Vadikan 23-10-2020 14:41 2937319

Код:

Get-MpThreat
Код:

Remove-MpThreat

Phoenix 23-10-2020 14:43 2937320

Vadikan, это в PowerShell нужно выполнить?

В общем выполнил обе команды, первая вывела список залогированных Защитником угроз, а вторая, соответственно, удалила их.
Но дело в том, что эти угрозы я еще ранее (до обновления на 20H2) обезвредил, когда они отображались в Журнале.
После же обновления появлялись новые сообщения, но Журнал по этому поводу девственно чист.

Phoenix 23-10-2020 16:08 2937325

Вложений: 4
Последовательно покажу, со скринами, как смог.
1) В Центре уведомления появляется сообщение:
Файл 162745
2) По клику на него переходим сюда:
Файл 162746
3) Жму на ссылку "Параметры защиты на основе репутации" и попадаю сюда:
Файл 162747
4) Нажимаю внизу на ссылку "Журнал защиты" и он открывается, но пустой:
Файл 162748
Раньше был список событий с выбором действий - оставить блокировку, либо разрешить доступ.

Собственно вопрос: как вернуть былое состояние?

Vadikan 23-10-2020 16:26 2937328

Если проблема наблюдается в безопасном режиме, пишите в поддержку Майкрософт. Это бесплатно.

Phoenix 23-10-2020 18:15 2937342

Цитата:

Цитата Vadikan
Если проблема наблюдается в безопасном режиме, пишите в поддержку Майкрософт. Это бесплатно. »

В Безопасном режиме Центр обновлений (в котором находится PUA) вообще не функционален (пуст).

В общем вот моя проблема, это сломалось.

У кого после обновления с 2004 на 20Н2 так же - отпишитесь, плиз.

Phoenix 26-10-2020 00:06 2937558

Vadikan, а у вас какая версия десятки стоит? Такой проблемы не наблюдается?

Vadikan 27-10-2020 00:21 2937679

Phoenix, у меня RP, угроз нет, и я не знаю, как их сэмулировать.

Сообщения от контроля папок есть https://i.imgur.com/i1kPie1.png (но их не будет в Get-MpThreat).

Phoenix 27-10-2020 01:53 2937686

Цитата:

Цитата Vadikan
Сообщения от контроля папок есть »

Вот и у меня были с выбором действия (кнопка Actions), а после обновления эти сообщения не регистрируются.

Ладно, подожду следующий апдейт, может починят (если мой случай не частный).

Пока пользуюсь костылем в виде добавления доверенных приложений в список исключений защиты папок.

Спасибо за ответ.

madgrok 07-11-2020 11:52 2939022

Наблюдаю аналогичное поведение. Журналы защиты в гуе Безопаснть Windows пусты, но если заглянуть в лог Microsoft-Windows-Windows Defender/Operational там все события присутствуют. Кроме того, если открыть уведомление об обнаруженной угрозе и среди предлагаемых действий выбрал разрешить, антивирус не восстановит файл из карантина. В журнале Microsoft-Windows-Windows Defender/Operational есть событие с кодом 1117 в котором указано: Действие: Поместить в карантин.
В журнале Разрешённые угрозы присутствую старые действия, до обновления 20H2.

Это создаёт неудобства, т.к. часто уведомления об обнаружении прилетают ещё до того, как ты вошёл в систему, их можно легко пропустить. Пока, добавил в исключения нужные мне "угрозы".

Vadikan 07-11-2020 12:43 2939028

madgrok, Phoenix,
С помощью страницы https://demo.wd.microsoft.com/ я не смог воспроизвести проблему в 20H2 19042.610 и Dev. Конкретно, при отключенном Smart Screen я скачивал тестовые файлы
Защита от вирусов https://wdtestgroundstorage.blob.cor...idatecloud.exe
PUA http://amtso.eicar.org/PotentiallyUnwanted.exe

После обнаружения и/или блокировки события присутствуют в журнале приложения Безопасность Windows


и в журнале событий
Код:

Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-Windows Defender/Operational"; Id=1116,1117} -MaxEvents 10 | ft -Wrap


