Finally did something I've been meaning to do for a LONG time, fully disabled Defender on this HP laptop with Windows 10. Been driving me nuts, when I need to test things, and how Defender restarts automatically if you restart your laptop. The guide I found that was amazing and worked was this: https://www.izoate.com/blog/how-to-disable-windows-defender-permanently-on-windows-10-and-windows-11.

I really had to dig around in the registry. Just turning it off or messing with the Group policy stuff didn't work. I had to make a backup, and go manually turn off everything I could in the registry. I appreciate safety and whatnot, but fuckin Windows. 🙄 😂

#WindowsDefender #DisableWindowsDefender #Windows #Windows10 #laptop #HowTo #WindowsHowTo

Since #W95, I have not antivirus.

I realized that all antivirus were freezing my computer's resources. In W10, I even removed #WindowsDefender, along other #bloatware.

To date, I've only had ONE virus: An impressive score for 30 years. No suscriptions, no paids, no updates, *no headaches*...and of course, no slow-motion in computer.

Just, #CommonSense.

https://www.makeuseof.com/deleted-antivirus-my-pc-is-now-safer/

This makes perfect sense, right?

Excluding a process from windows defender will be detected.

Excluding a process and a path from windows defender won't.

(this is windows 10 on it's last security update)

#windows #windows10 #windowsdefender

Your device is no longer receiving security updates but Still gets a security update for Windows Defender.

#Windowsdefender #windows10

Augen auf beim Download!
In einer neuen Malvertising‑ und SEO‑Poisoning‑Kampagne, die vom Conscia’sForensicInvestigation-Team oder auch Blackpoint‑SOC entdeckt wurde, bewerben Datenhaie eine gefälschte Website, die erscheint, wenn User:innen z. B. in Bing nach „Teams download“ suchen. Die Original-MS-Website wird imitiert und auch die Downloaddatei sieht zunächst "normal" aus. Doch der Installer verbreitet das Oyster‑Backdoor‑Tool auf Windows‑Geräten und verschafft Angreifern Fernzugriff auf infizierte Geräte, sodass diese Befehle ausführen, weitere Payloads bereitstellen und Dateien übertragen können. Die Angreifenden zielen in erster Linie auf Firmennetzwerke.
In diesem Fall wurde durch die Attack Surface Reduction (ASR)‑Regeln von Microsoft Defender der Angriff neutralisiert: Die Malware wurde daran gehindert, Kontakt zu ihrem Command‑and‑Control‑Server herzustellen.
Auch wenn dieser und ähnliche Angriffe abgefangen werden konnten, muss doch mit weiteren Varianten gerechnet werden. Daher gilt:
Download von ausführbaren Dateien nur von der Originalquelle oder sorgfältig geprüften vertrauenswürdigen Hubs (z. B. große Verlage mit digitalen Portalen). Prüfen Sie Links wohin diese führen, bevor Sie klicken.
https://conscia.com/blog/from-seo-poisoning-to-malware-deployment-malvertising-campaign-uncovered/

#infosec #microsoft #teams #malware #WindowsDefender #oyster #BeDiS

#blue_team #WindowsDefender #symlink

- Право `Create symbolic links (SeCreateSymbolicLinkPrivilege)` должно быть только у администраторов. На рабочих станциях выключите `Developer Mode`, чтобы юзеры без прав администратора не могли создавать symlink-и.

- Включите `Tamper Protection` в `Microsoft Defender` и `WDAC/AppLocker`, разрешайте запуск только из подписанных, ожидаемых путей, а не из «любой» папки.

- Проверьте `ACL` каталога платформы `Defender` — право записи должны иметь только `SYSTEM/TrustedInstaller`.

Самый надежный способ обезвредить этот приём — лишить злоумышленника права создавать ссылки, а также детектировать любые попытки трогать каталоги платформы Defender.

#red_team #WindowsDefender #symlink

- После выполнения команда создает объект в `C:\ProgramData\Microsoft\Windows Defender\Platform\` с именем `5.18.25070.5-0`. Но этот «каталог» на самом деле является указателем, при обращении к которому система перенаправляет все операции в `C:\TMP\AV`.

- Defender при старте выбирает «самую свежую» подпапку своей платформы по строке версии. И когда он попытается скачать и распаковать обновления, записать служебные файлы или обратиться к своим конфигурациям, операции будут выполняться не в его оригинальном каталоге, а в подложном.

За счет того, что Defender «верит» системному пути, подмена сохраняется до тех пор, пока ссылка не будет обнаружена.

Подробности (https://www.zerosalarium.com/2025/09/Break-Protective-Shell-Windows-Defender-Folder-Redirect-Technique-Symlink.html).

#red_team #WindowsDefender #symlink

- Создаем директорию, которую полностью контролируем, например: `C:\TMP\AV`. В нее в дальнейшем будет перенаправлен антивирус. Здесь можно размещать любые файлы — фейковые обновления, бинарники, заглушки, DLL-библиотеки и не только.

- Создаем `symlink` с защищенного пути на контролируемую директорию. Для Defender она будет выглядеть как «правильное» расположение.

То есть адрес легитимной рабочей папки оформляется по принципу: ProgramData\Microsoft\Windows Defender\Platform\[Version-Number]. Нужно создать контролируемую директорию с папкой, название которой соответствует последней версии Defender (это важно). Вот пример консольной команды — `mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"`.

Обманываем Windows Defender при помощи symlink

#red_team #WindowsDefender #symlink

Windows разрешает следование по символическим ссылкам, а сам Defender автоматически использует содержимое папки, независимо от того, реальная это папка или ссылка, если название соответствует последней версии программы.

Для работы нам нужен профиль с правами, позволяющими создавать symlink.

Microsoft Windows Defender Firewall Vulnerabilities Allow Privilege Escalation
https://gbhackers.com/microsoft-windows-defender-firewall-vulnerabilities/

#Infosec #Security #Cybersecurity #CeptBiro #Microsoft #WindowsDefender #Firewall #Vulnerabilities #PrivilegeEscalation

My PC's fans are currently really loud as #FanControl has triggered #WindowsDefender. Either fan control has been hacked or Windows Defender is shit and is falsely detecting the software as malware.

Le ransomware Akira utilise des pilotes Windows pour neutraliser Windows Defender
https://www.it-connect.fr/le-ransomware-akira-utilise-des-pilotes-windows-pour-neutraliser-windows-defender/

#Infosec #Security #Cybersecurity #CeptBiro #Ransomware #Akira #PilotesWindows #WindowsDefender

Mashable: Hackers found a way around Microsoft Defender to install ransomware on PCs, report says. “Windows users should think about reinforcing their antivirus software. And while Microsoft Defender should provide a line of defense against ransomware, a new report claims that hackers have found a way to get around the ransomware tool to infect PCs with ransomware.”

https://rbfirehose.com/2025/08/10/mashable-hackers-found-a-way-around-microsoft-defender-to-install-ransomware-on-pcs-report-says/

#windowsDefender

Uninstalling the #MicrosoftStore version of #Python and disabling #WindowsDefender so the #torch dlls properly install so I can run comfyui-zluda, a fork of #comfyui which uses #zluda which is a shim for #CUDA applications to use #AMD #HIP SDK so I can download #stableDiffusion and run it on my #Radeon #GPU because #Amuse won't let me generate porn.

#ai #llm #generativeAI

Monthly reminder that #Windows11 fucking sucks ass.

Trying to troubleshoot why a software didn't start and Windows Defender false-positive a DLL that now can't restore.

Great start for a monday.

#Windows #Microsoft #Troubleshooting #WindowsDefender #Malware #AntiMalware #AntiVirus #AV

#WindowsDefender team: Please test and ensure that new Ollama installers run as expected on Windows, even with ASR rules enabled.

#Ollama team: please test and ensure your installers work on Windows with Windows Defender ASR rules enabled.

K? Thanks!

@mrgrumpymonkey depends...

• We've already seen shit that cracked #Windowy8Bing, #Windows10S and #Windows11Home wide open with #Adware that also disables #WindowsDefender.

Next logical step is some #PowerShell script that downloads a #Linux distro image, repartition the system drive, add some unallocated space at the end, put a #CloudInit config in it and then do an #UnattendedInstall of said system with bcd by calling up #bcdedit to #chainload said partition.

• I jist have neither the time nor spoons to do that shit myself, but in theory a #NetInstaller image of ~ 100MB should suffice...

@GossiTheDog @signalapp it merely prevents #Screenshots by claiming it's #DRM'd content.

• It's a mere ask and #Microsoft could specifically close that #API and make it subject to contractual agreements (as they did with their #Antivirus API calls to disable #WindowsDefender!) if they decide this is against their wishes.

• It also doesn't prevent the #Keylogger nor works against the known #CryptoAPI #backdoor affecting all #Browsers (except #Firefox and @torproject / #TorBrowser) which can be triggered by a single #HTTPS request.

The correct solution for #Signal would be to alert all their users and specifically block #Windows in general or at least #Windows11 simply because it is a #Govware and empirically cannot be made private or secure.

But that would require them to actually give a shit, which thed don't, cuz otherwise they would've stopped demanding #PII like a #PhoneNumber and moved out of juristiction of #CloudAct.

• I mean, what's gonna prevent the #Trump-Regime from threatening @Mer__edith et. al. with lifetime in jail for not kicking the #ICC (or anyone else he and his fans dislike) from #Signal's infrastructure?

Since they are highly centralized.they certainly are capable to comply with "#Sanctions" (or whatever bs he'll claim!)...

Ein Sicherheitsforscher enthüllt mit "Defendnot" eine kritische Schwachstelle im Windows Security Center. Das Tool täuscht ein falsches Antivirenprogramm vor und deaktiviert so den #WindowsDefender. https://winfuture.de/news,151018.html?utm_source=Mastodon&utm_medium=ManualStatus&utm_campaign=SocialMedia