Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Windows Defender wieder in %ProgramFiles%?
63 views
Skip to first unread message
Christoph Schneegans
Oct 23, 2018, 3:27:22 PM10/23/18
to
Hallo allerseits!
In <https://support.microsoft.com/help/4052623/> hatte Microsoft
angekündigt, daß einige zu Windows Defender gehörende ausführbare
Dateien von %ProgramFiles% nach %ProgramData% umgezogen werden. Dies
wurde dann auch tatsächlich so umgesetzt, so ungefähr im Dezember 2017.
Jetzt stelle ich allerdings fest, daß auf allen meinen Installationen
die fraglichen Dateien doch wieder in %ProgramFiles% liegen. Späte
Einsicht bei Microsoft? Gab's dazu irgendeine Verlautbarung? Wer will,
kann ja mal
dir "$env:ProgramFiles\Windows Defender", "$env:ALLUSERSPROFILE\Microsoft\Windows Defender" `
| where Name -Match 'MsMpEng\.exe|NisSrv\.exe|MpOav\.dll' `
| select fullname
in PowerShell ausführen und die Ausgabe hier posten.
--
<http://schneegans.de/computer/safer/> · SAFER mit Windows
In <https://support.microsoft.com/help/4052623/> hatte Microsoft
angekündigt, daß einige zu Windows Defender gehörende ausführbare
Dateien von %ProgramFiles% nach %ProgramData% umgezogen werden. Dies
wurde dann auch tatsächlich so umgesetzt, so ungefähr im Dezember 2017.
Jetzt stelle ich allerdings fest, daß auf allen meinen Installationen
die fraglichen Dateien doch wieder in %ProgramFiles% liegen. Späte
Einsicht bei Microsoft? Gab's dazu irgendeine Verlautbarung? Wer will,
kann ja mal
dir "$env:ProgramFiles\Windows Defender", "$env:ALLUSERSPROFILE\Microsoft\Windows Defender" `
| where Name -Match 'MsMpEng\.exe|NisSrv\.exe|MpOav\.dll' `
| select fullname
in PowerShell ausführen und die Ausgabe hier posten.
--
<http://schneegans.de/computer/safer/> · SAFER mit Windows
Takvorian
Oct 24, 2018, 6:57:10 AM10/24/18
to
Christoph Schneegans schrieb:
> in PowerShell ausführen und die Ausgabe hier posten.
FullName
--------
C:\Program Files\Windows Defender\MpOAV.dll
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Windows Defender\NisSrv.exe
Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
> in PowerShell ausführen und die Ausgabe hier posten.
--------
C:\Program Files\Windows Defender\MpOAV.dll
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Windows Defender\NisSrv.exe
Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
Christoph Schneegans
Oct 24, 2018, 11:11:19 AM10/24/18
to
"Takvorian" schrieb:
> FullName
> --------
> C:\Program Files\Windows Defender\MpOAV.dll
> C:\Program Files\Windows Defender\MsMpEng.exe
> C:\Program Files\Windows Defender\NisSrv.exe
Okay, paßt. Als Übung kannst du den PowerShell-Dreizeiler ja mal in
.cmd-Skript portieren.
> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
Firefox) rufen den "Attachment Manager" auf (vgl.
<https://support.microsoft.com/help/883260/>), und dieser befragt
standardmäßig Windows Defender, selbst wenn dieser per
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000001
lahmgelegt ist. Hier mal drei Einträge aus meinem SAFER-Log:
chrome.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
iexplore.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
browser_broker.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
> FullName
> --------
> C:\Program Files\Windows Defender\MpOAV.dll
> C:\Program Files\Windows Defender\MsMpEng.exe
> C:\Program Files\Windows Defender\NisSrv.exe
.cmd-Skript portieren.
> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
Firefox) rufen den "Attachment Manager" auf (vgl.
<https://support.microsoft.com/help/883260/>), und dieser befragt
standardmäßig Windows Defender, selbst wenn dieser per
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000001
lahmgelegt ist. Hier mal drei Einträge aus meinem SAFER-Log:
chrome.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
iexplore.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
browser_broker.exe (…) identified \??\C:\Program Files\Windows Defender\MpOav.dll as Unrestricted using path rule, Guid = {…}
Stefan Kanthak
Oct 24, 2018, 12:33:48 PM10/24/18
to
"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:
> "Takvorian" schrieb:
>
>> FullName
>> --------
>> C:\Program Files\Windows Defender\MpOAV.dll
>> C:\Program Files\Windows Defender\MsMpEng.exe
>> C:\Program Files\Windows Defender\NisSrv.exe
>
> Okay, paßt. Als Übung kannst du den PowerShell-Dreizeiler ja mal in
> .cmd-Skript portieren.
>
>> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
>
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender, selbst wenn dieser per
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
> "DisableAntiSpyware"=dword:00000001
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
> "DisableRealtimeMonitoring"=dword:00000001
>
> lahmgelegt ist.
KORREKT!
Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
(siehe <https://msdn.microsoft.com/en-us/library/ms537369.aspx>
sowie <https://msdn.microsoft.com/en-us/library/ff830310.aspx>)
ALLER fuer die COM-Kategorie CATID_MSOfficeAntiVirus alias
{56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
JFTR: Firefox ist wie ueblich kaputt; die AHNUNGSLOSEN Volltrottel
von Mozilla sind unfaehig, ihren Schrott korrekt fuer Windows
zu frickeln.
"Schlangenoel" registriert typischerweise ein solches COM-Objekt;
die auskommentierten Registry-Eintraege sind optional und fuer die
Funktion NICHT notwendig:
--- *.REG ---
REGEDIT4
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}]
;@="Coclass implementing IOfficeAntiVirus interface"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Implemented
Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="MSOfficeAntiVirus"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\InProcServer32]
@="<filename>.<extension>"
"ThreadingModel"="Both"
;[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="IOfficeAntiVirus"
;[HKEY_CURRENT_USER\Software\Classes\Component Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;"0"="MSOfficeAntiVirus"
;"409"="Coclass implements IOfficeAntiVirus interface"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="IOfficeAntiVirus"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\BaseInterface]
;@="{00000000-0000-0000-C000-000000000046}" ; IUnknown
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\NumMethods]
;@="4"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ProxyStubCLSID32]
;@="{00000320-0000-0000-C000-000000000046}" ; PSFactoryBuffer
--- EOF ---
Jeder Schaedling kann diese Registry-Eintraege (seit dem letzten
Jahrtausend auch unter eNTe) OHNE Administratorrechte erstellen und
sich damit (nicht nur) von den o.g. Programmen aufgerufen lassen.
Wie ueblich verhindert SAFER das Laden der so registrierten COM-Objekte:
ohne Administratorrechte kann das Modul <filename>.<extension> nicht in
ein Verzeichnis geschrieben werden, in dem Ausfuehren erlaubt ist.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
> "Takvorian" schrieb:
>
>> FullName
>> --------
>> C:\Program Files\Windows Defender\MpOAV.dll
>> C:\Program Files\Windows Defender\MsMpEng.exe
>> C:\Program Files\Windows Defender\NisSrv.exe
>
> Okay, paßt. Als Übung kannst du den PowerShell-Dreizeiler ja mal in
> .cmd-Skript portieren.
>
>> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
>
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender, selbst wenn dieser per
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
> "DisableAntiSpyware"=dword:00000001
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
> "DisableRealtimeMonitoring"=dword:00000001
>
> lahmgelegt ist.
Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
(siehe <https://msdn.microsoft.com/en-us/library/ms537369.aspx>
sowie <https://msdn.microsoft.com/en-us/library/ff830310.aspx>)
ALLER fuer die COM-Kategorie CATID_MSOfficeAntiVirus alias
{56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
JFTR: Firefox ist wie ueblich kaputt; die AHNUNGSLOSEN Volltrottel
von Mozilla sind unfaehig, ihren Schrott korrekt fuer Windows
zu frickeln.