  ProviderName: Microsoft-Windows-Windows Defender

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
07.11.2020 12:36:35            1116 Warning          Microsoft Defender Antivirus has detected malware or other potenti
                                                    ally unwanted software.
                                                      For more information please see the following:
                                                    https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/EICAR
                                                    _Test_File&threatid=224688&enterprise=0
                                                        Name: PUA:Win32/EICAR_Test_File
                                                        ID: 224688
                                                        Severity: Low
                                                        Category: Potentially Unwanted Software
                                                        Path: file:_C:\Users\User\Downloads\PotentiallyUnwanted.exe; we
                                                    bfile:_C:\Users\User\Downloads\PotentiallyUnwanted.exe|http://amt
                                                    so.eicar.org/PotentiallyUnwanted.exe|pid:11840,ProcessStart:132492
                                                    153952224654
                                                        Detection Origin: Internet
                                                        Detection Type: Concrete
                                                        Detection Source: Downloads and attachments
                                                        User: PC\User
                                                        Process Name: Unknown
                                                        Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
                                                      NIS: 1.327.473.0
                                                        Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:33            1117 Information      Microsoft Defender Antivirus has taken action to protect this mach
                                                    ine from malware or other potentially unwanted software.
                                                      For more information please see the following:
                                                    https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
                                                    Bladabindi!ml&threatid=2147748148&enterprise=0
                                                        Name: Backdoor:Win32/Bladabindi!ml
                                                        ID: 2147748148
                                                        Severity: Severe
                                                        Category: Backdoor
                                                        Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
                                                    _C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
                                                    orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
                                                    9308,ProcessStart:132492153262273879
                                                        Detection Origin: Internet
                                                        Detection Type: FastPath
                                                        Detection Source: Downloads and attachments
                                                        User: NT AUTHORITY\SYSTEM
                                                        Process Name: Unknown
                                                        Action: Quarantine
                                                        Action Status:  No additional actions required
                                                        Error Code: 0x00000000
                                                        Error description: The operation completed successfully.
                                                        Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
                                                      NIS: 1.327.473.0
                                                        Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:26            1116 Warning          Microsoft Defender Antivirus has detected malware or other potenti
                                                    ally unwanted software.
                                                      For more information please see the following:
                                                    https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
                                                    Bladabindi!ml&threatid=2147748148&enterprise=0
                                                        Name: Backdoor:Win32/Bladabindi!ml
                                                        ID: 2147748148
                                                        Severity: Severe
                                                        Category: Backdoor
                                                        Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
                                                    _C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
                                                    orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
                                                    9308,ProcessStart:132492153262273879
                                                        Detection Origin: Internet
                                                        Detection Type: FastPath
                                                        Detection Source: Downloads and attachments
                                                        User: PC\User
                                                        Process Name: Unknown
                                                        Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
                                                      NIS: 1.327.473.0
                                                        Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:07            1117 Information      Microsoft Defender Antivirus has taken action to protect this mach
                                                    ine from malware or other potentially unwanted software.
                                                      For more information please see the following:
                                                    https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
                                                    Bladabindi!ml&threatid=2147748148&enterprise=0
                                                        Name: Backdoor:Win32/Bladabindi!ml
                                                        ID: 2147748148
                                                        Severity: Severe
                                                        Category: Backdoor
                                                        Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
                                                    _C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
                                                    orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
                                                    25596,ProcessStart:132492151800183820
                                                        Detection Origin: Internet
                                                        Detection Type: FastPath
                                                        Detection Source: Downloads and attachments
                                                        User: NT AUTHORITY\SYSTEM
                                                        Process Name: Unknown
                                                        Action: Quarantine
                                                        Action Status:  No additional actions required
                                                        Error Code: 0x00000000
                                                        Error description: The operation completed successfully.
                                                        Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
                                                      NIS: 1.327.473.0
                                                        Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:01            1116 Warning          Microsoft Defender Antivirus has detected malware or other potenti
                                                    ally unwanted software.
                                                      For more information please see the following:
                                                    https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
                                                    Bladabindi!ml&threatid=2147748148&enterprise=0
                                                        Name: Backdoor:Win32/Bladabindi!ml
                                                        ID: 2147748148
                                                        Severity: Severe
                                                        Category: Backdoor
                                                        Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
                                                    _C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
                                                    orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
                                                    25596,ProcessStart:132492151800183820
                                                        Detection Origin: Internet
                                                        Detection Type: FastPath
                                                        Detection Source: Downloads and attachments
                                                        User: PC\User
                                                        Process Name: Unknown
                                                        Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
                                                      NIS: 1.327.473.0
                                                        Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5




Поэтому я заносить в центр отзывов не буду. А вы - пожалуйста. Шлите проблему с записью действий. См. также https://www.outsidethebox.ms/19142/#feedbacktips

Phoenix 08-11-2020 00:20 2939070

Цитата:

Цитата madgrok
Пока, добавил в исключения нужные мне "угрозы". »

Тоже так делаю, но это крайне неудобно.
С учётом ещё того, что любое приложение при первом запуске автоматически причисляется этим параноидальным PUA к разряду потенциально опасных, приходится лезть в дебри настроек безопасности и там уже вручную добавлять исполняемый файл в список доверенных приложений.

По-поводу причин этого явления, не носящего массовый характер: предположу, что дело в способе обновления с 2004 до 20Н2. Я это сделал не через Центр обновлений (мне апдейт автоматически туда не прилетел), а принудительно, посредством утилиты Media Creation Tool. Способ вроде официальный, но м.б. чреват появлением мелких багов, вроде описанного в сабже.

P.S.

Vadikan, писать никуда не буду, подожду исправления. В целом система работает стабильно.

Duber123 29-11-2020 10:22 2941388

Всем привет.
Столкнулся у себя на ПК с такой же проблемой. Причём, заметил только на 20H2, когда понадобилось разрешить запуск одного файла.
Обновлялся штатно с 2004, через WU, компьютер не в домене, учётка с правами администратора (Win 10 x64 Корпоративная).
Сравнивал с чистой виртуальной машиной, там проблема не воспроизводилась. Проверял тестовым вирусом eicar c сайта Касперского.
В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History.

Phoenix 30-11-2020 19:41 2941581

У меня папка Servise не удаляется, пишет что используется.

Phoenix 11-01-2021 02:16 2945729

Поставил на виртуалку Hyper-V чистую Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. Это возмутительно. Я на них жалобу подам! Коллективную.

madgrok 11-01-2021 19:45 2945819

Цитата:

Цитата Duber123
вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History »

В моём случае это не сработало.

Цитата:

Цитата Phoenix
Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. »

Месяц назад, почти сразу после моего поста, собрал новый компьютер. Установил 20H2 с 0. Всё ОК, в журналах всё регистрируется, до сих пор никаких проблем.

x_meat_x_eater_x@vk 24-05-2022 03:43 2985576

Цитата:

Цитата Duber123
В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History. »

Спасибо! Помогло, около полугода мучаюсь. Целиком папка не удалялась по частям почистил и всё вылечилось.


Время: 14:16.

Время: 14:16.
© OSzone.net 2001-