Microsoft Defender: Trojan:Win32/MpTamperSrvDisableAV.D на Windows 10 21H1

[question]

При включении галки выключения телеметрии windows defender находит Trojan:Win32/MpTamperSrvDisableAV.D
Почему так? Что делать? Подозрение, что это adguard так пытается вырубить сервис телеметрии, но гугляж не дает никакого ответа про этот конкретный троян. У меня windows 10 pro 21H1 и adguard 7.6.1

 

[Woitler]

Здравствуйте, пожалуйста, выполните следующие рекомендации:
1. Выполните полное сканирование системы, включая все системные диски, с помощью бесплатной утилиты Kaspersky VRT.
2. Выполните полное сканирование системы, включая все системные диски, с помощью бесплатной утилиты Dr.Web CureIt.
3. Выполните полное сканирование системы с помощью бесплатной утилиты Malwarebytes AdwCleaner.
Последовательное использование всех трёх утилит, позволит удостовериться в том, что в вашей системе не останется зловредов.
После выполненных рекомендаций, пожалуйста, сообщите о результатах.

 

[question]

Добрый день,

спасибо за ответ, но возможно я не точно описал свой вопрос. Ситуация следующая: у adguard есть функция отключения телеметрии в windows 10, при использовании этой функции adguard, возможно, использует хак на уровне админа для убийства сервиса телеметрии. Windows Defender определяет этот хак, как Trojan:Win32/MpTamperSrvDisableAV.D, так как предупреждение об этом "трояне" появляется только после активации галки "Отключить телеметрию" в настройках adguard. Я хочу получить ответ, верна ли моя догадка. Может быть кто-то у себя повторит данную операцию? Просто попробуйте пожалуйста проделать аналогичную штуку с последними установленными обновлениями Windows Defender, на свежеобновленной Windows 10 и выключенными другими антивирусами.

 

[Woitler]

@question Нет, AdGuard не использует никаких "хаков", и тем более, троянов.
Если я правильно помню, отключение телеметрии производится путём изменения параметров соответствующих опций в реестре Windows 10.
Угроза с которой вы столкнулись, вероятно, вызвана потенциальным вредителем, выполните все три рекомендуемых пункта выше.

 

[question]

Вы меня извините, но Вы помните не верно, если через 3 секунды после нажатия галки "выключение телеметрии" дефендер вываливает окно с информацией, что что-то пытается остановить сервис DiagTrack и делает так и вторую и десятую попытку - это явно действия адгарда, а не какого-нибудь неизвестного вируса. Вы вправе считать меня с моим > 25 лет опытом администрирования винды и никсов дятлом, что не умеет не поймать вируса или школьником с любимым запросом в гугле "как взломать тикток" конечно и закрыть вопрос. Вы бы хоть попытались повторить проблему, если конечно у Вас аналогичная моей система. В любом случае, я отправил тикет в тех саппорт. Думаю там народ не будет вот так формально подходить к запросам платных пользователей софта. Бесполезный форум.

 

[Woitler]

@question Думаю, не будет лишним создать репорт на GitHub, это будет быстрее обращения в техническую поддержку.
Подробно опишите проблему и как её воспроизвести, приложите логи.

 

[Fantom]

Может быть кто-то у себя повторит данную операцию? Просто попробуйте пожалуйста проделать аналогичную штуку с последними установленными обновлениями Windows Defender, на свежеобновленной Windows 10 и выключенными другими антивирусами.

Ситуация повторилась. Система чистая.

 

[Woitler]

Ситуация повторилась. Система чистая.

Видимо, Microsoft опять начудили, новый выпуск Win10, новые проблемы.
На GitHub, пожалуйста.

 

[question]

оказывается там уже есть репорт. Спасибо за направление в нужную сторону!