Microsoft Defender corriendo de fondo?

[tcwe]

Buenas tardes

Compré una laptop nueva y ya le desinstalé al antivirus que traía de fábrica y le instalé Kaspersky Premium (tengo la versión de prueba en estos momentos pero se va a ctivar la pagada en menos de un mes). K Premium ya está conectada a mi cuenta de Kaspersky.

Mi duda es que, en el Task Manager, veo que está corriendo Microsoft Defender Antivirus. ¿Esto no crea conflicto?

Es mi primera vez con Windows 11; con el Windows 10, el Microsoft Defender se desactivaba solo al instalar uno su propio antivirus.

 

Kaspersky Premium v 21.15.8.493

Windows 11 Home x64

 

Gracias de antemano, y saludos.

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

¿Qué versión exacta de W11 tienes instalado? ¿está completamente actualizado mediante Windows Update?

 

Yo tengo Windows 11 Pro 22H2 + Kaspersky Premium 21.15 y no tengo activo ese servicio de Microsoft Defender, en teoría durante la instalación de Kaspersky debería haber sido deshabilitado temporalmente hasta que K. sea deshabilitado.

 

Saludos.

[tcwe]

Gracias por su respuesta!

Mi Windows es 11 Home 22H2 x 64

Supuestamente sí está todo actualizado. Windows Update dice que no hay más actualizaciones disponibles (exceptuando la Feature Update opcional a 23H2; que esas las hago hasta que no tengo más remedio, para que corrijan todos los bugs primero)... Pero de las normales no; le pongo Check for Updates y me dice que no hay más actualizaciones disponibles. A no ser que me las esté escaloneando (he tenido la laptop por menos de una semana).

¿Qué hago?

Edit: Al encender el sistema por primera vez, en la configuración de Windows, lo hice con una cuenta local via bypassnro. No sé si tendrá algo que ver.

Edited November 11, 2023 by tcwe

[tcwe]

No sé si sirva de algo para delucidar qué pasa, pero encontré esta aplicación mentirosa de Windows donde dice que está apagado el Defender:

Pero, pues, no, no lo está😂porque ahí continuúa en el Task Manager

No sé por qué en esta, bajo "Web Protection" dice que no tengo. La extensión de Kasp. para Firefox sí se me instaló.

[tcwe]

He estado investigando en internet y (no he encontrado nada que sea una respuesta, pero) he encontrado algunas cosas interesantes:

1. Este KB article de Kaspersky que me dice como desactivar el scheduled scan de Windows Defender, pero el mio ya está desactivado, según el Windows Security. https://support.kaspersky.com/common/windows/13341#block2

Es más, si sigo los pasos del artículo, al hacerle click a la carpeta de Windows Defender, bajo la de Windows... donde, en el gráfico del artículo dice "Windows Defender Scheduled Scan, Windows Defender Cleanup, etc" el mio está completamente en blanco; no sale absolutamente nada.

Algo interesante es que en la siguiente sección, "How to remove Windows Defender" ... de "remove" sólo habla con respecto a Windows 10. Para Windows 11, habla sólo sobre desactivar el modo de tiempo real, y me envía a...

 

2. Esta página de Microsoft: https://support.microsoft.com/en-us/windows/turn-off-defender-antivirus-protection-in-windows-security-99e6004f-c54c-8509-773c-a4d776b77960

Aquí dice que me vaya a Windows Security, de donde puse las capturas de pantalla, pero en el segundo paso, dice que me vaya a Manage Settings. Como se puede ver en mis capturas de pantalla, yo no tengo "Manage Settings" sólo tengo "Manage Providers;" entonces, no puedo pasar al paso 3 de esa página y desactivar la protección en tiempo real.

 

3. Pero resulta, que, en el foro de Norton, está este hilo: https://community.norton.com/en/forums/leave-windows-defender-running

La segunda respuesta (del moderador? el que dice "Guru") dice que, en la pantalla esa de Windows Security que adjunté anteriormente, "Enable periodic scanning. On the next page that appears check for REAL TIME mode being enabled. If enabled disable it and reboot."
Esto NO lo he intentado. Díganme, por favor, si es conveniente rehabilitar esa opción, aunque sea temporalmente, o no (si se van a pelear los antiviruses)
Tampoco regresó el usuario a reportar cómo le fue, así es que no sabemos si esto tuvo algún efecto.

