ComputerBase Menü
Aktuelles

Defender Ereignis ID 5007 nach Neustart

W

Winlos

Cadet 4th Year
Registriert
Jan. 2022
Beiträge
65
Hallo,
ich bin etwas verunsichert. Ich bin bei der Ereignisanzeige auf das Ereignis ID5007 gestossen, was jedes Mal nach dem Neustart kommt.
"Microsoft Defender Antivirus-Konfiguration wurde geändert. Wenn es sich um ein unerwartetes Ereignis handelt, sollten Sie die Einstellungen überprüfen, da dieses Problem möglicherweise auf Schadsoftware zurückzuführen ist."

Historie:
Fritz Box, Home PC, Kind PC, Firmen PC.
Home PC Defender findet Virus, Festplatte C und Daten formatiert, System Win 11 neu aufgesetzt mit USB Installationsstick.
Sehr alte Datensicherung raufgespielt um sicherzugehen, nichts von Daten wieder auf den PC zu packen, was infiziert ist.
Defender gibt an: Keine AKTUELLEN Bedrohung, gibt aber 2 Bedrohungen an, nichts im Schutzverlauf
Ereignisanzeige angesehen Einmal noch eine alte Chipdownload Datei mit PUA und einmal Abbruch des Scanvorgangs mit Beschreibung kryptische Zeichen. Auf Daten Platte Chip Datei gelöscht sowie alle anderen Exe Dateien

Alle Updates gefahren. Nach einem Neustart war die Grafik Einstellung anders. Ein Programm war nun plötzlich nur auf dem anderen Bildschirm/TV zu sehen und nicht mehr auf dem PC Bildschirm
Nach Neustart App Broswer control auf Gelb, Core Isloation auf gelb. Wieder auf grün einstellen ging nicht.
Fehler identifiziert: SmartSwitch Samsung Treiber. Diese Deinstalliert.
Konnte nun wieder alles einstellen, dass Windows Security grün
Neustart, Scan mit Defender und Offline Scan, nichts gefunden.

Allerdings taucht bei jedem Neustart im Defender Ereignis die o.g. Meldung 5007 auf.
Ich lese sehr unterschiedliches, wo einige meinen das ist normal, während andere warnen.
Bei Untersuchung und Update soll es normal sein. Aber einfach nur nach dem Neustart?
Ich habe kein alternatives Virenprogramm installiert.

Wie hoch ist die Wahrscheinlichkeit dass ich noch das Virus in meinem Netzwerk durch die anderen Rechner wieder bekomme, da diese auch an der FB hängen. Wie gesagt, nichts großartiges nach Neuinstallation im Internet gemacht.

Sorry für meine begrenztes Wissen und meine vielleicht übergroßen Sorgen.

Danke vorab schon einmal für die Hilfe

Gruß
 
Winlos schrieb:
Home PC Defender findet Virus
Zum Vergrößern anklicken....
Was wurde denn genau gefunden?

Winlos schrieb:
Allerdings taucht bei jedem Neustart im Defender Ereignis die o.g. Meldung 5007 auf.
Zum Vergrößern anklicken....
Dort sollte auch dabei stehen, was an der Konfiguration geändert wurde...
 
Mit welchem Tool oder wie und wo und was genau hast du an Microsoft Defender geändert? Besteht doch keine Notwendigkeit. Das Ding "Ready to Play" :king:
 
Danke erst einmal für die Antworten:
@PC295 Trojan Win32/Ymacco.AAEF und SoftwareBundler:Win32/Stallmonitz
Konnte da keine Info über die Änderung finden. Muss ich nachher nochmal sehen, wenn ich wieder zuhause bin.

@1Illuminate23 An Defender selbst habe ich nichts geändert. Lediglich die angegebenen gelben Warnungen, wo was deaktiviert war wieder aktiviert. App Broswer control, Core Isloation
Ergänzung ()

@PCC295
Ich glaube sowas
HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning wurde von 0x0 (aus) auf 0x1 (ein) geändert.
 
