Microsoft Defender - aktuelle Bedrohung/Verlauf löschen nicht möglich!?

[6kbyte]

Moin,

ich hab da mal nen kleines Problem, vielleicht könnt ihr mir helfen:

Installiert ist Windows 11 mit aktuellem Patch-Stand - genutzt wird der Microsoft Defender. Über die Feiertage habe ich aus nostalgischen Gründen mal in einer alten Backup-CD gewühlt und Fotos geschaut. Da auf diesem Backup auch ne ganze Menge anderer Mist war, ging natürlich direkt der Defender mit einer erkannten Bedrohung an - Verursacher war eine Datei (fiktiver Name fürs Forum) die sich "hl_cdkeygen.exe" schimpft und als "HackTool:Win32/Keygen" klassifiziert wurde. Ausgeführt habe ich die Datei natürlich nicht, der Datenträger auch aus anderen Gründen danach zerstört.

Mein Problem ist jetzt aber, das ich die Meldung nicht wegbekomme und mein MS Security-Center immer meldet das Maßnahmen erfolderlich wären (rot/weißes "x"). Alle Aktionen bis auf "auf Gerät zulassen", was ich allerdings nicht möchte bzw. nicht als Option ansehe, gereifen nicht. Quarantäne geht nicht und entfernen ebenfalls nicht, ich vermute weil der Datenträger nicht mehr existiert und er keinen Zugriff mehr auf die File hat.

Habe im Netz geschaut wie ich den Verlauf löschen kann, aber das funktioniert alles auch nicht. Wie bekomme ich diese dämlicher Meldung wieder weg?

Gruß und danke,

6kbyte

 

[jodd2021]

Genau das selbe Problem hatte ich über Weihnachten auch, altes Programm ausgeführt und danach gibt es keine Möglichkeit die Meldung loszuwerden. Als Notlösung habe ich Avast Free Antivirus installiert, einen Scan ausgeführt, der natürlich nix gefunden hat. Danach mit den Avast Uninstall Tool das ganze wieder entfernt und der Defender funktionierte wieder normal.

 

[Sesimbra]

Hallo 6kbyte,

genau dasselbe Problem habe ich auch mit einer externen (USB) Festplatte. Bei mir sind es fast vierhundert Meldungen. Der Defender lässt einfach nicht locker. Ich wäre für eine brauchbare Lösung ebenfalls dankbar. Übrigens auch die Zuweisung "Auf Gerät zulassen" bringt keine Abhilfe, man hat dann einen Tag ruhe und am nächsten Tag beschwert sich der Defender erneut. Das ist also auch keine gangbare Lösung. Wie bekommt man den Schutzverlauf leer, weiß das Jemand?

Gruß und Dank, Sesimbra

 

[BlubbsDE]

https://4ddig.tenorshare.com/de/windows-fix/windows-defender-schutzverlauf-loeschen.html#lösung1

 

[jodd2021]

Lösung 1 aus den Link ist schon nicht brauchbar, der Zugriff auf den bewussten Ordner ist nicht ohne weiteres möglich und funktioniert nicht so wie da beschrieben. Ob man an der Stellen wirklich mit den Rechten "spielen" sollte ist fraglich.

 

[MoonTower]

Bei mir hatte nur das Starten im abgesicherten Modus geholfen ... dann per CMD in den betreffenden Ordner und dort alles löschen.
C:\ProgramDada\Microsoft\Windows Defender\Scans\History\Service
Und alle dortigen Unterordner.

 

[PC295]

Alle Aktionen bis auf "auf Gerät zulassen", was ich allerdings nicht möchte bzw. nicht als Option ansehe, gereifen nicht. Quarantäne geht nicht und entfernen ebenfalls nicht, ich vermute weil der Datenträger nicht mehr existiert und er keinen Zugriff mehr auf die File hat.

Hier zeigt sich wieder die Qualität des Defenders...

Es ist standardmäßig jetzt so, dass der Bedrohungsverlauf nicht mehr manuell gelöscht werden kann.
Das passiert automatisch nach 30 Tagen.