 

Hasta ahí encontré sobre esa idea. Pero encontré otras cosas:

4. Aquí hay alguien en Reddit diciendo que se deje en paz, pero no sé si eso será de confiar. https://www.reddit.com/r/Windows11/comments/13sql54/windows_defender_service_still_active_even_after/?rdt=63097

5. En los foros de casi todos los otros antiviruses hay gente con el mismo problema, pero con pocas respuestas. En este hilo en el foro de ESET dicen que solamente Kaspersky logra desactivar Windows Defender https://forum.eset.com/topic/34550-windows-defender-still-running-after-install-of-eset-internet-security/

6. Y esto que tal vez sirva pero, honestamente, yo no lo entiendo: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-compatibility?view=o365-worldwide

Quedo pendiente de sus consejos.
Y nuevamente, muchas gracias por su tiempo.

Edited November 12, 2023 by tcwe

[harlan4096]

Esas opciones si las tienes igual que mi W11:

 

 

 

El icono del escudo en la task bar de Windows, no es realmente del Microsoft Defender sino del Centro de Seguridad de Windows en general.

[tcwe]

Gracias, Harlan!

Sí, el ícono del taskbar es de Windows Security, no Defender, pero aún después de reiniciar el sistema, Windows *Defender* sí me sigue apareciendo en el Task Manager, y utilizando la misma cantidad de memoria que Kaspersky(!).

Creo que nos cruzamos al responder, pero agregué un mensaje con cosas que encontré al estar investigando en internet. No sé si sirvan. Quedo pendiente.

Gracias nuevamente!

[harlan4096]

Yo tengo una utilidad llamada Defender Control 2.1 para desactivar Microsoft Defender, el problema es que es algo radical y desactiva también completamente el Centro de Seguridad de Windows. Es detectada por los antivirus como RiskWare o HackTool.

 

Saludos.

[harlan4096]

Prueba lo siguiente:

 

1.- Desde el Administrador de Tareas de Windows -> pestaña Aplicaciones de Arranque, mira a ver si hay alguna entrada relacionada con el Microsoft Defender, que no sea la del Centro de Seguridad (SecurityHealthSysTray).

 

2.- Con la utilidad del sistema Services.msc (Servicios), busca a ver si hay algún servicio del Microsoft Defender activado y con su Inicio en Automático.

 

Saludos.

[harlan4096]

Otra cosa que puedes probar: pausa la protección de tu Kaspersky, y en el Centro de Seguridad de Windows va a

 

 

Luego a Configuración de Antivirus y protección contra amenazas -> Administrar la configuración:

 

 

Y ahí, desactivarlo TODO, luego reactiva la protección de Kaspersky, aunque mucho me temo que alguna de esas opciones se vuelvan a reactivar automáticamente en el siguiente inicio del sistema.

 

Saludos.

[harlan4096]

Así es como tengo yo mi en W11 ese servicio:

 

 

Estado de Servicio: Detenido y el Tipo de Inicio: Manual.

[tcwe]

Gracias, Harlan!

1 hour ago, harlan4096 said:

1.- Desde el Administrador de Tareas de Windows -> pestaña Aplicaciones de Arranque, mira a ver si hay alguna entrada relacionada con el Microsoft Defender, que no sea la del Centro de Seguridad (SecurityHealthSysTray).

No, sólo el Centro de Seguridad. Las otras 2 aplicaciones son del sonido y de HP. Sólo esas 3 están habilitadas de arranque.

1 hour ago, harlan4096 said:

2.- Con la utilidad del sistema Services.msc (Servicios), busca a ver si hay algún servicio del Microsoft Defender activado y con su Inicio en Automático.

Esta aplicación no la conocía; la abrí via escribir "Services" en la barra de búsqueda. Espero sea la correcta.

OK, si le tengo que cambiar algo aquí, por favor indicar paso a paso porque esto está fuera de mi uso normal de la computadora/tecnología y me da miedo arruinar algo. Dicho eso, encontré las siguientes tres entradas:

Me llama la atención que también el Defender Firewall salga activo, si el Windows Security dice que no lo está.

1 hour ago, harlan4096 said:

Y ahí, desactivarlo TODO, luego reactiva la protección de Kaspersky, aunque mucho me temo que alguna de esas opciones se vuelvan a reactivar automáticamente en el siguiente inicio del sistema.

Windows Security -> etc ->

Le desactivé todo, según indicación. Verificando: Está bien haber desactivado también Tamper Protection?

Resultados:
Reinicié proteccion Kasp -> Antimalware Service Executable sigue en el Task Manager -> Reinicié sistema
Después de reiniciar sistema, Antimalware Service Executable continúa en el Task Manager
Pausar proteccion Kasp ->Windows Security -> Virus & Threat ... -> Configure Settings -> Real Time Protection se REACTIVÓ, las otras se mantuvieron desactivadas
Pero ahora el ícono de Windows Security en el Taskbar me sale con un badge amarillo en lugar de verde

 

Re: Tu último mensaje:

Lo de "Servicio de Proteccion contra amenazas avanzada de Windows Defender" no lo pude encontrar. No encontré una entrada para "Windows Defender Advanced Threat Protection" ni "MsSense" ¿Tendrá otro nombre?

 

Gracias nuevamente y quedo pendiente de instrucciones para proseguir.

(¿Y entonces, en efecto no es correcto que estén Antimalware Service Executable y Kaspersky ambos funcionando en el manejador de tareas?)

[harlan4096]

Es que tú estás usando una versión de W11 en inglés, es por eso que el nombre de los servicios cambia, pero la aplicación ejecutable en cuestión asociada a ese servicio debe ser la misma:

 

MsMpEng.exe:

 

 

MsSense.exe:

 

 

NisSrv.exe:

 

 

El Servicio de FireWall de Windows sí debe permanecer activado, incluso habiendo una solución de seguridad de terceros instalada, ya que si lo paramos, hay problemas con las actualizaciones de Windows:

 

 

Fíjate en la aplicación .exe de las 3 anteriores, y compara su estado con el estado de las tuyas, por ejemplo:

 

 

Tienes activado ese, que es justo el que te aparece en procesos, creo, da doble clic sobre él, y en la ventana que aparece:

 

 

Pulsa en Stop / Detener, si no se detiene de primeras, pulsa varias veces. Luego el Tipo de Inicio, cámbialo a Manual, Aplica los cambios y Aceptar.

 

Saludos.

[tcwe]

7 hours ago, harlan4096 said:

Pulsa en Stop / Detener, si no se detiene de primeras, pulsa varias veces. Luego el Tipo de Inicio, cámbialo a Manual, Aplica los cambios y Aceptar.

No me deja seleccionar Stop. Los cuatro botones están en gris.

Lo paro desde el Task Manager?

[harlan4096]

Sí, prueba a matar el proceso, a ver si te deja.

[tcwe]

Acceso Denegado. Lo mismo si:
si le hago click derecho al Antimalware Service Executable -> End Task o
si le hago click derecho al Microsoft Defender Antivirus Service -> Stop

En las Propiedades del Antimalware Service Executable me encontré que no está seleccionada la casilla para correr como administrador. ¿Se la activo?

 

Por otro lado, continúo sin encontrar MsSense.exe
Siguiendo el path de tu captura de pantalla, me fui a Program Files (y a Program Files (x86)) y en ninguno de los dos tengo una carpeta llamada "Windows Defender Advanced Threat Protection." (Tengo "Show hidden files and folders" activado.)

Sólo tengo carpeta de "Windows Defender" en cada una de las dos, pero en ninguna existe un archivo MsSense.exe

Le hice una búsqueda con el File Explorer y lo encontré en una carpeta llamada "WinSxS" (???)

...pero en la aplicación de Servicios no lo encuentro. Supuestamente, el nombre en inglés es "Windows (o "Microsoft") Defender Advanced Threat Protection Service" y eso no lo encuentro en Servicios.

 

Y Windows Update me sigue descargando/instalando/actualizando las definiciones del Defender todos los dias:

 

No sé por qué está así esta situación. 😞

Edited November 12, 2023 by tcwe

[tcwe]

He estado pensando, que esta cosa está tratando TAN duro de que no la desactivemos, que qué tal si tenía razón la persona en [ese hilo de Reddit] al decir que Defender no está escaneando, sino que el proceso está "activo" pero sólo de forma latente, esperando en caso que de repente deje de funcionar el antivirus principal, para inmediatamente él solo entrar en acción y tomar un rol activo como antivirus?

Por ejemplo, dado a que todas esas opciones del Windows Security como Protección en tiempo real, Protección basada en nube, Tamper Protection, etc. sólo son accesibles si uno desactiva Kaspersky/el AV que sea ... ¿Podría ser que no sólo no sean accesibles para el usuario cuando el AV principal está activo, sino que el sistema en sí tampoco pueda accesar/utilizar esas funciones si el AV principal está funcionando?

