ComputerBase Menü
Aktuelles

Fehlerhafte Meldung im Windows Defender löschen

S

SaCre

Ensign
Registriert
Juni 2020
Beiträge
187
Hallo zusammen,

wie kann man im Windows Defender die Historie unter Schutzverlauf löschen?
Betriebssystem Windows 11 Pro aktuelle Version und Patchstand. Auch der Windows Defender ist aktuell.

Hintergrund:

Es wurde eine E-Mail mit schadhaftem Anhang im Thunderbird heruntergeladen und frühzeitig erkannt. Entsprechend wurde diese auch gelöscht, bevor sie Schaden anrichten konnte. (Anhang wurde auch nicht geöffnet)

Der Defender meldet diese aber nahezu täglich erneut, mit Angabe des ursprünglichen Datums, wo diese erkannt wurde.

Was wurde schon getan:
  • E-Mail wurde zeitnah entfernt und auch die von Thunderbird erstellen beiden Dateien (Datei ohne Endung und .msf), welche Teile der E-Mail enthalten haben, wurden gelöscht und neu erstellt, nachdem sichergestellt wurde, dass diese E-Mail auch nicht mehr auf dem IMAP Postfach existent ist.
  • Diverse Anleitung aus der Google Suche wurden versucht, um die Historie Dateien zu löschen, hier laufe ich aber immer wieder gegen die Wand, da Microsoft diese nicht löschen möchte.
    Pfad: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
    • Löschversuch über den Windows Explorer, cmd, Powershell, jeweils mit administrativen Rechten. Per Skript als Aufgabe mit SYSTEM Rechten.
    • Setzen von „Set-MpPreference -ScanPurgeItemsAfterDelay 1“
    • Dieses wurde getestet mit aktiven Windows Defender und auch mit abgeschalteten Windows Defender über die entsprechenden Schaltflächen über Einstellungen
  • Eine manuelle Schädlingssuche per Defender „Schnellprüfung, Vollständige Überprüfung und auch Offlineüberprüfung behaupten alle, dass keine Schädlinge gefunden wurden.
  • Auch ein ct Bootstick und temporär installierte Virenscanner von anderen Anbietern wie F-Secure und Macrium zeigten keine Funde.
  • Da ich mir sicher bin, dass hier nichts mehr ist, wurde im Schutzverlauf „Auf Gerät zulassen“ bestätigt, hier wird der Fund übrigens immer in einem Verzeichnis angezeigt, welches mittlerweile gar nicht mehr existiert.
    Danach ist der Windows Defender wieder grün und am nächsten oder übernächsten Tag, poppt dieselbe Meldung wieder auf.
Das ganze kann nur etwas mit dem Schutzverlauf zu tun haben, dass dieser immer noch nicht ganz verstanden hat, dass das Problem nicht mehr existiert, da ja auch weiterhin ein Verzeichnis angemeckert wird, welches wie gesagt, gar nicht mehr existiert mit einem Datum, was mittlerweile fast 2 Wochen alt ist.

Achja, die Löschen und Quarantäne Funktion über den Windows Defender hatte ich vor all dem natürlich auch schon versucht 😊, aber gerade gehen mir die guten Ideen aus.

Testweise habe ich Thunderbird auf einem anderen System installiert und dasselbe IMAP Postfach eingerichtet und dort meldet sich der Windows Defender auch nicht. Eine Neuinstallation sehe ich hier als keine Option an, da dies, in meinen Augen, nur eine historische Meldung und kein Befall ist.



Vielleicht hat ja noch jemand eine Idee…
 
Wenn imap Konto, dann die email direkt beim Anbieter löschen, sonst wird diese immer wieder gesynced
 
tRITON schrieb:
Wenn imap Konto, dann die email direkt beim Anbieter löschen, sonst wird diese immer wieder gesynced
Zum Vergrößern anklicken....
Hatte ich schon erledigt ;-)

Avast ist ja ein gruseliges Tools geworden, hat Sicherheitsprobleme mit meiner Webcam gefunden und wollte mir auch direkt ein passendes Stück Software dafür anbieten, naja, irgendwie habe ich gar keine Webcam ...
Der Schutzverlauf wurde nun bei der Deinstallation nicht bereinigt, aber der Defender ist erstmal wieder grün, dann muss ich wohl abwarten, ob dieser sich in den nächsten Tagen wieder meldet.
 
Ja, spannend ist, dass das schon jemand geschrieben hatte und sein Post und meine Antwort darauf wurden gelöscht. Die Seite war ich schon durchgegangen, aber das passt alles nicht mehr für die aktuelle W11 Version
 
Moin,

versuch mal den Inhalt dieses Ordner zu löschen:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

cbtestarossa schrieb:
Defender ist kaputt bzw war schon immer unbedienbar.
Zum Vergrößern anklicken....

purzelbär schrieb:
Wie kannst du es wagen so etwas zuhaupten? damit verärgerst du ja die ganzen Defender Befürworter hier im Forum. Übrigens ich nutze nicht den Defender.
Zum Vergrößern anklicken....
Ich frage mich wie solche ein Beiträge dem TE jetzt helfen soll?
 
Ich habe mir noch einmal den Punkt „Schutzverlauf mit einem Skript löschen“ von der Deskmodder Seite angesehen, da dort ja auch stand, dass das Beenden des Dienstes seit Feb 2023 blockiert wird, weshalb das Skript dort nicht funktioniert.

Somit bin ich die Punkte gerade nochmal händisch durchgegangen und der Defender blockiert selbst die Beendigung des Dienstes, was dieser auch im Schutzverlauf dokumentiert und was man dort auch mit „Auf Gerät zulassen“ trotzdem ausreichend hinbekommt.

Es sah jetzt nicht so aus, als ob alle Dienste damit sauber beendet werden, aber zumindest wurden Zugriffe auf die Dateien freigegeben. Ausreichend, um diese zu löschen.

Neustarten konnte/brauchte ich den Dienst nicht, da sich dieser wohl im Hintergrund wieder gestartet hatte.

Ich bin wie folgt vorgegangen, möchte aber dabei klarstellen, dass diese Anleitung mit Vorsicht zu genießen ist, da ich aktuell nicht sagen kann, ob dabei komische Dinge passieren 😉
  • per RunX.exe (runas Administrator) eine cmd für TrustedInstaller öffnen
  • cd C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service # in das Zielverzeichnis wechseln
  • sc stop WinDefend # wird vom Defender blockiert, deshalb im Schutzverlauf den Befehl zulassen
  • del *.log # alle log Dateien löschen
  • del /s /q DetectionHistory # alle Dateien unterhalb vom Ordner DetectionHistory gelöscht, auch in allen Unterverzeichnissen
  • mit rmdir alle Unterverzeichnisse von DetectionHistory gelöscht
  • Neustart Windows
Möglicherweise hätte es ausgereicht, das detections.log zu löschen.

Mal sehen, wie sich das System in den nächsten Tagen verhält.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Acer Laptop App blockiert bei Windows 10
Antworten
14
Aufrufe
920
MORPEUS
MORPEUS
B
  • Frage
Windows Defender - komisches Verhalten
Antworten
11
Aufrufe
1.046
balombi
B
S
Windows Defender scannt keine Einzeldateien
2
Antworten
28
Aufrufe
1.319
tollertyp
T
B
Norton plötzlich weg nach Windows Update / Download stalker gamma
2 3
Antworten
57
Aufrufe
2.436
brianmolko
B
S
Merkwürdiges Verhalten vom Windows Defender
Antworten
10
Aufrufe
1.938
sirmaniac
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz