windows defender offline findet malware die nicht entfernt wird

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen

BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet

Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: windows defender offline findet malware die nicht entfernt wird

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 06.05.2021, 16:04

Hallo Javora,
gut da bin ich erleichtert. Danke!

Re: windows defender offline findet malware die nicht entfernt wird

von Javora » 06.05.2021, 15:00

Soweit ich das jetzt überschaue, entspricht das diesem Szenario:
viewtopic.php?t=22932

Und das sei wohl so "normal".

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 06.05.2021, 13:22

Hallo Ok danke!
Habe den USB Hub extra abgezogen. Neu gebootet und dann den offline Scan erneut aufgeführt. Nach Abschluss Offline Scan vor Neustart den USB Hub wieder angeschlossen damit sollte das Logfile hoffentlich ohne externe Laufwerke sein.
Zur Vereinfachung nochmal die Fragestellung (habe mehrere Partitionen auf der SSD, auf C ist Windows10 Pro 64 bit 20H2 , Buid:19042.928, kein weiteres Betriebsystem auf SSD):

C wird als H in WinPE gemappt. aber auch dort kommt die Meldung im Log... Ist das normal? (Jedenfalls Threats from scan: 0)
Missing definitions file in 'H:\mpam-fex64.exe'

Unter Signatures from installed product werden dann signatures gefunden

Vielen herzlichen Dank vorab!

Hier das Logfile aus "C:\Windows\Microsoft Antimalware\Support" In "msssWrapper.log":

Code: Alles auswählen

...

START	2021/05/06 12:48:50:197 TID:1424 PID:1392

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
Loading offline registry library returned 0x00000000

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
Binary architecture is amd64

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
UtilIsFileExists(H:\WINDOWS\SysWOW64\ntdll.dll) returned 0x00000000

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
CheckProcessorArchitecture returned 0x00000000

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
Setting target OS key: "H:\WINDOWS"

INFO	2021/05/06 12:48:50:197 TID:1424 PID:1392
SetRecoveryEnvironmentKey returned 0x00000000

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS C drive to WinPE H drive

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS D drive to WinPE I drive

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS E drive to WinPE E drive

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS F drive to WinPE D drive

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS G drive to WinPE G drive

INFO	2021/05/06 12:48:50:353 TID:1424 PID:1392
Mapping target OS M drive to WinPE F drive

INFO	2021/05/06 12:48:50:384 TID:1424 PID:1392
BuildTargetOSDriveMapping returned 0x00000000

INFO	2021/05/06 12:48:50:384 TID:1424 PID:1392
Searching for signatures. Default signature path: ""

INFO	2021/05/06 12:48:50:384 TID:1424 PID:1392
Searching for signatures at root of drives...

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'C:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'D:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'E:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'F:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'G:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'H:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:384 TID:1424 PID:1392
Missing definitions file in 'I:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:400 TID:1424 PID:1392
Missing definitions file in 'J:\mpam-fex64.exe'

WARNING	2021/05/06 12:48:50:400 TID:1424 PID:1392
Missing definitions file in 'X:\mpam-fex64.exe'

INFO	2021/05/06 12:48:50:400 TID:1424 PID:1392
Searching for signatures from installed product on target OS

INFO	2021/05/06 12:48:51:791 TID:1424 PID:1392
Looking for Defender registry key on target OS

INFO	2021/05/06 12:48:51:791 TID:1424 PID:1392
Mapped target os path (C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{95D643B3-1381-4002-B2CA-B9768CA340F7}) to winpe path (H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{95D643B3-1381-4002-B2CA-B9768CA340F7})

INFO	2021/05/06 12:48:51:791 TID:1424 PID:1392
Found signatures on the target OS at H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{95D643B3-1381-4002-B2CA-B9768CA340F7}

INFO	2021/05/06 12:48:51:931 TID:1424 PID:1392
SearchForSignatures returned 0x00000000

INFO	2021/05/06 12:48:53:322 TID:1424 PID:1392
Looking for Defender registry key on target OS

INFO	2021/05/06 12:48:53:322 TID:1424 PID:1392
Mapped target os path (C:\ProgramData\Microsoft\Windows Defender) to winpe path (H:\ProgramData\Microsoft\Windows Defender)

INFO	2021/05/06 12:48:53:463 TID:1424 PID:1392
Initializing offline environment and service...