¿De manera parecida a como, cuando se pone Pausa a la protección de Kaspersky (sin darle Salir a la aplicación), Kasp se mantiene visible en el manejador de tareas?

 

 

Hize un experimento, algo inconcluso, pero comparto los resultados de todas formas. Quería saber como cambia, según el manejador de tareas, la utilización de recursos del Antimalware Service Executable al pausar Kaspersky. Nota: A diferencia de mi captura de pantalla anterior, ahora tanto Kaspersky como Antimalware Service Executable utilizan ~125 MB de memoria cada uno, en lugar de 150-180

Con Kasp activo: Antimalware S.E. utiliza ~125MB de memoria, 0% disco

Al Pausar Kasp: Inmediatamente: Antimalware S.E. brinca a ~550-600 MB de memoria, disco también sube
Con Kasp Pausado, después de ~1min: Antimalware S.E. regresa a ~125MB, 0.6% disco

Al Reanudar Kasp: Inmediatamente: Antimalware S.E. vuelve a brincar a ~550-600 MB de memoria, disco sube
Con Kasp Reanudado, después de unos segundos: Antimalware S.E. regresa a ~125MB, 0% disco

[harlan4096]

Ya me imaginaba que no te iba a dejar, de cualquier forma, es normal, ahora que lo pienso, no encuentres algunos de los servicios que subí, ya que yo tengo W11 Pro, y tu creo recordar W11 Home.

 

Si, lo que explicas en tu útil post es correcto, lo que no acabo de entender es por qué en unos sistemas ese servicio del MD sí está activo, aunque no haga nada, y en otros no.

[tcwe]

¿Habrá diferencia si un sistema es migrado desde Windows 10 o viene con Windows 11 de fábrica? El mio traía el 11 de fábrica.

Otra cosa que no me cuadra(ba) es que todas las computadoras de Windows vienen con un antivirus (que no es de Microsoft) instalado de fábrica. Microsoft, sabiendo esto, ¿sería capaz de programar un conflicto, haciendo que el Defender se pelee con el otro, desde nuevo? Si está "dormido" entonces no hay conflicto.

Aún así, ¿habría que agregarlos mutuamente (Kaspersky y Defender) a sus respectivas exclusiones?
Con la teoría del Defender dormido, le quería volver a activar el Tamper Protection y noté esta opción:

[tcwe]

¿O si le agrego Kaspersky a las exclusiones en Defender sería posible que Defender ya no pueda detectar si Kaspersky está desactivado, para poder entrar en acción? Por lo tanto, mejor se deja sin cambiarle nada?

He corrido scans de prueba con Kaspersky y no he notado nada raro.

[harlan4096]

Comprueba que no queda ningún rastro del antivirus de terceros con el que venía tu W11.

 

En teoría, el Defender está "dormido" cuando K. está corriendo y la protección activada, así que no creo que sean necesarias las exclusiones.

 

Mi sistema también fue instalado hace pocos meses desde 0, no fue una actualización.

 

Saludos.

[tcwe]

OK, entonces lo dejo así como está. sin cambiarle nada.

10 hours ago, harlan4096 said:

Comprueba que no queda ningún rastro del antivirus de terceros con el que venía tu W11.

Supuestamente se desinstaló todo. Seguí las instrucciones, usando primero la utilidad de Settings -> Installed Apps -> desinstalar las 2 aplicaciones de McAfee encontradas ahí, luego correr el MCPR Tool, que dijo "removal complete"

Pero busqué "McAfee" en el C y me salieron estas carpetas... ¿está bien?

 

Muchas gracias nuevamente por tu tiempo y ayuda!

[tcwe]

AAAAAAAAAAAAAA😠

Mira lo que me acaba de aparecer! No le he hecho nada para propiciar esto! (más que intentar abrir Word??)
Instalado HOY (?!?!?)

Le puedo dar Desinstalar?

[tcwe]

1 hour ago, tcwe said:

Le puedo dar Desinstalar?

Lo que quiero decir con esto es... si seguimos con el plan de dejarlo en paz por la teoría de que se mantiene "dormido" o si regresamos a tratar de deshacernos de él, ahora que está instalando más cosas?

Esto está apagado:

y, efectivamente, está desactivado de las aplicaciones de arranque:

Edited November 15, 2023 by tcwe

[harlan4096]

Qué extraño, yo no tengo el MD instalado ni en esa opción de Apps ni tampoco en el Panel de Control 🤔