Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий

Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)

Предисловие: не так давно, за время учебы мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.

Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве.

Антивирус считает пакеты Kali Linux вредоносным ПО

Из самих описаний этих угроз было четко ясно, что дело действительно в образе.

"Вредоносный" пакет обнаружен в iso-файле

Однако ни один вариант из предложенных антивирусом нам не подходит. Удалить угрозы? Они часть iso-файла, это не сработает (хотя поспешные и нелепые попытки были). Поместить в карантин? Та же нелепость. Разрешить все угрозы? Долго и рискованно (пакетов очень много).

В спешке и панике первая мысль была — удалить исошник, однако это было невозможно, поскольку Microsoft Defender уже взаимодействовал с ним и не мог прекратить сканирование. При попытке удалить iso-файл открывалось окно с бесконечной загрузкой удаления.

Изначально предпринимались попытки найти ответ в интернете, но особо ничего толкового не нашлось. Кто-то предлагал зайти и удалить файл в безопасном режиме, отключив антивирус, кто-то смог завершить нужный процесс в диспетчере задач. Но все это особо не помогало.

Ссылки на форумы в поисках ответа:

https://www.reddit.com/r/Windows10/comments/kjq8mv/i_cant_delete_a_kali_linux_iso/

https://www.tenforums.com/antivirus-firewalls-system-security/175472-i-cant-delete-iso-file.html

Решение:

Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.

Заходим в конце журнала Защиты от вирусов и угроз в "Управление настройками"
Прокручиваем до "Исключения" и добавляем нужную папку, где лежит iso-файл

После этого антивирус перестанет кричать об угрозах и немного успокоится, а через какое-то время iso-файл можно будет удалить. Однако с каждым последующим включением вы все равно столкнетесь с ситуацией, что антивирус будет сканировать систему и, на основании предыдущих событий будет дублировать их как предупреждения. Таким образом события в журнале текущих угроз будут постоянно дублироваться, а сам журнал — ужасно тормозить. Исправляем.

Как решить проблему с постоянным сканированием уже несуществующих угроз?

Эту проблему решить удалось, опираясь на информацию из этих источников.)
У человека на киберфоруме была такая же головная боль. Но вовремя подоспевший отвечающий дал весьма полезную ссылку.

Киберфорум

Полезная ссылка

В конце концов, мне помог такой способ:

Заходим в PowerShell от имени администратора —> вводим следующую команду:

Set-MpPreference -ScanPurgeItemsAfterDelay 1

"Set-MpPreference настраивает параметры сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключения, пути или процессы и указать действие по умолчанию для высокого, умеренного и низкого уровней угрозы. "

Конкретно эта команда устанавливает задержку (в днях), после которой история в журнале защиты будет удалена.

Осталось только ждать. Отматывать вперед системное время нет необходимости, поскольку журнал событий должен очиститься без каких-либо проблем спустя какое-то время (максимум сутки).

Чтобы вернуть все как было, нужно просто снова ввести эту команду в PowerShell от имени администратора и 1 заменить на 0. Тогда список удаляться не будет. Можно также поставить и любое другое значение дней задержки информации в журнале.