INFO	2021/05/06 12:48:54:056 TID:1424 PID:1392
XCopySignatures returned hr = 0x0

INFO	2021/05/06 12:49:03:212 TID:1424 PID:1392
GetTempPathW where sigs would unpack = H:\WINDOWS\Microsoft Antimalware\Tmp\

INFO	2021/05/06 12:49:03:212 TID:1424 PID:1392
Signatures are already fairly recent. Skipping sig update.

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
AS Signature Version: 1.339.53.0

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Engine Version: 1.1.18100.6

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Launching user interface...

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Auto-scan mode selected...

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Registered for notifications

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Automatic scan started

INFO	2021/05/06 12:49:03:228 TID:1424 PID:1392
Launched Console UI, waiting...

INFO	2021/05/06 12:54:33:002 TID:2012 PID:1392
CALLBACK: Scan complete.  hResult=0x0, threat count=0

INFO	2021/05/06 12:54:33:002 TID:1424 PID:1392
Wait finished (Scan signaled)

INFO	2021/05/06 12:54:33:002 TID:1424 PID:1392
Getting results from scan...

INFO	2021/05/06 12:54:33:002 TID:1424 PID:1392
Scan completed successfully, attempting to clean any active malware.  Number of threats from scan: 0

INFO	2021/05/06 12:54:33:017 TID:1424 PID:1392
RunCallisto returned 0x00000000

INFO	2021/05/06 12:54:33:049 TID:1424 PID:1392
PreserveCallistoDetections returned 0x00000000

INFO	2021/05/06 12:54:37:408 TID:1424 PID:1392
Looking for Defender registry key on target OS

INFO	2021/05/06 12:54:38:498 TID:1424 PID:1392
Changes were committed to target OS hive.

INFO	2021/05/06 12:54:38:661 TID:1424 PID:1392
SetOfflineScanRunFlag returned 0x00000000

INFO	2021/05/06 12:54:38:661 TID:1424 PID:1392
Offline scan completed with 0x00000000

FINISH	2021/05/06 12:54:38:661 TID:1396 PID:1392

Re: windows defender offline findet malware die nicht entfernt wird

von Javora » 06.05.2021, 12:36

Interessant wäre es schon.
Vlt. schaut ja auch mal jemand drüber mit einem geübten Blick für diverse Logs, wie bspw. @DK2000.

Ab Start bis Ende als code einfügen für einen Scan wäre eine Möglichkeit
(externe Speichermedien vor Scan am besten oder vorsorglich abziehen).

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 06.05.2021, 03:38

Hallo Javora,
danke für die Info!
Gerade nochmal Offline Scan ausgeführt.
1. Ereignis 2030 vorhanden
2. msssWrapper.log:
Ich kenne mich nicht so aus. Mir fällt auf das nach:
Defalut Signature pathc mpam-fex64.exe gesucht wird.
Hier gibt es einige Missing defintions file in ...
da nun C in WinPE als H gemappt ist (laut log) habe mehrer Partitionen ist es komisch

Mapping target OS C drive to WinPE H drive ist es normal das:
die Warnung:
Missing definitions file in 'H:\mpam-fex64.exe' kommt?

Unter Signatures from installed product werden dann signatures gefunden:
Searching for signatures from installed product on target OS
Looking for Defender registry key on target OS

Mapped target os path (C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA}) to winpe path (H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA})

Found signatures on the target OS at H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA}

Frage ist: Ist das ok oder macht es sinn den Ausschnitts des Logs hier zu posten?
Jedenfalls Threats from scan: 0

Also ich poste gerne das Log.
Danke!

Re: windows defender offline findet malware die nicht entfernt wird

von Javora » 05.05.2021, 16:14

Das es Sinn macht vor einem Funktionsupdate fremd Virensoftware zu löschen wusste ich nicht. Bisher habe ich einfach Kaspersky ausgeschaltet.
Bei Win Funktionsupdates (halbjährliches Angebot), In-Place Upgrades und in besonderen Fällen kann es Sinn
machen, diverse Empfindlichkeit bei externer Sicherheitssoftware zu berücksichtigen.