Eventuell solltest du über ein ordentliches AV nachdenken, mit echter Quarantäneverwaltung und funktionierenden Funktionen die dich über Meldungen und Funden entscheiden lassen können.

Es kann ja nicht die Lösung sein, gerade bei Falschmeldungen und Fehlalarmen, das halbe System verbiegen zu müssen.

 

[Terrier]

Na ja, das Problem kann ja nicht irgendein protokollierter Vorgang im Verlauf sein.

Mein Problem ist jetzt aber, das ich die Meldung nicht wegbekomme und mein MS Security-Center immer meldet das Maßnahmen erfolderlich wären (rot/weißes "x").

Denn es stört doch wohl, dass da immer irgendwo sichtbar eine Meldung kommt, die nervt.
Egal ob das nun funktioniert, mit dem Schutzverlauf oder nicht.
https://www.deskmodder.de/wiki/inde...efender_Windows_Sicherheit_löschen_Windows_10
Man müsste doch löschen nach einem Tag einstellen können, wie da in der Anleitung beschrieben.
In der Beschreibung steht da ja überhaupt nichts von: Defender (falsch oder fehl) Meldung entfernen.
Das muss ja nun eine andere Ursache haben.

 

[Sepp Depp]

Es gibt zwei Bereiche die man sich anschauen sollte, wenn unbedingt Bedarf besteht denSchutzverlauf zu löschen.
DetectionHistory: Löscht den Verlauf erkannter Malware.
mpenginedb.db : Weitere Meldungen (Risikoaktion blockiert, kontrollierter Ordnerzugriff).
Microsoft hat den Ordner für den Schutzverlauf mittlerweile (2023) komplett geschützt.
Geht nur im abgesicherten Modus, wie CMD.

del "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*"
del "C:\ProgramData\Microsoft\Windows Defender\Scans\mpenginedb.db"

 

[Terrier]

Ja, wenn Bedarf besteht!
Bedarf, den Schutzverlauf zu löschen haben ja nur User, die eh nichts anderes zu tun haben, als andauernd irgendwas zu löschen.
9000 Einträge in der Ereignisanzeige kann man auch löschen und da gibt es auch Anleitungen im Web, weil es über alles Anleitungen gibt und diese Schreiber wohl auch zu viel Zeit haben.
Ich bekomme ja auch nicht andauernd eine Meldung vom Security-Center
Wie kommt man darauf, dass so eine Meldung etwas mit den Protokollen im Schutzverlauf zu tun hat?
Bei Deskmodder steht da doch nichts, oder?

 

[oicfar]

Es ist standardmäßig jetzt so, dass der Bedrohungsverlauf nicht mehr manuell gelöscht werden kann.
Das passiert automatisch nach 30 Tagen.

Kann ich nicht bestätigen. Sind mehr als 30 Tage vorbei.

 

[whats4]

es verschwindet nach einiger zeit "von selber".

DefenderUI (besseres gui für den defender) hat eine funktion, die das "instant" auslöst:
heisst "Schutzverlauf löschen und reparieren", auf der startseite.
ist mit einem neustart verbunden.

ist aber wahrscheinlich nur etwas, was sich auch mit einer kommandozeile auslösen ließe. nun, ich bin der sache ned weiter auf den grund gegangen.
defenderui is ja nur ein gui.

 

[PC295]

Kann ich nicht bestätigen. Sind mehr als 30 Tage vorbei.

Du kannst im PowerShell folgenden Befehl eingeben, um zu prüfen, nach wie vielen Tagen der Verlauf gelöscht werden soll:

(Get-MpPreference).ScanPurgeItemsAfterDelay

Ich habe gerade mal in Win 10 22H2 geschaut, dort sind 15 Tage eingetragen...

 

[oicfar]

@PC295 habe schon im November auf 14 Tage eingestellt. Einige Einträge sind dann verschwunden. Die von oben jedoch nicht.

 

[whats4]

dann nimm den defenerui, und los es per hand aus.
erstens ist es nur ein gui, und zweitens kannst es ja aus dem autostart nehmen.
nun, wennst es brauchen kannst, ist es ja trotzdem da.