Windows 10 Defender recently started to check a program component as a virus
Namtazar opened this issue · comments
Operating system / операционная система
Windows 10 22H2
Running as service / Запуск программы как сервис
I run it as a regular program / Запускаю программу обычным образом
Describe the bug / Опишите ошибку программы
HackTool:Win32/AutoKMS!MSR detected and placed to quarantine from file: D:\Downloads\goodbyedpi-0.2.2.zip->goodbyedpi-0.2.2/x86/WinDivert64.sys
file: D:\Downloads\goodbyedpi-0.2.2.zip->goodbyedpi-0.2.2/x86_64/WinDivert64.sys
Additional information / Дополнительная информация
Program was used at least for a year and never reinstalled before but today windows defender just detect and block the file and after me tried to download program from github - Defender blocks archive
Same. In my case defender deleted WinDivert64.sys too, and I got error "Error opening filter: The system cannot find the file specified"
I have Windows 10 21H2, so this is purely about the new Defender update (or their cloud virus signutures update)
This is easy to fix however, by simply placing the Goodbyedpi folder in Defender exclusions
microsoft and defender seems to mislead signatures for HackTool:Win32/AutoKMS!MSR that caused windivert to be quarantined.
this is a false positive due to a mix-up of signatures in the antivirus and the Microsoft signature database most likely
Not GoodbyeDPI issue, and even not WinDivert issue. WinDivert is sometimes used by malware. Like any thing in this world can be used for evil, or for good.
Add WinDivert.sys to the Defender's exception.
Please report report the false positive result to Microsoft.
https://www.microsoft.com/en-us/wdsi/filesubmission/
Please report report the false positive result to Microsoft. https://www.microsoft.com/en-us/wdsi/filesubmission/
Done.
False positives were reported. Thanks to all for the help.
а что если я наоборот не могу удалить WinDivert64.sys. вернее его я удалил, но антивирус все равно его находит, однако его больше нет. кто-то знает как быть в этом случае?
Может, драйвер установлен куда-то в другое место?
Посмотрите через Autoruns, например.
посмотрел и ничего. его нигде нет, но антивирус все равно указывает на него
Можно положить файл на это место и дать антивирусу доблестно его удалить
к сожалению и это не помогает. он не может его удалить. а когда пытаешься сам, то пишет, что он открыт в другой программе, а в какой другой без понятия
а что если я наоборот не могу удалить WinDivert64.sys. вернее его я удалил, но антивирус все равно его находит, однако его больше нет. кто-то знает как быть в этом случае?
Иак то сам драйвер виндайверт находится в папке программы гудбайдпи. И нигде особо более не замечен. Чтобы удалился он или удалить его нужно сначала остановить и убрать сервис.
Зависит от того, как называется служба. Команда удаляет службу с указанным именем.
sc query
выведет список всех служб
sc query | find /i "windivert"
найдёт все службы, у которых в имени есть "windivert", выполните это в консоли и посмотрите на результат