Ein Dogma gibt es nicht dafür.

Bspw. i.Z.m. Win – Installation gibt es hier durch die „Blume“ Empfehlungen:
https://docs.microsoft.com/de-de/window ... uick-fixes
Meine Beobachtungen sprechen nicht dagegen.

Eine weitere Möglichkeit wird hier aufgezeigt:
https://www.deskmodder.de/wiki/index.ph ... l%C3%B6sen

Wenn sonst alles stimming, kann z. B. bei KIS das einfache Deinstallieren/ Installieren eine einfache, schnelle und praktikabele Option sein.

Vlt. machts auch die eine oder andere zusätzliche Wartung etc. Installationsfehler bei externen Anwendungen selbst lassen sich auch,
sofern vorhanden, durch Reparaturfunktionen oder eben durch Neuinstallation beseitigen.

Oder Nutzung MS Defender als Hauptsicherheitssoftware.

Re: windows defender offline findet malware die nicht entfernt wird

von Javora » 05.05.2021, 12:25

Nur mal noch zur Info i.Z.m. den Logs Defender Offline:

Unter "Operational" sollte es am Anfang noch Ereignis 2030
"Microsoft Defender Antivirus hat Microsoft Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus.°
geben.

Logs befinden sich ferner unter:
"C:\Windows\Microsoft Antimalware\Support"

In "msssWrapper.log" endet es hier mit
"Offline scan completed with 0x00000000
FINISH ..."

[Vgl. u.a.: https://docs.microsoft.com/de-de/micros ... -worldwide
https://support.microsoft.com/de-de/top ... 1a07d144cc
https://newyear2006.wordpress.com/category/defender/ (05/2016)]

Re: windows defender offline findet malware die nicht entfernt wird

von moinmoin » 05.05.2021, 05:57

Ja, oder eben mal offline oder per Stick booten und prüfen lassen.

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 04.05.2021, 19:14

Ok vielen Dank! Dh. durch den Echtzeitschutz reicht es aus eine eine Vollständige Überprüfung alle 1- 2 Wochen durchführen. Richtig?

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 04.05.2021, 18:56

Also Cloudbasierter Schutz an. und diese Maps Geschichte nicht in den GPO ändern?

Re: windows defender offline findet malware die nicht entfernt wird

von moinmoin » 04.05.2021, 18:52

Lass die Einstellungen da so wie sie sind. Ich hatte nicht umsonst geschrieben "..Lass den Defender einfach machen" ;)

Wenn es gelb ist, öffne Windows Sicherheit und dir wird es angezeigt, ob du es ändern, oder verwerfen möchtest. Edit ok.

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 04.05.2021, 18:51

Das mit dem gelben Symbol habe ich selbst hin bekommen...

Re: windows defender offline findet malware die nicht entfernt wird

von Jeremias » 04.05.2021, 18:49

Ok Danke! Also Cloud Übermittlung ist auch Pflicht? vgl.

https://www.netzroot-it.de/windows/tele ... vieren-106 ...
"Den Gruppenrichtlinieneditor kann man über den Ausführen-Dialog (WIN+R) und der Eingabe “gpedit.msc” starten.
Im Baumverzeichnis auf der linken Seite in folgendes Menü navigieren: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender -> MAPS"...
Den Eintrag “Microsoft MAPS beitreten” per Doppelklick auf “Deaktiviert” stellen (MAPS steht für Microsoft Antimalware Protection Service)

Frage: Maps deaktivieren oder auf nicht konfiguriert? Oder das der Beitrag schon was älter ist nicht mehr uptodate?

Wenn ich die automatisch Übermittlung ausschalte ist das Symbol des Sicherheitscenter im Systemtray gelb. Wie kann ich das ändern, denn so ist stets unklar ob Handlungsbedarf ist oder ob das an meinem gewähltem ausschalten liegt.

Was das suchen betrifft. Denkst Du auch ich kann den Laptop so lassen?

Nach oben