"Schlangenoel" registriert typischerweise ein solches COM-Objekt;
die auskommentierten Registry-Eintraege sind optional und fuer die
Funktion NICHT notwendig:
--- *.REG ---
REGEDIT4
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}]
;@="Coclass implementing IOfficeAntiVirus interface"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Implemented
Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="MSOfficeAntiVirus"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\InProcServer32]
@="<filename>.<extension>"
"ThreadingModel"="Both"
;[HKEY_CURRENT_USER\Software\Classes\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="IOfficeAntiVirus"
;[HKEY_CURRENT_USER\Software\Classes\Component Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;"0"="MSOfficeAntiVirus"
;"409"="Coclass implements IOfficeAntiVirus interface"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
;@="IOfficeAntiVirus"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\BaseInterface]
;@="{00000000-0000-0000-C000-000000000046}" ; IUnknown
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\NumMethods]
;@="4"
;[HKEY_CURRENT_USER\Software\Classes\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\ProxyStubCLSID32]
;@="{00000320-0000-0000-C000-000000000046}" ; PSFactoryBuffer
--- EOF ---
Jeder Schaedling kann diese Registry-Eintraege (seit dem letzten
Jahrtausend auch unter eNTe) OHNE Administratorrechte erstellen und
sich damit (nicht nur) von den o.g. Programmen aufgerufen lassen.
Wie ueblich verhindert SAFER das Laden der so registrierten COM-Objekte:
ohne Administratorrechte kann das Modul <filename>.<extension> nicht in
ein Verzeichnis geschrieben werden, in dem Ausfuehren erlaubt ist.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Takvorian
Oct 24, 2018, 12:52:40 PM10/24/18
to
Christoph Schneegans schrieb:
> "Takvorian" schrieb:
per Gruppenrichtlinie verboten, zusätzlich sind der Dienst und diverse
andere Dienste deaktiviert, ebenso ist Smartscreen deaktiviert. Der IE ist
auf Stufe "hoch" eingestellt, damit sind überhaupt keine Downloads möglich.
Downloads mit Edge laufen problemlos, die Verarbeitung der Downloads
ebenfalls. Ich sehe da für mich keinen Handlungsbedarf.
> "Takvorian" schrieb:
>> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender,
Das im Link beschriebene Verhalten tritt hier nicht auf. Der Defender ist
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender,
per Gruppenrichtlinie verboten, zusätzlich sind der Dienst und diverse
andere Dienste deaktiviert, ebenso ist Smartscreen deaktiviert. Der IE ist
auf Stufe "hoch" eingestellt, damit sind überhaupt keine Downloads möglich.
Downloads mit Edge laufen problemlos, die Verarbeitung der Downloads
ebenfalls. Ich sehe da für mich keinen Handlungsbedarf.
Stefan Kanthak
Nov 7, 2018, 4:22:07 PM11/7/18
to
"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:
> "Takvorian" schrieb:
> "Takvorian" schrieb:
>> Ist mir wurscht, denn das MS-Schlangenöl ist hier natürlich deaktiviert.
>
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender, selbst wenn dieser per
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
> "DisableAntiSpyware"=dword:00000001
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
> "DisableRealtimeMonitoring"=dword:00000001
>
> lahmgelegt ist.
Korrekt.
>
> Das reicht aber nicht! Chrome, Internet Explorer und Edge (nicht aber
> Firefox) rufen den "Attachment Manager" auf (vgl.
> <https://support.microsoft.com/help/883260/>), und dieser befragt
> standardmäßig Windows Defender, selbst wenn dieser per
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
> "DisableAntiSpyware"=dword:00000001
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
> "DisableRealtimeMonitoring"=dword:00000001
>
> lahmgelegt ist.
Ab Windows 8 (seit der Namensaenderung von "Microsoft Security Essentials"
in "Windows Defender") steuern folgende Registry-Eintraege das Verhalten
von Windows Defender beim Aufruf seiner Schnittstelle IOfficeAntiVirus():
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"IOAVMaxSize"=dword:... ; legt die Maximalgroesse zu pruefender Dateien fest
Weitere Einstellungen sind
"DisableBehaviorMonitoring"=dword:...
"DisableInformationProtectionControl"=dword:...
"DisableIntrusionPreventionSystem"=dword:...
"DisableOnAccessProtection"=dword:...
"DisableRawWriteNotification"=dword:...
"DisableScanOnRealtimeEnable"=dword:...
"RealtimeScanDirection"=dword:...
Christoph Schneegans
Nov 11, 2018, 6:28:39 AM11/11/18
to
Stefan Kanthak schrieb:
> Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
> im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
> (…) ALLER fuer die COM-Kategorie CATID_MSOfficeAntiVirus alias
> {56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
Hm, weder diese GUID noch den String "CATID_MSOfficeAntiVirus" finde
ich hier in der Registry unter Windows 10.
--
<http://schneegans.de/computer/no-8.3/> · Windows ohne PROGRA~1 installieren
> Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
> im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
> {56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
Hm, weder diese GUID noch den String "CATID_MSOfficeAntiVirus" finde
ich hier in der Registry unter Windows 10.
--
<http://schneegans.de/computer/no-8.3/> · Windows ohne PROGRA~1 installieren
Christoph Schneegans
Nov 11, 2018, 6:34:18 AM11/11/18
to
Stefan Kanthak schrieb:
> Weitere Einstellungen sind
>
> "DisableBehaviorMonitoring"=dword:...
> "DisableInformationProtectionControl"=dword:...
> "DisableIntrusionPreventionSystem"=dword:...
> "DisableOnAccessProtection"=dword:...
> "DisableRawWriteNotification"=dword:...
> "DisableScanOnRealtimeEnable"=dword:...
> "RealtimeScanDirection"=dword:...
Ich habe mittlerweile alle Einträge gesetzt, die irgendwo dokumentiert sind:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000001
"DisableIOAVProtection"=dword:00000001
"DisableBehaviorMonitoring"=dword:00000001
"DisableInformationProtectionControl"=dword:00000001
"DisableIntrusionPreventionSystem"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001
"DisableScriptScanning"=dword:00000001
"DisableEmailScanning"=dword:00000001
"DisableRawWriteNotification"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Scan]
"DisableScanningNetworkFiles"=dword:00000001
"DisableEmailScanning"=dword:00000001
"DisableHeuristics"=dword:00000001
"DisablePackedExeScanning"=dword:00000001
"DisableRemovableDriveScanning"=dword:00000001
"DisableReparsePointScanning"=dword:00000001
"DisableRestorePoint"=dword:00000001
"DisableScanningMappedNetworkDrivesForFullScan"=dword:00000001
Dennoch werden weiterhin Dateien in "C:\Program Files\Windows Defender"
ausgeführt – das sieht man nach ein paar Tagen gut im SAFER-Log:
22× wscript.exe (…) identified MpOav.dll (…)
22× svchost.exe (…) identified MpCmdRun.exe (…)
22× wscript.exe (…) identified MPCLIENT.DLL (…)
9× MpCmdRun.exe (…) identified mpclient.dll (…)
2× WmiPrvSE.exe (…) identified MpOav.dll (…)
Ausführung jeweils zugelassen wegen der "default rule, Guid =
{11015445-d282-4f86-96a2-9e485f593302}", also offenbar mit System- oder
Administratorrechten ausgeführt.
<https://superuser.com/questions/947873/disable-windows-defender-in-windows-10/1009656#1009656>
scheint mir eine _sehr_ gründliche Anleitung zu sein, aber so tief
wollte ich dann doch nicht ins System eingreifen. Jedenfalls blöd, daß
man dieses Teil unter Windows 10 offenbar nicht ohne größere Klimmzüge
komplett und rückstandsfrei loswird.
> Weitere Einstellungen sind
>
> "DisableBehaviorMonitoring"=dword:...
> "DisableInformationProtectionControl"=dword:...
> "DisableIntrusionPreventionSystem"=dword:...
> "DisableOnAccessProtection"=dword:...
> "DisableRawWriteNotification"=dword:...
> "DisableScanOnRealtimeEnable"=dword:...
> "RealtimeScanDirection"=dword:...
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000001
"DisableBehaviorMonitoring"=dword:00000001
"DisableInformationProtectionControl"=dword:00000001
"DisableIntrusionPreventionSystem"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001
"DisableScriptScanning"=dword:00000001
"DisableEmailScanning"=dword:00000001
"DisableRawWriteNotification"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Scan]
"DisableScanningNetworkFiles"=dword:00000001
"DisableEmailScanning"=dword:00000001
"DisableHeuristics"=dword:00000001
"DisablePackedExeScanning"=dword:00000001
"DisableRemovableDriveScanning"=dword:00000001
"DisableReparsePointScanning"=dword:00000001
"DisableRestorePoint"=dword:00000001
"DisableScanningMappedNetworkDrivesForFullScan"=dword:00000001
Dennoch werden weiterhin Dateien in "C:\Program Files\Windows Defender"
ausgeführt – das sieht man nach ein paar Tagen gut im SAFER-Log:
22× wscript.exe (…) identified MpOav.dll (…)
22× svchost.exe (…) identified MpCmdRun.exe (…)
22× wscript.exe (…) identified MPCLIENT.DLL (…)
9× MpCmdRun.exe (…) identified mpclient.dll (…)
2× WmiPrvSE.exe (…) identified MpOav.dll (…)
Ausführung jeweils zugelassen wegen der "default rule, Guid =
{11015445-d282-4f86-96a2-9e485f593302}", also offenbar mit System- oder
Administratorrechten ausgeführt.
