Wat een bullshit. Anti Virus engines zijn hét point of interest sinds jaren.

Het werd zO erg dat een onafhankelijke researcher alweer jaren geleden aantoonde dat haast alle anti virus engines ernstige tekorten hadden. Vatbaar waren voor allerhande soorten misbruik, de scan engine makkelijk te ontwijken was etc.

Een anti virus installeren is eigenlijk zowat het zelfde als anderen toegang geven tot je machine.

In haast alle gevallen is verstandig computer gebruik voldoende en zal een anti virus een gerichtte aanval niet tegenhouden.

Het is niet gedicht als het niet draait. Microsoft gaat ervan uit dat het aan staat, wat helemaal niet zo hoeft te zijn, en dat er Internet toegang is, wat ook niet het geval hoeft te zijn. Het kan uit staan als je bijvoorbeeld een andere virusscanner gebruikt. Stel dat je die verwijderd, dan staat Defender zonder updates weer aan.

Het is geen goed idee om de update niet via Catalog downloadbaar te maken. Er is ook geen KB nummer.

Het dichten van lekken op je netwerk is een ding, weten of er misbruik van is gemaakt een ander maar je moet ergens beginnen natuurlijk.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986

Hmm, hinderlijk, dat Malware Protection Engine 1.1.14700.5 niet voor alle producten direct beschikbaar is.
Op Windows 7 x64, met uitgeschakelde Windows Defender, vond Defender bij inschakelen en zoeken naar updates wel een definition update, maar die leverde irritant genoeg nog niet Engine version 1.1.14700.5.
Later vandaag maar weer opnieuw proberen.

@Spiff:

Hier hetzelfde... Windows 10 kreeg de engine-update wel binnen, maar Windows 7 nog niet. Op beide systemen staat Defender gewoonlijk uitgeschakeld, net als bij jou. Ik probeer 't morgen wel weer.
Groet, Jolande

Zo "onwaarschijnlijk" dat ze al 4 maanden op dit gat zitten...

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0986

En nu nog geen details delen wat de exploit precies is...

Hoe snel is een Windows machine geinfecteerd indien er geen AV draait?

Onderstaande kan je wel helpen: https://www.microsoft.com/en-us/wdsi/definitions

Ik heb het niet kunnen testen omdat ik al vele jaren geen Windows 7 meer heb draaien, maar wanneer je de definitie van onderstaande URL download, heb je dan gelijk de nieuwere engine?
https://www.microsoft.com/en-us/wdsi/definitions

in theorie is het mogelijk om een windowsbak al te infecteren tijdens de installatie van windows zelf.
helaas vaak genoeg mee gemaakt in het tijdperk van xp...
maar W7 en hoger, zal me niet verwonderen.

Ik weet het niet, maar het zou best kunnen.
Zoeken naar updates in Windows Defender op Windows 7 x64 levert tot dit moment nog geen nieuwer definitie dan 1.263.1966.0.
Maar https://www.microsoft.com/en-us/wdsi/definitions biedt momenteel echter al 1.265.51.0.
Best kans dat die definitie al wel engine 1.1.14700.5 levert.
Ik wacht nog wel even tot zoeken in Defender die nieuwe definitie en engine biedt.

Hangt van de gebruiker af

Juist...Iemand die op de hoogte is.

Ik geef het ook al dik 1,5 jaar aan ,maar werd voor gek verklaard.
Ben 25 jaar geleden intern bij MS in Redmond opgeleid als Developer en daarnaast ben ik ethische hacker en werk samen met UT Twente.

Ik zei toen al, hoe en waar ze gebruik van maken en hoe men kon testen of 'hun; systeem al overgenomen was.

Toen was het onmogelijk zeiden de 'kenners' en nu hoor ik ze niet meer en is mijn 'aluhoedje' theorie werkelijkheid.

MS Defender was eerst een gratis dienst, dus stellde niets voor...nu zijn ze druk in de weer om Defender compleet te maken.

Maar gezien de hackers toen al gebruik maken van 'valse' beveiligingscertificaten, 'nep' updates vooral MS en Java en de grbruikers allerlei 'Freeware' software, zoals AVG, CC Cleaner, Malwarebytes, Teamviewer enz., waar de hackers ook allang gebruik van maakten om toegang te krijgen en daarnaast die 'Freeware' ook nog eens elkaar in de wegzitten en de OS onveilig maakt.

Mijn advies toen en nu...

- Windows Updates automatisch uit...handmatig zoeken...zijn er updates binnen, zijn het meestal optionele...klik op link voor meer info op web, check datum en certificaat.

_ Gooi alle derden software eraf en maak alleen gebruik van MS software/apps.

- Draai je op 64 bit, verwijder 32bit software, meestal staat daar ook geen versie of install. datum achter.

- Gebruik een 'Gebruikers' account en activeer nooit de 'Administrator' account, tenzij je weet wat je doet.

- Gebruik EDGE als browser, gooi Chrome enz Gmail eraf.

- Installeer altijd W10 helemaal opnieuw, dus niet upgraden van 7 of 8.1 naar 10.
Dit is nog maar een heel klein deel van alles ...succes...

Heel snel...ligt aan je versie, welke software je gebruikt en provider je hebt.

ik hoor het wel...

Klopt...het is niet alleen een Windowsbak, maar elke harwardware.

