Trvalé vypnutí real-time ochrany na Windows 10

petersveter

Trvalé vypnutí real-time ochrany na Windows 10
« kdy: 29. 04. 2024, 15:33:58 »
Neviete niekto ako permanentne vypnut real-time ochranu proti virusom na windows 10? Ona sa vzdy sama znovu zapne. Skusal som ju vypnut v windows scheduleri ale nepomohlo. Do registrov sa mi ripat moc nechce ale asi nic ine neostava?


Re:Ako permanentne vypnut real-time ochranu na Win 10
« Odpověď #1 kdy: 29. 04. 2024, 17:00:31 »
Dokud mas aktivni "ochranu pred falsovanim", tak se to takhle bude dit furt.

Tuhle ochranu musis vypnout jako prvni a pak neco menit.


V registru te zajima:


HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection

DWORD DisableBehaviorMonitoring (1)
DWORD DisableOnAccessProtection (1)
DWORD DisableRealtimeMonitoring (1)
DWORD DisableScanOnRealtimeEnable (1)

Popr. o uroven vys
DWORD DisableAntiSpyware (1)

^ to je pro kompletni vypnuti Defenderu.

Re:Ako permanentne vypnut real-time ochranu na Win 10
« Odpověď #2 kdy: 29. 04. 2024, 17:19:01 »
Nepíšete důvod proč jí chcete vypínat. Pokud vám zpomaluje systém, zapněte si na nějaký čas záznam činnosti

Kód: [Vybrat]
powershell.exe "New-MpPerformanceRecording -RecordTo 'c:\work\recording.etl'"
pak si v logách najděte kontrolou čeho tráví Defender nejvíc času

Kód: [Vybrat]
powershell.exe "Get-MpPerformanceReport -Path 'c:\work\recording.etl' -TopFiles:10 -TopExtensions:10 -TopProcesses:10 -TopScans:10"
a na důveryhodné soubory pak aplikujte EXCLUSION

Kód: [Vybrat]
powershell.exe "Add-MpPreference -ExclusionPath 'C:\utils\program.exe'"

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #3 kdy: 29. 04. 2024, 20:07:11 »
V podstatě mi fungovalo jen : https://github.com/ionuttbara/windows-defender-remover

Jinak po pár restartech, aktualizacích apod. Windowšrot opět obovil ochranu... jako fakt sem to nechápal a to i v izolovaném prostředí bez netu - třeba FlareVM, několikrát, nastavené registry, zastavené služby, nic ho nezastavilo ... ten Windows je strašný malware!

Karmelos

  • *****
  • 1 061
    • Zobrazit profil
    • E-mail
Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #4 kdy: 30. 04. 2024, 08:40:53 »
Není, je to jen ochrana před nekompetentníma BFU co si pak stěžujou jak jsou windowsy strašně děravý a jak lehce je proto je heknul šifrovací malvér...
Dneska je lepší uživatele k ničemu nepouštět, bo si zaděláváš na závažný problémy a ten špatnej je pak správce...
Dřív se lidi k počítačům chovali s respektem, dneska se snažej jenom rozchodit ten internet, mejly, fejs a odklikaj všechno jak smyslů zbavený...
Gréta je nejlepší.


jjrsk

  • *****
  • 527
    • Zobrazit profil
Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #5 kdy: 30. 04. 2024, 14:16:05 »
Neviete niekto...
Vime ...

Potrebujes nabootovat do neceho jinyho = live tuxe. Pak potrebujes prejmenovat/smazat prislusne foldery v program files.

Zadrhel te akce spociva prave v tom, ze defaultne ti to widle zabehu udelat nedovoli ani jako adminovi, stejne jako ti nedovoli stopnout tu sluzbu.

Coz je faze B. Potrebujes nejaky externi editor registru, kterym vypnes tu sluzbu, protoze jako admin na to nemas opravneni. To ale nestaci, protoze jeste musis prosacovat task scheduler, a tam udelat totez, protoze jinak se ti ta sluzba snazi porad dokola aktivovat (coz teda failne, pokud si udelal krok c 1).

Muzes k tomu pridat jeste GPOcko, kterym to zakazes, ale ve skutecnosti zdaleka nejpodstatnejsi je krok 1.

