none
Проблема с настройкой защитника Windows 8.1 RRS feed

  • Вопрос

  • Прошу совета. В ноутбуке ASUS (x64) установлена Windows 8.1 для одного языка, Windows ежедневно обновляется. В один день (06.12.2018) машина была заражена вирусами из интернета. Защитник Windows не смог обнаружить все вирусы (хотя пару вирусов обнаружил). Машина перестала нормально работать: Internet Explorer  не мог запуститься или не мог открывать сайты и др. Пришлось последовательно скачивать и запускать бесплатные лечащие утилиты ДрВеб и Касперский, которые нашли и удалили ещё около десятка вирусов. После этого машина заработала нормально за исключением того, что в Параметрах Защитника Windows (Исключенные файлы и расположения) появилось порядка двух десятков строк типа: C:\Program Files (x86)\FwSovmDEwNCmc. При выделении такой строки пункт "Удалить" не активен. Указанные в строках объекты на диске отсутствуют. При открытии пункта "Исключенные файлы и расположения" отображается "Для вашей защиты некоторые параметры управляются администратором безопасности". Но самого параметр  "администратор безопасности" в Защитнике Windows отсутствует и в Windows я его не обнаружил.  Можно ли удалить неактивные строки из пункта "Исключенные файлы и расположения"?

    2 января 2019 г. 12:28

Ответы

  • как правило надпись такого рода как у вас значит что параметр задан через политику. Посмотрите редактор политик на предмет выставленных значений из вашего списка.

    Так же вероятно наличие записей в реестре, что так же было бы не лишним поискать.

    К слову сказать если вирус был не 1, а 20 - то оптимальным решением была бы переустановка ос, что бы быть уверенным в том что висусов не было 25 из которых ненайденные компоненты вирусов могут восстановить удаленные свои части


    The opinion expressed by me is not an official position of Microsoft

    2 января 2019 г. 13:09
    Модератор
  • если вы нашли кусок реестра который отвечает за необходимый функционал, то что вам мешает далить или изменить содержимое упомянутых веток?

    The opinion expressed by me is not an official position of Microsoft

    4 января 2019 г. 7:53
    Модератор
  • Ветки не надо. Удаляйте значения ключей. То, что в вашем сообщении после кавычек. С некоторой долей вероятности у Вас ничего не выйдет, значит вирус подпортил систему и обеспечил себе дырочку, чтобы вернуться.
    4 января 2019 г. 13:44
  • Правильно, удаляйте имя в правой части редактора
    4 января 2019 г. 15:14
  • Проверьте, что гадости  с именами   hlmYOBzzkhOQObegL  vojopRTptbUn   rahyGZuU    tUHYJBGMkLVOl   и т.п.  больше нигде не встречаются ни в реестре, ни в файловой системе. Проверьте директорию C:\Program Files (x86), нет ли там ещё чего подозрительного. Проверьте все источники автозагрузки тоже. В 8.1 можно смотреть в диспетчере задач.
    • Изменено RH6M6 4 января 2019 г. 20:35
    • Помечено в качестве ответа vladimirdan_vladimirdan 5 января 2019 г. 8:14
    4 января 2019 г. 20:30
  • В файловой системе -- во всём компьютере. Имена папок могут совпадать с теми, что уже использовались вирусом, эти можно пошерстить поиском, а могут и не совпадать. Тут нужнен творческий подход. Вирус селился  преимущественно в директории  для  32-разрядных программ, поэтому проверьте её наиболее тщательно. Если Вы обнаружите программы / папки, происхождение которых не понятно, лучше удалить их. В диспетчере есть вкладка "автозагрузка". Точно так же, назначение всех самозапускаемых программ должно быть Вам понятно. Проверка всего компьютера — дело долгое и всё равно не гарантирует, что Вы найдёте все закоулки, в которых мог спрятаться вирус, ведь не известно точно, что надо искать.  Поэтому переустановка — быстрее и дешевле. Особенно, если на компьютере пользователя есть реальные финансовые инструменты. Да, и посоветуйте хозяину компьютера сменить все пароли во всех аккаунтах, во всех магазинах, интернет-площадках, сменить все проверочные коды на банковских карточках, которые хоть раз использовались с этого компьютера, или перевыпустить их.
    5 января 2019 г. 2:16

Все ответы

  • как правило надпись такого рода как у вас значит что параметр задан через политику. Посмотрите редактор политик на предмет выставленных значений из вашего списка.