<https://superuser.com/questions/947873/disable-windows-defender-in-windows-10/1009656#1009656>
scheint mir eine _sehr_ gründliche Anleitung zu sein, aber so tief
wollte ich dann doch nicht ins System eingreifen. Jedenfalls blöd, daß
man dieses Teil unter Windows 10 offenbar nicht ohne größere Klimmzüge
komplett und rückstandsfrei loswird.
Stefan Kanthak
Nov 11, 2018, 1:47:26 PM11/11/18
to
"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:
> Stefan Kanthak schrieb:
>
>> Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
>> im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
>> (…) ALLER fuer die COM-Kategorie CATID_MSOfficeAntiVirus alias
>> {56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
>
> Hm, weder diese GUID noch den String "CATID_MSOfficeAntiVirus" finde
> ich hier in der Registry unter Windows 10.
Die GUID^WCATID einer COM-Kategorie steht an zwei Orten:
1. OPTIONAL unter dem Registry-Schluessel
[HKEY_CLASSES_ROOT\Component Categories]
Siehe <https://msdn.microsoft.com/en-us/library/ms692551.aspx>
[HKEY_CLASSES_ROOT\Component Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
enthaelt (ebenfalls) OPTIONALE Registry-Werte
"<lcid>"="<beschreibungstext>"
<lcid> sind die numerischen Werte der wohlbekannten "language
code identifier", beispielsweise "409" fuer Deutsch/Deutschland
oder "407" fuer Englisch/USA
Siehe <https://msdn.microsoft.com/en-us/library/ms690475.aspx>
2. unter den Registry-Schluesseln
[HKEY_CLASSES_ROOT\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Component Categories]
der registrierten COM-Klassen; darueber erfolgt die Zuordnung
der jeweiligen COM-Klasse zu einer oder mehreren COM-Kategorie(n).
Siehe <https://msdn.microsoft.com/en-us/library/ms682451.aspx>
sowie <https://msdn.microsoft.com/en-us/library/ms678814.aspx>
Da die Enumeration dieser Zuordnungen ein zeitaufwendiger Vorgang
ist haelt Windows sie in einem Cache vor.
Siehe u.a. <https://msdn.microsoft.com/en-us/library/cc144099.aspx>
Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
Kategorie "MSOfficeAntiVirus" registrieren:
--- IMSOAV.REG ---
REGEDIT4
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}]
@="eSKamation.MSOAV"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\Implemented Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="MSOfficeAntiVirus"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\InProcServer32]
@="<pfad>\SENTINEL.DLL"
"ThreadingModel"="Both"
; ab hier optionale Eintraege
[HKEY_CLASSES_ROOT\CLSID\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\TreatAs]
@="{56FFCC31-D398-11D0-B2AE-00A0C908FA49}"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="IOfficeAntiVirus"
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="IOfficeAntiVirus"
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\BaseInterface]
@="{00000000-0000-0000-C000-000000000046}" ; IUnknown
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\NumMethods]
@="4"
--- EOF ---
JFTR: nach Ersetzen von HKEY_CLASSES_ROOT durch
HKEY_CURRENT_USER\Software\Classes kann jeder unprivilegierte
"Schaedling" diese Eintraege schreiben...
Unter 64-bittigem Windows wird der Pfad zur 32-bittigen DLL unterhalb
von ...\WoW6432Node\... gesetzt.
Stefan
> Stefan Kanthak schrieb:
>
>> Der mit Windows XP SP2 eingefuehrte "Attachment Manager" ruft die
>> im letzten Jahrtausend eingefuehrte Schnittstelle IOfficeAntiVirus
>> (…) ALLER fuer die COM-Kategorie CATID_MSOfficeAntiVirus alias
>> {56FFCC31-D398-11D0-B2AE-00A0C908FA49} registrierten COM-Objekte auf.
>
> Hm, weder diese GUID noch den String "CATID_MSOfficeAntiVirus" finde
> ich hier in der Registry unter Windows 10.
1. OPTIONAL unter dem Registry-Schluessel
[HKEY_CLASSES_ROOT\Component Categories]
Siehe <https://msdn.microsoft.com/en-us/library/ms692551.aspx>
[HKEY_CLASSES_ROOT\Component Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
enthaelt (ebenfalls) OPTIONALE Registry-Werte
"<lcid>"="<beschreibungstext>"
<lcid> sind die numerischen Werte der wohlbekannten "language
code identifier", beispielsweise "409" fuer Deutsch/Deutschland
oder "407" fuer Englisch/USA
Siehe <https://msdn.microsoft.com/en-us/library/ms690475.aspx>
2. unter den Registry-Schluesseln
[HKEY_CLASSES_ROOT\CLSID\{guidguid-guid-guid-guid-guidguidguid}\Component Categories]
der registrierten COM-Klassen; darueber erfolgt die Zuordnung
der jeweiligen COM-Klasse zu einer oder mehreren COM-Kategorie(n).
Siehe <https://msdn.microsoft.com/en-us/library/ms682451.aspx>
sowie <https://msdn.microsoft.com/en-us/library/ms678814.aspx>
Da die Enumeration dieser Zuordnungen ein zeitaufwendiger Vorgang
ist haelt Windows sie in einem Cache vor.
Siehe u.a. <https://msdn.microsoft.com/en-us/library/cc144099.aspx>
Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
Kategorie "MSOfficeAntiVirus" registrieren:
--- IMSOAV.REG ---
REGEDIT4
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}]
@="eSKamation.MSOAV"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\Implemented Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="MSOfficeAntiVirus"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\InProcServer32]
@="<pfad>\SENTINEL.DLL"
"ThreadingModel"="Both"
; ab hier optionale Eintraege
[HKEY_CLASSES_ROOT\CLSID\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\TreatAs]
@="{56FFCC31-D398-11D0-B2AE-00A0C908FA49}"
[HKEY_CLASSES_ROOT\CLSID\{56FFCC31-D398-11D0-B2AE-00A0C908FA49}\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="IOfficeAntiVirus"
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}]
@="IOfficeAntiVirus"
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\BaseInterface]
@="{00000000-0000-0000-C000-000000000046}" ; IUnknown
[HKEY_CLASSES_ROOT\Interface\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}\NumMethods]
@="4"
--- EOF ---
JFTR: nach Ersetzen von HKEY_CLASSES_ROOT durch
HKEY_CURRENT_USER\Software\Classes kann jeder unprivilegierte
"Schaedling" diese Eintraege schreiben...
Unter 64-bittigem Windows wird der Pfad zur 32-bittigen DLL unterhalb
von ...\WoW6432Node\... gesetzt.
Stefan
Stefan Kanthak
Nov 11, 2018, 2:00:53 PM11/11/18
to
"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:
> Stefan Kanthak schrieb:
>
>> Weitere Einstellungen sind
[...]
> Ich habe mittlerweile alle Einträge gesetzt, die irgendwo dokumentiert sind:
[...]
> Dennoch werden weiterhin Dateien in "C:\Program Files\Windows Defender"
> ausgeführt – das sieht man nach ein paar Tagen gut im SAFER-Log:
>
> 22× wscript.exe (…) identified MpOav.dll (…)
> 22× svchost.exe (…) identified MpCmdRun.exe (…)
> 22× wscript.exe (…) identified MPCLIENT.DLL (…)
> 9× MpCmdRun.exe (…) identified mpclient.dll (…)
> 2× WmiPrvSE.exe (…) identified MpOav.dll (…)
>
> Ausführung jeweils zugelassen wegen der "default rule, Guid =
> {11015445-d282-4f86-96a2-9e485f593302}", also offenbar mit System- oder
> Administratorrechten ausgeführt.
Korrekt, und voellig normal.
Mit dem beispielsweise von SVCHOST.exe aufgerufenen Programm MPCMDRUN.exe
werden periodisch Wartungsarbeiten (u.a. Sicknatur-Aktualisierungen)
durchgefuehrt.
WMIPRVSE.exe oder WSCRIPT.exe enumerieren u.a. COM-Kategorien und
laden dabei ggf. das COM-Objekt MPOAV.dll.
Programm und COM-Objekt wiederum laden MPCLIENT.dll
> <https://superuser.com/questions/947873/disable-windows-defender-in-windows-10/1009656#1009656>
> scheint mir eine _sehr_ gründliche Anleitung zu sein,
Wie ueblich von einem AHNUNGSLOSEN verbrochen.
Jeder nicht voellig verbloedete Windows-Administrator spielt nicht
mit TAKEOWN.exe, sondern benutzt die Privilegien Backup und Restore.
Zudem ist das MAKULATUR, sobald Microsoft ein Update des Defender
(oder einer seiner Komponenten) per Windows Update ausliefert.
> aber so tief wollte ich dann doch nicht ins System eingreifen.
> Jedenfalls blöd, daß man dieses Teil unter Windows 10 offenbar
> nicht ohne größere Klimmzüge komplett und rückstandsfrei loswird.
> Stefan Kanthak schrieb:
>
>> Weitere Einstellungen sind
> Ich habe mittlerweile alle Einträge gesetzt, die irgendwo dokumentiert sind:
> Dennoch werden weiterhin Dateien in "C:\Program Files\Windows Defender"
> ausgeführt – das sieht man nach ein paar Tagen gut im SAFER-Log:
>
> 22× wscript.exe (…) identified MpOav.dll (…)
> 22× svchost.exe (…) identified MpCmdRun.exe (…)
> 22× wscript.exe (…) identified MPCLIENT.DLL (…)
> 9× MpCmdRun.exe (…) identified mpclient.dll (…)
> 2× WmiPrvSE.exe (…) identified MpOav.dll (…)
>
> Ausführung jeweils zugelassen wegen der "default rule, Guid =
> {11015445-d282-4f86-96a2-9e485f593302}", also offenbar mit System- oder
> Administratorrechten ausgeführt.
Mit dem beispielsweise von SVCHOST.exe aufgerufenen Programm MPCMDRUN.exe
werden periodisch Wartungsarbeiten (u.a. Sicknatur-Aktualisierungen)
durchgefuehrt.
WMIPRVSE.exe oder WSCRIPT.exe enumerieren u.a. COM-Kategorien und
laden dabei ggf. das COM-Objekt MPOAV.dll.
Programm und COM-Objekt wiederum laden MPCLIENT.dll
> <https://superuser.com/questions/947873/disable-windows-defender-in-windows-10/1009656#1009656>
> scheint mir eine _sehr_ gründliche Anleitung zu sein,
Jeder nicht voellig verbloedete Windows-Administrator spielt nicht
mit TAKEOWN.exe, sondern benutzt die Privilegien Backup und Restore.
Zudem ist das MAKULATUR, sobald Microsoft ein Update des Defender
(oder einer seiner Komponenten) per Windows Update ausliefert.
> aber so tief wollte ich dann doch nicht ins System eingreifen.
> Jedenfalls blöd, daß man dieses Teil unter Windows 10 offenbar
> nicht ohne größere Klimmzüge komplett und rückstandsfrei loswird.
Christoph Schneegans
Nov 12, 2018, 7:44:04 AM11/12/18
to
Stefan Kanthak schrieb:
> Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
> Kategorie "MSOfficeAntiVirus" registrieren:
>
> --- IMSOAV.REG ---
IE ruft damit in der Tat nach jedem Download SENTINEL.DLL auf, meldet
dann, daß die fragliche Datei einen Virus enthält, und löscht diese.
Edge verklemmt sich dabei allerdings und friert manchmal sogar ein.
Gehe ich recht in der Annahme, daß SENTINEL.DLL jedenfalls Windows
Defender nicht ersetzt, sondern nur ergänzt?
> Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
> Kategorie "MSOfficeAntiVirus" registrieren:
>
> --- IMSOAV.REG ---
dann, daß die fragliche Datei einen Virus enthält, und löscht diese.
Edge verklemmt sich dabei allerdings und friert manchmal sogar ein.
Gehe ich recht in der Annahme, daß SENTINEL.DLL jedenfalls Windows
Defender nicht ersetzt, sondern nur ergänzt?
Stefan Kanthak
Nov 12, 2018, 2:52:16 PM11/12/18
to
"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:
> Stefan Kanthak schrieb:
>
>> Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
>> Kategorie "MSOfficeAntiVirus" registrieren:
>>
>> --- IMSOAV.REG ---
>
> IE ruft damit in der Tat nach jedem Download SENTINEL.DLL auf, meldet
> dann, daß die fragliche Datei einen Virus enthält, und löscht diese.
Korrekt.
Die von IMSOAV.REG gesetzten Registry-Eintraege gaukeln Windows vor,
dass SENTINEL.DLL ein COM-Objekt ist, das die Schnittstelle
IOfficeAntivirus alias {56FFCC30-D398-11D0-B2AE-00A0C908FA49}
implementiert, und in der Kategorie {56FFCC30-D398-11D0-B2AE-00A0C908FA49}
gefuehrt wird.
Damit wird es vom "Attachment Manager" aufgerufen.
Die von SENTINEL.DLL exportierte Funktion DllGetClassObject()
(siehe <https://msdn.microsoft.com/en-us/library/ms680760.aspx>) wird
von COM nach dem Laden der DLL aufgerufen, um eine Instanz des
angeblichen COM-Objekts zu erzeugen.
In SENTINEL.DLL liefert diese Schnittstelle immer das HRESULT
0x80040111 alias CLASS_E_CLASSNOTAVAILABLE
Da der "Attachment Manager" eine "fail safe"-Strategie verfolgt fuehrt
das zum Ergebnis "Datei ist unsicher".
> Edge verklemmt sich dabei allerdings und friert manchmal sogar ein.
Dann ist Edge kaputt; COM-Objekte duerfen CLASS_E_CLASSNOTAVAILABLE
zurueckgeben, der Aufrufer muss darauf KORREKT reagieren.
Laut Microsofts Vorgaben muessen seit Windows XP SP2 ALLE Anwendungen
unter "Application Verifier" fehlerlos laufen. Einer der STANDARD-
Tests des "Application Verifier" liefert CLASS_E_CLASSNOTAVAILABLE
beim Aufruf von COM-Objekten...
> Gehe ich recht in der Annahme, daß SENTINEL.DLL jedenfalls Windows
> Defender nicht ersetzt, sondern nur ergänzt?
Weder noch!
> Stefan Kanthak schrieb:
>
>> Zum "Spielen" kannst Du meine SENTINEL.DLL als COM-Objekt in der
>> Kategorie "MSOfficeAntiVirus" registrieren:
>>
>> --- IMSOAV.REG ---
>
> IE ruft damit in der Tat nach jedem Download SENTINEL.DLL auf, meldet
> dann, daß die fragliche Datei einen Virus enthält, und löscht diese.
Die von IMSOAV.REG gesetzten Registry-Eintraege gaukeln Windows vor,
dass SENTINEL.DLL ein COM-Objekt ist, das die Schnittstelle
IOfficeAntivirus alias {56FFCC30-D398-11D0-B2AE-00A0C908FA49}
implementiert, und in der Kategorie {56FFCC30-D398-11D0-B2AE-00A0C908FA49}
gefuehrt wird.
Damit wird es vom "Attachment Manager" aufgerufen.
Die von SENTINEL.DLL exportierte Funktion DllGetClassObject()
(siehe <https://msdn.microsoft.com/en-us/library/ms680760.aspx>) wird
von COM nach dem Laden der DLL aufgerufen, um eine Instanz des
angeblichen COM-Objekts zu erzeugen.
In SENTINEL.DLL liefert diese Schnittstelle immer das HRESULT
0x80040111 alias CLASS_E_CLASSNOTAVAILABLE
Da der "Attachment Manager" eine "fail safe"-Strategie verfolgt fuehrt
das zum Ergebnis "Datei ist unsicher".
> Edge verklemmt sich dabei allerdings und friert manchmal sogar ein.
zurueckgeben, der Aufrufer muss darauf KORREKT reagieren.
Laut Microsofts Vorgaben muessen seit Windows XP SP2 ALLE Anwendungen
unter "Application Verifier" fehlerlos laufen. Einer der STANDARD-
Tests des "Application Verifier" liefert CLASS_E_CLASSNOTAVAILABLE
beim Aufruf von COM-Objekten...
> Gehe ich recht in der Annahme, daß SENTINEL.DLL jedenfalls Windows
> Defender nicht ersetzt, sondern nur ergänzt?
0 new messages