Es gibt immer ein bis 3 mögliche Möglichkeiten:

No1: saubere Backups einspielen, die müssen aber wirklich Malware frei sein. Nicht umsonst hebe ich meine Backups 28/30/31 Tage auf.

No2: Besorg dir c't Desinfect und scanne alle Rechner

No3: Mach die Kiste platt
 
Winlos schrieb:
HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning wurde von 0x0 (aus) auf 0x1 (ein) geändert.
Zum Vergrößern anklicken....
Die Meldung ist normal. Das ist keine Manipulation durch Schadsoftware.
Beim Start wird geprüft, ob der Defender-Dienst korrekt läuft. Ansonsten erhältst du eine Warnung im Sicherheitscenter.
Neuaufsetzen brauchst du nicht.

Winlos schrieb:
Trojan Win32/Ymacco.AAEF und SoftwareBundler:Win32/Stallmonitz
Zum Vergrößern anklicken....
Sowas muss vorher genau geprüft werden. Sicherlich handelt es hier nur um Adware in Installationsdateien oder unerwünschte Webinstaller wie den von chip.de
Wegen sowas muss man nicht neuinstallieren.
 
@1Illuminate23.

No1, das ist halt die Frage. Das Update ist von vor 2 Jahren, sollte also sauber sein. Hatte bisher damit auch nie Virenmeldungen. Habe jetzt die Befürchtung, Rechner infiziert nun durch anstöpseln des Backups, nun auch Backupplatte versucht.

No2. Das muss ich ja von einem neutralen Rechner machen.

No3. Dann muss ich das wohl nochmal machen....
Ergänzung ()

@PC295 Deine Nachricht ist jetzt wieder beruhigender, aber du siehst, auch hier gehen die Meinungen über die Gefahr und Notwendigkeit des Neuaufsetzens auseinander.
 
Es keine plausible Begründung für die Empfehlung des Neuaufsetzens. Sowas ist als Unsinn abzustempeln.
Sowas kann nicht ernst gemeint sein, zumal man abwertend den PC als "Kiste" bezeichnet.
 
@1Illuminate23
Frage stellt sich für die Neuaufsetzung ja auch, ist der Stick, mit Win 11, den ich für die Neusintallation vor dem Neustart reingesteckt habe nun auch versucht.....
Was wenn Fritzbox befallen und PC, was wie zuerst korrigieren
was wenn nun auch FirmenPC befallen . FirmenPC kann ich ja nur mit deren Software scannen.
Falls er was unentecktes hat, würde ich ja sobald ich meinen vermeintlich sauberen Pc wieder ins Netzwerk packe eventuell dieser gleich wieder infiziert?
Sorry für meine vielleicht komischen und überflüssigen Gedanken. Habe damit keine Erfahrungen und man liest ja dann auch von Warnungen, wenn dein Rechner, dann auch alle anderen im Netzwerk
 
Wenn du dein PC überprüfen willst, kannst du auch Malwarebytes oder Emsisoft Emergency Kit nehmen.
Wenn du einen Windows-Installationsstick erstellst, wird dieser vorher formatiert und alle Dateien darauf gelöscht.
Malware in der Fritz.box unterzubringen ist extrem schwierig, wenn nicht gar unmöglich. Hierfür sind die Systeme zu unterschiedlich.
 
@PC295 Ich werde nachher mal Malwarebytes rüberlaufen lassen
Finde es schwierig, wie eine solche Defender Ereignismeldung lediglich als Info läuft ohne Warnung, aber dann der Begründungsstext wiederum beunruhigend ist, da ich wie gesagt, an Defender nichts geänder habe und trotzdem die Id nach jedem Neustart wieder erzeugt wird
 
Ich verwende z.B. keinen Defender, trotzdem werden solche 5007-Ereignisse gelistet.
Der Defender kann ja trotz anderen Anbieter zum regelmäßigen Scannen verwendet werden. Er startet also mit, aktualisiert Signaturen usw.
Da wird initialisiert, geprüft, aktualisiert usw. und überall steht dieser "vielleicht Schadsoftware"-Satz.

Diese Ereignisse sind übrigens als "Information" kategorisiert, also keine Warnungen oder Fehler.