A pak uz to nikdy nenastartuje - kupodivu ani potom, co se ti tam ty foldery po nejake aktualizaci vylihnou zpet. A widle proti tomu ani nijak neprotestuji.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #6 kdy: 30. 04. 2024, 18:42:39 »
Viděl bych to asi takhle:

Kód: [Vybrat]
$name = 'Windows-Defender-Client-Package'
$packages = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages'
$found = split-path -leaf (reg query $packages.replace(':','') /f $name | findstr HKEY)

function reg_own([string[]]$A){ #key [opt],all,usr,own,acc,perm : reg_own "HKCU:\My","","S-1-5-32-545","","Allow","FullControl"
$D1=[uri]."M`odule"."G`etType"('System.Diagnostics.Process')."G`etMethods"(42) |where {$_.Name -eq 'SetPrivilege'} #`:no-ev-warn
'SeSecurityPrivilege','SeTakeOwnershipPrivilege','SeBackupPrivilege','SeRestorePrivilege'|foreach {$D1.Invoke($null, @("$_",2))}
$path=$A[0]; $rk=$path-split':\\',2; $HK=gi -lit Registry::$($rk[0]) -fo; $s=$A[1]; $sps=[Security.Principal.SecurityIdentifier]
$u=($A[2],'S-1-5-32-544')[!$A[2]];$o=($A[3],$u)[!$A[3]];$w=$u,$o |% {new-object $sps($_)}; $old=!$A[3];$own=!$old; $y=$s-eq'all'
$rar=new-object Security.AccessControl.RegistryAccessRule( $w[0], ($A[5],'FullControl')[!$A[5]], 1, 0, ($A[4],'Allow')[!$A[4]] )
$x=$s-eq'none';function Own1($k){$t=$HK.OpenSubKey($k,2,'TakeOwnership');if($t){0,4|%{try{$o=$t.GetAccessControl($_)}catch{$old=0}
};if($old){$own=1;$w[1]=$o.GetOwner($sps)};$o.SetOwner($w[0]);$t.SetAccessControl($o); $c=$HK.OpenSubKey($k,2,'ChangePermissions')
$p=$c.GetAccessControl(2);if($y){$p.SetAccessRuleProtection(1,1)};$p.ResetAccessRule($rar);if($x){$p.RemoveAccessRuleAll($rar)}
$c.SetAccessControl($p);if($own){$o.SetOwner($w[1]);$t.SetAccessControl($o)};if($s){$subkeys=$HK.OpenSubKey($k).GetSubKeyNames()
foreach($n in $subkeys){Own1 "$k\$n"}}}}; Own1 $rk[1]; if($env:VO){get-acl Registry::$path|fl}} # lean & mean ps snippet by AveYo

foreach ($item in $found) {
reg_own "$packages\$item" 'preserve' 'S-1-1-0'
set-itemproperty -Path "$packages\$item" -Name "Visibility" -Value 1
remove-item -Path "$packages\$item\Owners"
remove-windowspackage -Online -PackageName "$item" -NoRestart
}

Zdroj

Karmelos

  • *****
  • 1 061
    • Zobrazit profil
    • E-mail
Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #7 kdy: 30. 04. 2024, 23:10:55 »
Jenom dodám, že bych to nedělal pokud nebudeš používat počítač jen a pouze offline. Anebo pokud je to jenom kvůli nějakému testu a pak to smažeš/přeinstalujes na čisto.  Protože uvézt to zpátky do původního funkčního stavu se mi jeví jako nemožné. Nejsem si ani jistý, že na to bude stačit
bod obnovy nebo návrat do továrního... Ale třeba jo..
Gréta je nejlepší.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #8 kdy: 02. 05. 2024, 08:15:47 »
Taky by mě zajímalo,proč to chceš udělat. Ani to,že máš systém airgapnutý neznamená,že ti ho blbý zaměstnanec nedokáže nakazit. Viz třeba StuxNet. Pokud máš v síti byť jen jediné žijící USB (což máš už kvůli klávesnici), nedělal bych to pokud fakt dobře nevíš, co a proč děláš

jjrsk

  • *****
  • 527
    • Zobrazit profil
Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #9 kdy: 02. 05. 2024, 08:54:26 »
Taky by mě zajímalo,proč ...
Zeby proto, ze to je uplne knicemu, jen to zere ram, cpu, degraduje vykon ssd na pomaly disk  a  jako bonus se to podili na smirovani uzivatele ... ???