Men gebruikt Kali linux...zie Youtube.

Spiff, hoe schakel je Defender na de patch weer uit zodat de AV-software 'het' weer overneemt? In Defender zelf of in de AV-software?

Goed advies joh, maak je computer helemaal leeg en draai vooral geen software van derden. ROTFL

Ik heb een computer omdat ik applicaties wil draaien, ik heb de software nodig en het OS is alleen maar een vihikel om die SW te kunnen draaien.

'Ze' zitten wel erg diep in je hoofd.

Dat doet hij: mpengine.dll v1.1.4700.5 zit in mpas-fe.exe. Je kunt het exe updatebestand openen met een archiver zoals 7Zip en RAR. Als je het exe bestand draait als administrator wordt geen update uitgevoerd.

stukje uit de log:

Zorg dat je met administrator rechten werkt als je bestanden zoekt of de update uitvoert. Met user rechten werkt het niet.

Met de hand kun je wel als administrator de vdm en dll bestanden vervangen in
\ProgramData\Microsoft\Windows Defender\Definition Updates\{<een GUID>}
Geen idee of dat voldoende is. MPSigStub.exe is waarschijnlijk de updater. De parameters zijn niet zomaar leesbaar in de executable, misschien hebben ze die verborgen.

Misschien heeft Microsoft alleen voorzien in een overleg-methode van updaten (communicatie met een draaiende Windows Defender) en geen methode als Windows Defender helemaal niet draait.

Het bestand mpengine.dll is op Catalog te vinden onder de naam Security Essentials.
http://www.catalog.update.microsoft.com/Search.aspx?q=security%20essentials

Gisteren, 10:16 door Anoniem

Verschil is dat Windows 7 een firewall heeft die standaard aan staat. Dat helpt tegen netwerkwormen. Onbeschermd was er maar een paar seconden nodig om een computer te besmetten en dat gebeurde dan ook. Verder waren er de ActiveX en Javalekken waardoor besmetten ook snel gebeurt is na wat internetten.

Dat is nu erg veranderd. De ActiveX/Java rommel is verdwenen, bijna iedereen heeft een NAT modem of een firewall en als je een beetje regelmatig patcht heb je geen last meer van zulke automatische besmettingen.

Een gigantische installed base zoals dat van Windows Defender is een enorm risico, vooral omdat het temp bestanden scant van de browser of mail programma. Een klein foutje in de bestanddecoders kan zorgen voor een gigantisch openstaand gat. Daardoor kan Defender dienen als middel om code uit te voeren. Je kunt er op rekenen dat het zal gebeuren, zo'n breed toepasbare methode is een goudmijn voor hackende inlichtendiensten.

Beste,

Win7 64 bit aangelogd als als regural user, via controlpanel defender gestart (mijn default antivirus niet gestopt) update gestart,waarna alleen defenitions updated waren, daarna via https://www.microsoft.com/en-us/wdsi/definitions de win7 64bit update gedownload en gerunned (nog steeds als regural user), daarna waren engine en defenitions updated.

Mvg

In Windows 7:
Open Windows Defender, via
Menu Start, zoekvakje, vul in: Defender, en klik vervolgens Windows Defender.
Windows Defender opent.
Windows Defender uitschakelen:
In Windows Defender, klik "Hulpprogramma's", en vervolgens "Opties".
"Opties" opent.
Onderaan de kolom onder Opties, kies "Administratorbevoegdheden".
In het rechter vak, haal nu het vinkje weg voor "Dit programma gebruiken".
Bevestig door middel van "Opslaan", en geef toestemming aan Gebruikersaccountbeheer.
Je krijgt nu een melding "Dit programma is uitgeschakeld".
Klik "Sluiten".

Wat heeft je provider te maken met hoe snel een machine geinfecteerd is?

Maar ik heb een W10 machine, schoon geinstalleerd, geen AV erop, wel achter een firewall met alles dicht behalve related verkeer. Ik gebruik natuurlijk MS office, een hoop van Adobe incl. flash, Putty, VSphere Client en nog wat zaken.
Ik ga via een VPN in Zwitserland het netwerk op.

Ik hoor van je ....

niet snel. Maar hangt zoals altijd van de gebruiker af. Heb zat machines draaien zonder ook maar 1 melding van antivirus. Dus jaren.......

Misschien eens testen? Het zal je namelijk wel eens kunnen verwonderen..... XP had in het begin namelijk de mogelijkheden hiertoe omdat de firewall bagger was. Na de servicepack 2 , als ik het nog goed weer,. Kon dat ook niet meer.
Blijkbaar geen ervaring in moderne OSSen meer opgedaan in de laatste 10 jaar?

popcorn!

Als je het account Administrator gebruikt, probeer deze is eens met uit te schakelen via CMD.

Mocht dit niet lukken, dan heb je een probleem.

Dan hebben 'zij' alle rechten al overgenomen...check de 'locatie' van de Administrator map en kijk waar deze naar verwijst..

Staat daar '%TEMP%...' enz, dan zijn 'ze' al binnen.

De router/modem die je Provider leverd is via diverse kanalen makkelijk binnen te dringen.
'Ze' zetten hun eigen firmware erop en hebben toegang tot alles wat erachter hangt.
Ook al 'reset' je de firmware, 'hun' firmware is niet te verwijderen.