windows defender offline findet malware die nicht entfernt wird

Du brauchst Hilfe zu OneDrive, der Sicherheit oder dem Internet Explorer?
Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59672
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 555 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 04.05.2021, 15:07

Die Prozentangaben nimmt der Defender nicht so genau.
Ist wie beim Update, da springt er auch mal gerne hin und her.
Darauf würde ich jetzt noch die Beachtung legen.

Wie Javora schon schreibt. Zusätzlich mal mit einem Extra-Tool per Stick und gut ist.

Tante Google

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Tante Google » 04.05.2021, 15:07


Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 17:21

Hallo MoinMoin und Javora,
klar ich habe Eure Tipps umgesetzt und mit Kaspersky Rescue Disk und Eset gescannt (beide Bootbar via USB Stick allerdings erstellt unter Rufus an dem betroffenen Rechner weil ich mit DD unter Ubuntu irgendwie nicht klar kam). Es wurde nichts gefunden!

Mit Logs ist die Ereignisanzeige gemeint richtig? Da kenne ich mich nicht wirklich aus:
Anwendungs- u Dienstprotokolle/Microsoft/windows/Windows Defender
Operational
Nur Informationen: ID 5007
16:34:09
In der Konfiguration von Microsoft Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender

16:34:09
In der Konfiguration von Microsoft Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1
Neuer Wert: Default\ServiceStartStates = 0x0
16:34:01
In der Konfiguration von Microsoft Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: Default\ServiceStartStates = 0x0
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\ServiceStartStates = 0x1

16:33:59
In der Konfiguration von Microsoft Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: Default\IsServiceRunning = 0x0
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
...
Fragen:
1. Was bedeutet das mit ServiceStartStates = 0x1? Man kann es nicht ergooglen
In der Registry, GPO nichts. Die Services für den Defender laufen (Ausnahme Windows Defender Advanced Threat Protection-Dienst Sense aber das ist glaube ich normal).
2. Einstellungen windows Defender:
Den cloud Schutz und automatisch Übermittlung von Beispielen einschalten? Echtzeit, Manipulationsschutz eingeschaltet. Trotzdem kann ich die Registry aufrufen HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender und DiableAntiSpyware als neuen Schlüssel hinterlegen (Aber vielleicht werde ich daran gehindert oder es hat keine Wirkung wenn ich das abspeichere, habe ich nicht gespeichert, dachte der meckert direkt). Ist das so normal?

Was mich am Defender stört ist das man die Einstellungen nicht mit einem Passwort schützen kann, das man wenn nur über die Powershell einen Scan planen kann und das man nicht den Defender anweisen kann das nur veränderte Dateien gescannt werden. Nur Schnell, Vollständig oder Benutzerdefiniert. Auch Autoupdate kann man nicht machen aber das größte Problem ist ja Malware und nicht Viren. Verhaltenserkennung habe ich in den Gruppenrichtlinien aktiviert. Oder ist das überflüssig? Ich will halt nur nicht das irgend eine Schadsoftware Änderungen an den Einstellungen vornimmt, denn im Sicherheitscenter sind die nicht geschützt, (Ausnahme überwachte Ordner).

3. So lassen oder was denkt Ihr?
Ich denke ich lasse es so wollte aber hier mich austauschen ob ich da vielleicht was übersehe. Was denkt Ihr? 100% sicher kann man nie sein.
Danke vorab!

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59672
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 555 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 04.05.2021, 18:31

Nein sicher kann man nie sein. Aber um deine Fragen mal mit einem Satz zu beantworten: Lass den Defender einfach machen.

Über Echtzeit werden die Änderungen gescannt, er macht immer wieder von selbst Schnelltests, er informiert dich, wenn was gefunden wird usw.
Alles außer Automatische Übermittlung ist schon Pflicht. Die Übermittlung ist optional. Der Defender wird dann zwar ab und an meckern, aber das kann man ausstellen.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 18:49

Ok Danke! Also Cloud Übermittlung ist auch Pflicht? vgl.

https://www.netzroot-it.de/windows/tele ... vieren-106 ...
"Den Gruppenrichtlinieneditor kann man über den Ausführen-Dialog (WIN+R) und der Eingabe “gpedit.msc” starten.
Im Baumverzeichnis auf der linken Seite in folgendes Menü navigieren: Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender -> MAPS"...
Den Eintrag “Microsoft MAPS beitreten” per Doppelklick auf “Deaktiviert” stellen (MAPS steht für Microsoft Antimalware Protection Service)

Frage: Maps deaktivieren oder auf nicht konfiguriert? Oder das der Beitrag schon was älter ist nicht mehr uptodate?

Wenn ich die automatisch Übermittlung ausschalte ist das Symbol des Sicherheitscenter im Systemtray gelb. Wie kann ich das ändern, denn so ist stets unklar ob Handlungsbedarf ist oder ob das an meinem gewähltem ausschalten liegt.

Was das suchen betrifft. Denkst Du auch ich kann den Laptop so lassen?

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 18:51

Das mit dem gelben Symbol habe ich selbst hin bekommen...

