Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Piątek 13-stego. Najnowsze reguły Windows Defender mogą pomyłkowo „usuwać Programy z Menu Start”

13 stycznia 2023, 15:02 | W biegu | komentarzy 8

Najnowsze doniesienia są jeszcze bardziej alarmujące bo mówią o „usuwaniu całych aplikacji”:

Have you had anyone report applications going missing from there laptops today? I’ve seemed to have lost all Microsoft apps, outlook/excel/word. An error message comes up saying it’s not supported and then the app seems to have uninstalled.

Poprosiliśmy o krótki komentarz w temacie Grześka Tworka, który uruchomił stosowne środowisko i relacjonuje:

wszystko wskazuje na to, że aktualizacje silnika antywirusowego Microsoft Defender z 13.01.2023 nadgorliwie traktują wszystkie pliki .lnk jak potencjalnie złośliwe i usuwają je tak, jak każde inne złośliwe oprogramowanie. Informują, logują i usuwają. Z punktu widzenia końcowego użytkownika efekt może być przerażający, bo to właśnie pliki .lnk są najczęściej używane do uruchamiania aplikacji z Menu Start, z paska zadań czy z pulpitu. Po błędnym zadziałaniu antywirusa wszystkie te skróty znikają, co może być odebrane jako „znikanie aplikacji” i na pewno jest sporym kłopotem.

Jeżeli komuś zdarzy się ten przypadek, najlepiej spojrzeć do logu Microsoft-Windows-Windows Defender/Operational i w szczegółach wpisu o identyfikatorze 1121 sprawdzić co i dlaczego zostało usunięte. Można to względnie łatwo (również zdalnie) zrobić przy pomocy wbudowanej aplikacji do przeglądania dziennika zdarzeń lub PowerShellem.

Rzeczywiście jeśli nieco głębiej poszukamy problemu, to winowajcą wydaje się być najnowsza aktualizacja sygnatur Windows Defender:

Its a problem with the newest defender signature (1.381.2140.0). Tested it by my self. Looks like that all shortcuts which are located in ProgramData\Microsoft\Windows\Start Menu\Programs will be deleted instantly.

Dodatkowo – być może żeby problem wystąpił, musi być włączony microsoftowy mechanizm ASR.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jakub

    Mi dzisiaj (w tenże piątek 13,bo jeszcze dla mnie trwa) szlag trafił 2 komputery (wszystkie) w firmie. Nagle wszystko się zawiesza, jeden dysk fizycznie zniknął, pętla bootowania, cuda sie dzieją.. Może ta aktualizacja porobiła jakieś jeszcze cuda?

    Odpowiedz
    • Robert

      U mnie to samo . Komputer wysłany do serwisu. Przez jebana aktualizację win 11

      Odpowiedz
  2. Łukasz

    Wygląda, że faktycznie sygnatury 1.381.2140.0 + ASR (między innymi polityka „Block Win32 API calls from Office macros” – pliki .LNK blokowane, co ciekawe mnustwo plików .CS). Ciekawe jak MS z tego wybrnie. O ile wycofać szkodliwą sygnaturę to nie problem ale przywrócić stan sprzed incydentu na tysiącach komputerów – raczej słabo to widzę.

    Odpowiedz
  3. Urypajew

    Ostatnie przygody, podmiana sterowników drukarek, utrata części funkcji, błędne drukowaniev- robaczki, utrata funkcjonalności elementów z funkcji sieciowych, raz to, raz na innej maszynie tamto, itd.
    Niby nie ma dramatu, ale w komercyjnej odmianie Win.pro nie powinno być tak że moment nieuwagi i już M$ rozpierd.. Ci firmę.

    Odpowiedz
  4. alberto

    heh, u mnie update 21H2 x64 (KB5022282) dobija do 100% i po minucie błąd: „Wystąpiły problemy podczas instalowania aktualizacji, ale ponowimy próbę później. Jeśli ten problem będzie nadal występować i chcesz przeszukać Internet lub uzyskać informacje od pomocy technicznej, użyj kodu błędu: (0x800f0988)”

    probowalem kilka wstecz reinstalowac, nie pomaga, nie otwiera mi sie panel sterowania Nvidii, Centrum akcji i Pasek Start – zero reakcji XDDD

    Odpowiedz
  5. alberto

    22H2*

    Odpowiedz
  6. zurek
    Odpowiedz

Odpowiedz