    Так же вероятно наличие записей в реестре, что так же было бы не лишним поискать.

    К слову сказать если вирус был не 1, а 20 - то оптимальным решением была бы переустановка ос, что бы быть уверенным в том что висусов не было 25 из которых ненайденные компоненты вирусов могут восстановить удаленные свои части


    The opinion expressed by me is not an official position of Microsoft

    2 января 2019 г. 13:09
    Модератор
  • Подскажите пожалуйста, каким образом посмотреть редактор политик в Windows 8.1?

    В реестре я искал - ничего похожего не найдено. После удаления вирусов проводил процедуру восстановления Windows, но результат отрицательный. У меня нет возможности переустанавливать Windows в силу ряда причин.

    2 января 2019 г. 19:31
  • Подскажите пожалуйста, каким образом посмотреть редактор политик в Windows 8.1?

    В реестре я искал - ничего похожего не найдено. После удаления вирусов проводил процедуру восстановления Windows, но результат отрицательный. У меня нет возможности переустанавливать Windows в силу ряда причин.

    Добрый День.

    Покажите пожалуйста лог сторонней антивирусной утилиты FRST, согласно следующей инструкции:
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    [*]Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    [*]Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    [*]Нажмите кнопку Scan.
    [*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    [*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении


    Я не волшебник, я только учусь MCP, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Пометить как ответ" или проголосовать за полезное сообщение. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub, Instagram

    2 января 2019 г. 19:38
    Модератор
  • Я скачал и выполнил утилиту FRST. Сформированы файлы FRST.txt и Addition.txt. Но они довольно длинные. Я извиняюсь, но на этом форуме я первый раз и не в курсе, можно ли и как прикрепить эти файлы к моему сообщению. Или их содержимое прямо в это же окно скопировать? 

    2 января 2019 г. 21:56
  • Я скачал и выполнил утилиту FRST. Сформированы файлы FRST.txt и Addition.txt. Но они довольно длинные. Я извиняюсь, но на этом форуме я первый раз и не в курсе, можно ли и как прикрепить эти файлы к моему сообщению. Или их содержимое прямо в это же окно скопировать? 

    Добрый День.

    Выложите файлы на OneDrive.com, расшарьте их и выложите линк на них


    Я не волшебник, я только учусь MCP, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Пометить как ответ" или проголосовать за полезное сообщение. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub, Instagram

    3 января 2019 г. 0:41
    Модератор
  • Подскажите пожалуйста, каким образом посмотреть редактор политик в Windows 8.1?

    В реестре я искал - ничего похожего не найдено.

    В одноязыковой версии (редакция Windows 8.1 SL), которая у Вас, нет редактора групповых политик. Это техническое ограничение редакции. 

    . После удаления вирусов проводил процедуру восстановления Windows, но результат отрицательный. У меня нет возможности переустанавливать Windows в силу ряда причин.

    Почему? Прочитайте руководство пользователя по вашей модели и выполните восстановление по описанию. После вирусной атаки переустановка неизбежна, даже если кажется, что система работает. Иначе высок риск повторного заражения.

    См. также статью:  "Как переустановить Windows на ноутбуке "

    3 января 2019 г. 18:15
  • Машина не моя и там много всякого софта (и всё работает, снова включал ДрВеб, Касперский, Нортон - ничего подозрительного), не хочу с последствиями переустановки сталкиваться.

    Возможно выкладывать файлы FRST.txt и Addition.txt не потребуется по следующим причинам.

    1. В этих файлах ничего такого особенного нет кроме:

    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-4174260192-876506108-3204531768-1002\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

    2. Скачал и запустил утилиту Policy Plus.exe по ссылкам:
    https://remontcompa.ru/1722-kak-zapustit-redaktor-lokalnoy-gruppovoy-politiki-gpeditmsc-v-srede-windows-home.html
    https://s3-us-west-2.amazonaws.com/policy-plus/Policy%20Plus.exe

    В реестре обнаружил теперь в том числе две ветки, в которых имеются имена всех неактивных директорий в окне настроек Защитника Windows:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Exclusions\Paths

    Вот как выглядит экспорт:

    яюW i n d o w s   R e g i s t r y   E d i t o r   V e r s i o n   5 . 0 0 
     
     [ H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ P o l i c i e s \ M i c r o s o f t \ W i n d o w s   D e f e n d e r \ E x c l u s i o n s \ P a t h s ]
     
     " C : \ \ W I N D O W S \ \ T e m p \ \ d P U n o t N a W Y D T R k J j " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ a s u s 1 \ \ A p p D a t a \ \ L o c a l \ \ T e m p \ \ h l m Y O B z z k h O Q O b e g L " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ D e f a u l t A p p P o o l \ \ A p p D a t a \ \ L o c a l \ \ T e m p \ \ h l m Y O B z z k h O Q O b e g L " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ U p d a t u s U s e r \ \ A p p D a t a \ \ L o c a l \ \ T e m p \ \ h l m Y O B z z k h O Q O b e g L " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ v o j o p R T p t b U n " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ l r a h y G Z u U " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ i Z I v P N n S Y m U U 2 " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m D a t a \ \ T z P e g W v g i h l x Z T V B " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ P I E J t R l d i t S c l p P G b o R " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ F w S O v m D E w N C m C " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ P r o g r a m   F i l e s   ( x 8 6 ) \ \ t r w Y J F M z u I E " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ U p d a t u s U s e r \ \ A p p D a t a \ \ L o c a l L o w \ \ t U H Y J B G M k L V O l " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ a s u s 1 \ \ A p p D a t a \ \ L o c a l L o w \ \ t U H Y J B G M k L V O l " = d w o r d : 0 0 0 0 0 0 0 0
     
     " C : \ \ U s e r s \ \ D e f a u l t A p p P o o l \ \ A p p D a t a \ \ L o c a l L o w \ \ t U H Y J B G M k L V O l " = d w o r d : 0 0 0 0 0 0 0 0

    Похоже действительно дело в политиках. Неужели нельзя ничего сделать?

    4 января 2019 г. 0:25
  • если вы нашли кусок реестра который отвечает за необходимый функционал, то что вам мешает далить или изменить содержимое упомянутых веток?

    The opinion expressed by me is not an official position of Microsoft

    4 января 2019 г. 7:53
    Модератор
  • Вы полагаете, что этот кусок отвечает за необходимый функционал? Я то думал, что этот кусок (или имена неактивных объектов в нём) появился как следствие работы  утилиты Policy Plus.exe и отображает параметры политики, которая скрыта совсем в другом месте. Но возможно я ошибаюсь, этими вопросами я раньше не занимался. Что советуете: найденные ветви целиком удалить или в этих ветвях только строки с неактивными элементами?

    4 января 2019 г. 13:30
  • Ветки не надо. Удаляйте значения ключей. То, что в вашем сообщении после кавычек. С некоторой долей вероятности у Вас ничего не выйдет, значит вирус подпортил систему и обеспечил себе дырочку, чтобы вернуться.
    4 января 2019 г. 13:44
  • Извините, но не понял. Открываю regedit, нахожу ветвь, но там имеются колонки "Имя", "Тип", "Значение". Если правой кнопкой мышки в колонке "Имя" щёлкнуть по любому неактивному элементу, то появляется меню, в котором в т.ч. имеется "Удалить". Если аналогично щёлкнуть в колонках  "Тип", "Значение", то появляется "Создать".
    4 января 2019 г. 13:58
  • Правильно, удаляйте имя в правой части редактора
    4 января 2019 г. 15:14
  • С помощью Regedit удалил все неактивные объекты в колонке "Имя". Затем включил Защитника Windows ("%ProgramFiles%\Windows Defender\MSASCui.exe") и обнаружил, что в настройках все неактивные элементы отсутствуют.

    Выключил-включил машину на всякий случай: в настройках Защитника Windows неактивные элементы отсутствуют.

    Можно считать, что получилось?

    4 января 2019 г. 20:09
  • Проверьте, что гадости  с именами   hlmYOBzzkhOQObegL  vojopRTptbUn   rahyGZuU    tUHYJBGMkLVOl   и т.п.  больше нигде не встречаются ни в реестре, ни в файловой системе. Проверьте директорию C:\Program Files (x86), нет ли там ещё чего подозрительного. Проверьте все источники автозагрузки тоже. В 8.1 можно смотреть в диспетчере задач.
    • Изменено RH6M6 4 января 2019 г. 20:35
    • Помечено в качестве ответа vladimirdan_vladimirdan 5 января 2019 г. 8:14
    4 января 2019 г. 20:30
  • Как в реестре проверять мне понятно. Это я сделаю.

    Но, что значит "в файловой системе", в директории C:\Program Files (x86), "все источники автозагрузки"? Использовать функцию поиска в проводнике?

    В диспетчере задач ничего похожего ни раньше, ни теперь не видел.

    4 января 2019 г. 21:26
  • В файловой системе -- во всём компьютере. Имена папок могут совпадать с теми, что уже использовались вирусом, эти можно пошерстить поиском, а могут и не совпадать. Тут нужнен творческий подход. Вирус селился  преимущественно в директории  для  32-разрядных программ, поэтому проверьте её наиболее тщательно. Если Вы обнаружите программы / папки, происхождение которых не понятно, лучше удалить их. В диспетчере есть вкладка "автозагрузка". Точно так же, назначение всех самозапускаемых программ должно быть Вам понятно. Проверка всего компьютера — дело долгое и всё равно не гарантирует, что Вы найдёте все закоулки, в которых мог спрятаться вирус, ведь не известно точно, что надо искать.  Поэтому переустановка — быстрее и дешевле. Особенно, если на компьютере пользователя есть реальные финансовые инструменты. Да, и посоветуйте хозяину компьютера сменить все пароли во всех аккаунтах, во всех магазинах, интернет-площадках, сменить все проверочные коды на банковских карточках, которые хоть раз использовались с этого компьютера, или перевыпустить их.
    5 января 2019 г. 2:16
  • Я поискал имена "неактивных элементов" проводником, в Regedit, в диспетчере задач: ничего не обнаружено. Правда стоит отметить, что и до того это я уже всё делал: когда пытался понять, как из настроек Защитника Windows убрать "неактивные объекты". Т.е. в этих настройках они отображались, а их поиск данными способами ничего не давал. Ещё сейчас провёл эксперимент: создал текстовый файл с именами "неактивных элементов" и с помощью WinRAR его заархивировал, а сам текстовый файл удалил. Результат - Проводник Windows опять ничего не находит. Поэтому мне кажется, что такие поиски сейчас я делаю "на всякий случай".

    Насчёт переустановки Windows: если после всех случаев заражения данной машины вирусами заниматься переустановкой ОС и всего прочего софта, то нужно посвятить свою жизнь фирме Microsoft, а я (и хозяин машины тоже) не способен на такое. Но за советы насчёт банковских карточек спасибо, поговорил с хозяином (точнее с хозяйкой) машины.

      
    5 января 2019 г. 8:53
  • Вы правы. Как Вы уже сами заметили, проверка компьютера по любому будет иметь ограничения по полноте. Антивирусные сканеры могут проверять и архивы в зависимости от настроек, но обычно не более, чем на 3 - 4 уровня в глубину, так как такая проверка пожирает значительные ресурсы. Необнаруженные угрозы могут спать на компьютере годами. С другой стороны, глубоко закопанный вирус, скорее всего, так и останется неактивированным. Компьютеры обычного пользователя малоинтересны сами по себе. Чаще всего их используют в качестве ботов для майнинга в распределённой сети или для создания мощной атаки на уже настоящую цель. Ну, а если зараза получила доступ к системе, почему бы не сп...  попутно учётные и другие интересные данные у пользователя для повышения общей рентабельности? Их можно собирать тысячами, а потом продать сразу оптом. Поэтому лучше подстраховаться и заменить пароли. Переустановка в Windows 8.1 достаточно проста. Больше времени, вероятно, займёт установка софта и его обновлений, вышедших ко времени переустановки, а также его настройка под нужды пользователя. Это может занять до нескольких дней. Конечно, такой способ достаточно трудоёмкий, особенно для неподготовленного пользователя. Гораздо быстрее переустановить систему из регулярно создаваемой резервной копии (бэкапа). Минут 30-40. Если Вы создаёте бэкапы хотя бы раз в неделю, то внести изменения, сделанные за последние дни, много времени не займёт. К тому же бэкап - единственное действенное средство против вирусов-шифровальщиков.
    С Новым Годом! Надёжных бэкапов и отсутствия вирусов!
    5 января 2019 г. 10:01