Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux как вредоносные
Предисловие: не так давно, за время учебы мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.
Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве.
Из самих описаний этих угроз было четко ясно, что дело действительно в образе.
Однако ни один вариант из предложенных антивирусом нам не подходит. Удалить угрозы? Они часть iso-файла, это не сработает (хотя поспешные и нелепые попытки были). Поместить в карантин? Та же нелепость. Разрешить все угрозы? Долго и рискованно (пакетов очень много).
В спешке и панике первая мысль была — удалить исошник, однако это было невозможно, поскольку Microsoft Defender уже взаимодействовал с ним и не мог прекратить сканирование. При попытке удалить iso-файл открывалось окно с бесконечной загрузкой удаления.
Изначально предпринимались попытки найти ответ в интернете, но особо ничего толкового не нашлось. Кто-то предлагал зайти и удалить файл в безопасном режиме, отключив антивирус, кто-то смог завершить нужный процесс в диспетчере задач. Но все это особо не помогало.
Ссылки на форумы в поисках ответа:
https://www.reddit.com/r/Windows10/comments/kjq8mv/i_cant_delete_a_kali_linux_iso/
https://www.tenforums.com/antivirus-firewalls-system-security/175472-i-cant-delete-iso-file.html
Решение:
Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.
После этого антивирус перестанет кричать об угрозах и немного успокоится, а через какое-то время iso-файл можно будет удалить. Однако с каждым последующим включением вы все равно столкнетесь с ситуацией, что антивирус будет сканировать систему и, на основании предыдущих событий будет дублировать их как предупреждения. Таким образом события в журнале текущих угроз будут постоянно дублироваться, а сам журнал — ужасно тормозить. Исправляем.
Как решить проблему с постоянным сканированием уже несуществующих угроз?
Эту проблему решить удалось, опираясь на информацию из этих источников.)
У человека на киберфоруме была такая же головная боль. Но вовремя подоспевший отвечающий дал весьма полезную ссылку.
Киберфорум: https://www.cyberforum.ru/windows10/thread3137657.html
Полезная ссылка: https://www.thewindowsclub.com/clear-windows-defender-protection-history
В конце концов, мне помог такой способ:
Заходим в PowerShell от имени администратора —> вводим следующую команду:
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Осталось только ждать. Отматывать вперед системное время нет необходимости, поскольку журнал событий должен очиститься без каких-либо проблем спустя какое-то время (максимум сутки).