1751458491558.png
 
@PC295 ah ok, gut zu sehen, allerdings würde ich das in deinem Fall auch erwarten, wenn du eine andere Antivirensoftware benutzt, würde die ja bei jedem Start sagen, nicht Defender benutzen sondern Virenprogramm XY, oder liege ich da falsch?
 
Der Echtzeitschutz vom Defender wird automatisch deaktiviert, wenn ein anderes AV verwendet wird.
Im Sicherheitscenter von Windows wird das AV integriert und zeigt den Status und auch Fehler an.

Da kommt sich also nichts in die Quere. Der Defender ist dann quasi nur noch ein zusätzlicher Scanner mit den du regelmäßig die Laufwerkwerke auf schädliche Dateien überprüfen kannst.
 
Winlos schrieb:
"Microsoft Defender Antivirus-Konfiguration wurde geändert. Wenn es sich um ein unerwartetes Ereignis handelt, sollten Sie die Einstellungen überprüfen, da dieses Problem möglicherweise auf Schadsoftware zurückzuführen ist."
Zum Vergrößern anklicken....
Das ist eine Standardmeldung, die z.B. auch geloggt wird, wenn der Echtzeitschutz aktiv gesetzt (was nach einem Neustart logisch ist) oder auch wenn Signaturen geladen und installiert wurden.
 
Zuletzt bearbeitet:
@areiland, danke für deine Nachricht.
Also ist es normal, diese Meldung/dieses Ereignis täglich beim Neustart dort zu sehen?!
 
Ja, das ist normal. Denn der Echtzeitschutz wird ja beim herunterfahren von Windows beendet und beim Start von Windows wieder aktiviert. Genau das ist dann auch die geloggte Konfigurationsänderung.
 
Boah, können die von MS das dann nicht anders betiteln in der Erklärung...
Verwirrt ja nicht nur mich....
 
  • Gefällt mir
Reaktionen: BeBur
Nochmal, das ist eine statische Standardmeldung, die einen beispielhaften Grund für diesen Ereigniscode nennt. Und wenn dieser Ereigniscode direkt nach einem Neustart geloggt wird, ist es doch völlig naheliegend, dass die Aktivierung des Echtzeitschutzes nach dem Windows Start der Auslöser ist.

Wenn man die Ereignisanzeige durchforstet, sollte man schon in der Lage sein solche Meldungen richtig einzuordnen und zu interpretieren. Zumal der Rest der Meldung ziemlich eindeutige Hinweise auf die genaue Änderung gibt.
 
Wie gesagt bin kein Profi
Aber der Satz
Microsoft Defender Antivirus-Konfiguration wurde geändert. Wenn es sich um ein unerwartetes Ereignis handelt, sollten Sie die Einstellungen überprüfen, da dieses Problem möglicherweise auf Schadsoftware zurückzuführen ist.
Woher soll der Laie wissen, dass es ein normales Ereignis ist, wo etwas geändert wird. Der zweite Teil des Satzes vermittelt ja (bei mir) den Eindruck, ohne Update, ohne Scan oder manuelle Änderung sollte sich an der Konfiguration nichts ändern. Dann noch der Hinweis auf die Schadsoftware....
 
  • Gefällt mir
Reaktionen: BeBur
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Computer startet neu wenn idle und bei “Energie Sparen” (Ereignis-ID 41) - schon vieles probiert, harte Nuss
2
Antworten
23
Aufrufe
1.235
Dark9
D
A
PC FREEZE: EREIGNIS ID 56
Antworten
19
Aufrufe
1.200
LiniXXus
LiniXXus
C
BSOD - Ereignis ID 41 / 1000 / 1002 /
Antworten
19
Aufrufe
860
chrisBaerchi
C
SPB
  • Artikel Artikel
Info: TPM-WMI Ereignis-ID 1796
Antworten
4
Aufrufe
11.578
AatMaN
AatMaN
R
Pc Stürzt immer aufeinmal beim zocken ab. Kernel Power 41 und Ereignis Id 6008
2
Antworten
28
Aufrufe
4.136
ruffyacs
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz