Padanie Windows Defendera

Pro jistotu zkus projet PC na přítomnost malware (MBAM + Adwcleaner), třeba se ti tam dostala nějaká škodná, která Defender shazuje. Ještě by ses mohl podívat ve Správci úloh (či podrobnější varianty z https://docs.microsoft.com/cs-cz/sysinternals/), jestli ti něco pochybného neběží na pozadí.

MBAM a ADWC som už skúsil a nič nenašlo. V spravcovi ale vidím jednu podozrivú položku https://prnt.sc/tsqix7
Tento súbor by mal patriť práve defenderu lenže ja ho vidím prvýkrát a teraz po reštarte tam už nieje žiadny taký súbor. Čo je ale na tom podozrivé je že nemá udaného autora/vlastníka ako ostatné spustené procesy. Sú tam aj nejaké od MS a majú popisok že patria niečomu čo patrí MS. Tento tam ale nemá nič a ak nato kliknem pravím tak nieje možné ten súbor nájsť niekde na disku. Ostatné viem takto dohľadať kde je ich spustiteľný súbor.

https://sk.nex-software.com/co-je-msascuilexe

Defender v Centre zabezpečenia W10 2004 nerobí problémy.

Pozri si logy Event.

A nieje podozrivé že ten proces nemal uvedeného vydavateľa? https://prnt.sc/tsqrtr

Však vlez rovno k súboru, na jeho úložisko a klik myšou, vlastnosti súboru - podrobnosti. Tiež skontroluj cestu (path) súboru, či to nie je škodná inde, než má podľa správnosti z dielne MS, byť.

Event log čo píše? Tam bude každý jeden problém určite zachytený, nielen OS, ale aj pád SW. Zrejme nevieš, čo je Event.

V lište dole máš lupu, hľadanie W10 zadaj: Event Viewer - otvor súbor myšou. Musíš čakať, aby sa ti Event po otvorení hneď nezosypal.

Ten súbor som nenašiel na disku. V správcovi som ostatné spustené súbory pri štarte mohol dohľadať, stačilo kliknúť pravým a otvoriť umiestnenie. Ten súbor to tam nemal dostupné.
Event Viewer hlási kvantum chýb a upozornení, tažko sa v tom orientuje čo je skutočne dôležité nakoľko predpokladám že už po čerstvej inštalácii rovno v prvej minúte ak by som ten Event Viewer zobrazil tak to tam bude vyzerať podobne...
Všimol som si tam ale niečo zvláštne. Je tam kvantum jednej konkrétnej chyby ktorá súvisí s Defenderom.
https://prnt.sc/tssvio chyba sa neustále opakovala po dobu 5 minút pričom to logovalo takmer každú sekundu.

Defender môže kolidovať s nejakým iným AV, ktorý si nacpal do systému pritom nebol korektne (absolútne) odinštalovaný s výmazom torza kľúčov v Registroch, *dll knihovniach a spol. bordelu. Vidím, že si cpal do desiny aj molocha MBAM. Všetky AV sú pre desinu vyslovene škodlivé, jedine rumun, Bitdefener Total IS, ako-tak svedčí pre W10.

Event obsahuje aj iné zložky kde bude problém určite opísaný dopodrobna lebo SW spolu súvisia.

Stiahni si zipku: Autoruns, spusti Autorunsx64.exe, a manuálne skontroluj neželané súbory, ktoré nemajú v desine svoje opodstatnenie.

Namiesto Správy úloh W10 používaj: Process Hacker 2.39, spustený ako Správca. Viac sa dozvieš o spustených súboroch na pozadí ak ich v riadkoch rozklikáš.

Žiadny AV som do W10 neinštaloval. Až po vzniku tohto problému som skúsil MBAM a ADWC. Z toho čo teraz vidím nejaký update je príčinou problému. Skúsim si prejsť riešenia ktoré nájdem nakoľko vyzerá že tá chyba je dosť známa.

Nepoznám ja, ani široká verejnosť o problémoch s výpadkami Defender 2004
https://lnk.sk/dja2

Pouč ma o známom probléme.

Problém som zatiaľ ani poriadne neidentifikoval. Vlastne zatiaľ len hádam. Neviem či nebude najlepšie sa nato vybodnúť a spoľahnúť sa že dôjde Windows Update ktorý to opraví. Jediný problém ktorý to spôsobuje je výpadok Defendera na 5 minút.
Z toho čo zatiaľ viem tak takmer určite nemám v PC žiadny *ware nakoľko tu žiadny warez nemám tak ani neviem odkiaľ by tu niečo také bolo po nedávno nainštalovanom OS.
Event Viewer hlási tieto chyby ktoré ma zaujali v tom kvante chýb a varovaní:
Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Source: Service Control Manager
Event ID: 7023

Obe tieto chyby sú logované úplne od prvého nabehnutia W10 na plochu po nainštalovaní čiže problém prišiel priamo z inštalácie. Bola to čistá inštalácia, všetky dáta vymazané a inštalácia na novo. OS stiahnutý priamo zo stránok MS a použil som na vytvorenie flešky rufus-3.10portable vytvárané ako GPT a UEFI. V časti inštalácie som zvolil offline konto a v ďalších voľbách som ako vždy všetko odklikal NIE, NIE... Takto to ale robím vždy a tento problém ktorý riešim vidím prvý krát.
Nie som si istý ale obe tie chyby podľa mňa spolu súvisia. Tá chyba súvisiaca s Defenderom hlási "General access denied error" a tá druhá "The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID and APPID".
Ak správne rozumiem tak je tam problém s právami vykonať zmeny alebo práva k prístupu...

Našiel som návody ako riešiť Event ID 10016 ale riešenie nepomohlo https://www.youtube.com/watch?v=vjz8uLblc_8
Prvú časť návodu sa mi podarilo s časti spraviť. Totiž pre jednu z tých adries nešlo pridať práva. Čo má zrejme za dôsledok že v druhej časti videa ako opisuje že treba nastaviť RuntimeBrooker https://prnt.sc/tstz9e tak ako je vidieť na screene mám to sivým čiže nemôžem nastaviť.

hledat chyby v eventlogu je dobrý nápad, ale ten tvůj způsob zobrazení s přehledem chyb podle id je k ničemu.
znovu: eventvwr.msc - protokoly windows - system
časový výpis proto, že když ta služba defenderu spadne, tak zase musí nastartovat a případně na něco reaguje.

C:\Program Files\Windows Defender\MSASCuiL.exe: nemáš zobrazené cesty k souborům na disk, windowsí tzv. správce úloh je k ničemu.
- pro kontrolu spouštěcích míst ms autoruns -> záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).
- pro kontrolu procesů v paměti process explorer.

stejně tak nevidíš, co jsou zač nebo odkud startují procesy quickstart.exe, starter module - to ti vypíšou taky.

windows mají možnost kontroly svých sytémových souborů, která nikdy nic nenajde. spustit v cmd.exe jako správce:

sfc /scannow

po skončení to v cmd okně vypíše že ok.

Vďaka za rady na tie softy, zajtra sa nato pozriem. Zatiaľ som skúsil ten sken ktorý vlastne poznám a je to prvý krát čo mi to hodilo status že našlo chýbajúce/poškodené súbory... https://prnt.sc/tsu3qj
Sken a jeho obnova možno niečo aj vyriešil ale ani netuším čo :)
Problém s Defenderom ale ostáva https://prnt.sc/tsu8jf práve teraz som odchytil jeden výpadok. Po kliknutí na reštartovať nabehne https://prnt.sc/tsu8uf

Musíš počkat až to Microsoft opraví,ale zatím můžeš odstranit z defenderu ten marast co tam je a to tímto je to bez instalace vždy 10 ti denní verze. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

sfc: kontrola souborového systému na c: je v pořádku?

jak uvádíš, v eventlogu byly chyby skoro každou vřeřinu. to znamená, že defender zkoušel nastartovat sám (má na hlídání další službu mssense.exe), tys ho co vteřinu nezapínal.
časový výpis by mohl ukázat, co předcházelo chybě 7023.

pohled na ikony abezpečení windows je k ničemu, když windows ani neumí vypsat, která z chybových hlášek se toho stavu týká.

sfc kontrola je vporiadku. Bola chyba že som sa o to vôbec začal zaujímať. Je to chyba OS a prečo by mal užívateľ riešiť rozosratý W10... Nechám to na nich nech to opravia za pol roka a opravou vytvoria ďalšie 2 problémy.
Skúsil som nainštalovať windows na jeden starší počítač s tou istou USB fleškou a bez pripojenia k internetu pri inštalácii. Hneď ako prvé som šiel skontrolovať Event Viewer a gpedit.msc a vlastne ma ani neprekvapilo že naozaj tá chyba je už prítomná priamo z ich oficiálneho ISO súboru. V gpedit.msc som si všimol že Windows Defender tam má jedine SmartScreen položku, všetko ostatné je kdesi v pekle. Viem že tam bolo kedysi viac tých položiek patriace pod Defender a aj podľa videa na riešenie tohto problému by tam tie položky mali byť.
Tak ako je vidieť v tomto videu: https://www.youtube.com/watch?v=_gUwvniUV9o
Ja to mám takto: https://prnt.sc/tt1yr3