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59672
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 555 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 04.05.2021, 18:52

Lass die Einstellungen da so wie sie sind. Ich hatte nicht umsonst geschrieben "..Lass den Defender einfach machen" ;)

Wenn es gelb ist, öffne Windows Sicherheit und dir wird es angezeigt, ob du es ändern, oder verwerfen möchtest. Edit ok.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 18:56

Also Cloudbasierter Schutz an. und diese Maps Geschichte nicht in den GPO ändern?

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59672
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 555 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 04.05.2021, 18:59

Richtig.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 04.05.2021, 19:14

Ok vielen Dank! Dh. durch den Echtzeitschutz reicht es aus eine eine Vollständige Überprüfung alle 1- 2 Wochen durchführen. Richtig?

Benutzeravatar
moinmoin
★ Team Admin ★
Beiträge: 59672
Registriert: 14.11.2003, 11:12
Hat sich bedankt: 127 Mal
Danke erhalten: 555 Mal
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von moinmoin » 05.05.2021, 05:57

Ja, oder eben mal offline oder per Stick booten und prüfen lassen.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 05.05.2021, 10:34

Danke!

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 05.05.2021, 12:25

Nur mal noch zur Info i.Z.m. den Logs Defender Offline:

Unter "Operational" sollte es am Anfang noch Ereignis 2030
"Microsoft Defender Antivirus hat Microsoft Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus.°
geben.

Logs befinden sich ferner unter:
"C:\Windows\Microsoft Antimalware\Support"

In "msssWrapper.log" endet es hier mit
"Offline scan completed with 0x00000000
FINISH ..."

[Vgl. u.a.: https://docs.microsoft.com/de-de/micros ... -worldwide
https://support.microsoft.com/de-de/top ... 1a07d144cc
https://newyear2006.wordpress.com/category/defender/ (05/2016)]

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 05.05.2021, 16:14

Das es Sinn macht vor einem Funktionsupdate fremd Virensoftware zu löschen wusste ich nicht. Bisher habe ich einfach Kaspersky ausgeschaltet.
Bei Win Funktionsupdates (halbjährliches Angebot), In-Place Upgrades und in besonderen Fällen kann es Sinn
machen, diverse Empfindlichkeit bei externer Sicherheitssoftware zu berücksichtigen.

Ein Dogma gibt es nicht dafür.

Bspw. i.Z.m. Win – Installation gibt es hier durch die „Blume“ Empfehlungen:
https://docs.microsoft.com/de-de/window ... uick-fixes
Meine Beobachtungen sprechen nicht dagegen.

Eine weitere Möglichkeit wird hier aufgezeigt:
https://www.deskmodder.de/wiki/index.ph ... l%C3%B6sen

Wenn sonst alles stimming, kann z. B. bei KIS das einfache Deinstallieren/ Installieren eine einfache, schnelle und praktikabele Option sein.

Vlt. machts auch die eine oder andere zusätzliche Wartung etc. Installationsfehler bei externen Anwendungen selbst lassen sich auch,
sofern vorhanden, durch Reparaturfunktionen oder eben durch Neuinstallation beseitigen.

Oder Nutzung MS Defender als Hauptsicherheitssoftware.

Jeremias
Grünschnabel
Grünschnabel
Beiträge: 40
Registriert: 31.01.2021, 17:21
Gender:

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Jeremias » 06.05.2021, 03:38

Hallo Javora,
danke für die Info!
Gerade nochmal Offline Scan ausgeführt.
1. Ereignis 2030 vorhanden
2. msssWrapper.log:
Ich kenne mich nicht so aus. Mir fällt auf das nach:
Defalut Signature pathc mpam-fex64.exe gesucht wird.
Hier gibt es einige Missing defintions file in ...
da nun C in WinPE als H gemappt ist (laut log) habe mehrer Partitionen ist es komisch

Mapping target OS C drive to WinPE H drive ist es normal das:
die Warnung:
Missing definitions file in 'H:\mpam-fex64.exe' kommt?

Unter Signatures from installed product werden dann signatures gefunden:
Searching for signatures from installed product on target OS
Looking for Defender registry key on target OS

Mapped target os path (C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA}) to winpe path (H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA})

Found signatures on the target OS at H:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C5FC274D-2CD5-415E-890A-274B37BF18CA}

Frage ist: Ist das ok oder macht es sinn den Ausschnitts des Logs hier zu posten?
Jedenfalls Threats from scan: 0

Also ich poste gerne das Log.
Danke!

Javora
Superhirn
Superhirn
Beiträge: 1045
Registriert: 24.04.2016, 20:33
Hat sich bedankt: 10 Mal
Danke erhalten: 33 Mal

Re: windows defender offline findet malware die nicht entfernt wird

Beitrag von Javora » 06.05.2021, 12:36

Interessant wäre es schon.
Vlt. schaut ja auch mal jemand drüber mit einem geübten Blick für diverse Logs, wie bspw. @DK2000.

Ab Start bis Ende als code einfügen für einen Scan wäre eine Möglichkeit
(externe Speichermedien vor Scan am besten oder vorsorglich abziehen).

Antworten