Jedine co tento kram spolehlive odstranuje je hwidgen. Viru si to ani nevsimne, a ze jich mam na disku slusnou sbirku.

Karmelos

  • *****
  • 1 061
    • Zobrazit profil
    • E-mail
Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #10 kdy: 02. 05. 2024, 09:42:52 »
Taky by mě zajímalo,proč ...
Zeby proto, ze to je uplne knicemu, jen to zere ram, cpu, degraduje vykon ssd na pomaly disk  a  jako bonus se to podili na smirovani uzivatele ... ???

Jedine co tento kram spolehlive odstranuje je hwidgen. Viru si to ani nevsimne, a ze jich mam na disku slusnou sbirku.

V době kdy si můžeš doslova za pár korum koupit ram desítky GB, procesor s výkonem v řádech desítek TFLOPS, šmírováním od jakékoliv webové stránky,  mi tenhle argument příjde naprosto mimo. 
A krom toho máš možnost instalovat jiný av/fw, třeba bitdefender, a ten windowsi default vypne bez nutnosti amatérského hekování systému.
Gréta je nejlepší.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #11 kdy: 02. 05. 2024, 10:12:48 »
Taky by mě zajímalo,proč ...
Zeby proto, ze to je uplne knicemu, jen to zere ram, cpu, degraduje vykon ssd na pomaly disk  a  jako bonus se to podili na smirovani uzivatele ... ???

Jedine co tento kram spolehlive odstranuje je hwidgen. Viru si to ani nevsimne, a ze jich mam na disku slusnou sbirku.

Když budu reagovat skutečně jen na to cos napsal, aniž bych spekuloval Jakš to možná mohl myslet, tak mi z toho vychází, že si ty (chybně) myslíš že to je něco jiného než si ty (chybně) myslíš.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #12 kdy: 02. 05. 2024, 10:18:37 »
V době kdy si můžeš doslova za pár korum koupit ram desítky GB, procesor s výkonem v řádech desítek TFLOPS, šmírováním od jakékoliv webové stránky,  mi tenhle argument příjde naprosto mimo.
lol

Ne, pouzitelny to fakt neni, a to zcela bez ohledu na vykon zeleza. Prikladmo, priprava instalacniho image woken pro jinej pocitac (nebo VM) s integraci ovladacu a povypinanim nejotravnejsich nesmyslu, at to funguje tak, jak chci ja a neopruzuje mne to s vecma, ktery mne pro prislusny ucel vubec nezajimaji.
Tak vez, ze cas takovych aktivit se zapnutym Defenderem se zcela bez problemu nasobi... dostat se z 25 minut treba na hodku a pul neni problem.


A v podstate totez u ... hmm, asi tak zhruba libovolne jine aktivity.


Jen teda narozdil od jjrsk jsem nemusel delat zadny takovy harakiri, jake zminuje. Pouze jsem aplikoval prislusne policy jeste pred provedenim instalace OS. Podotykam, ze k zadne reinkarnaci Defenderu u mne nikdy nedoslo a do planovanych uloh jsem nemusel zasahovat.




Apropo moc by mne zajimalo, z ceho si nekteri pisatele vyfabulovali, ze to tazatel hodla pouzivat v praci, nebo to tak nastavit jako pro nekoho jinyho. Nebo nutnost mit ten pocitac odpojenej od site.
Pokud clovek vi, co dela, jsou tyto otazky zcela zbytne a mimo tema.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #13 kdy: 02. 05. 2024, 10:59:13 »
Tady čichám-čichám docela vážný problém s chápáním textu. Protože ten poslední odstavec je jen tvoje projekce; všechno co se tu objevilo, byla upozornění, za jakých okolností a z jakých důvodů to není dobrý nápad.
Neoddávej se tolik vlastním hormonům a radši věnuje víc úsilí čtení a chápání textu.

Re:Trvalé vypnutí real-time ochrany na Windows 10
« Odpověď #14 kdy: 02. 05. 2024, 11:14:59 »
petersveter+jauznevimco: pro kompletni uskutecneni vaseho skveleho zameru je treba odstranit kernel.