Windows Defender in der Sandbox deaktivieren!?

inetdude · Beitrag von **inetdude** » 25.11.2019, 18:03

Ich beobachte seit ein paar Tagen mit Hilfe der Ereignisanzeige das Verhalten meines PCs beim Start/Herunterfahren!

Vor allem beim Start gibt es hin und wieder Programme, die den "Systemstartprozess beeinträchtigen" - mal der Explorer und/oder Svchost.exe und/oder Desktopfenster-Manager und/oder Antimalware Service Executable und/oder MsMpEngCP.exe, usw.

Meistens ist die Beeinträchtigungsdauer recht gering (unter 1 Sek. pro Prozess) und manchmal läuft es hoch ohne Beeinträchtigungen... Aber oft wird MsMpEngCP.exe angezeigt mit Beeinträchtigungszeiten von 15 Sek. und mehr!

Im Task-Manager unter Details ist MsMpEngCP.exe manchmal aufgeführt und manchmal nicht (wahrscheinlich weil Windows sie nicht starten konnte?).

Auf der Suche nach mehr Infos im Inet bin ich u.a. auf diesen Deskmodder-Beitrag gestoßen:
https://www.deskmodder.de/blog/2018/10/ ... rt-werden/

Deshalb meine Frage: macht es Sinn MsMpEngCP komplett abzuschalten? Oder lieber doch nicht?

Und: gibt es Möglichkeiten MsMpEngCP sowie andere Autostart-Programme verzögert zu starten? Dann kämen die sich vielleicht nicht in die Quere...

Beitrag von **Tante Google** » 25.11.2019, 18:03

moinmoin · Beitrag von **moinmoin** » 25.11.2019, 18:36

Die Überschrift ist jetzt etwas verwirrend. Weil der Defender-Prozess selbst in einer Sandbox abgeschirmt arbeitet.

Bei dir dürfte ein anderes Problem vorliegen. So wie es aussieht, scannt der Echtzeitschutz da einiges an Daten und daher kommt es wohl zu den Verzögerungen. Ist aber nur ne Vermutung.

Abschalten ist keine Lösung.

inetdude · Beitrag von **inetdude** » 25.11.2019, 19:12

Ja, ich habe kein Bezug mehr auf die Überschrift gemacht - ist aus Deinem Beitrag (vom 27. Oktober 2018 07:38) wo Du erklärst, dass der "Windows Defender in der Sandbox ausgerollt wird".

Denn dort geht es genau um die Datei MsMpEngCP.exe - also den "Defender in der Sandbox", wenn ich richtig verstanden habe! Und dass man die aktivieren (setx /M MP_FORCE_USE_SANDBOX 1) oder de-aktivieren (setx /M MP_FORCE_USE_SANDBOX 0) kann - je nach "Geschmack"!

Klar, der o.g. Beitrag ist ein Jahr alt! Gilt das nicht mehr? Arbeitet der Defender-Prozess jetzt generell abgeschirmt in eine Sandbox?

moinmoin · Beitrag von **moinmoin** » 26.11.2019, 06:49

Wenn MS da nichts geändert hat, arbeitet der Defender nun abgeschirmt.
Das sollte aber nicht mit deinem Problem zusammenhängen.
Im Zuverlässigkeitsverlauf ist nichts sichtbar? Irgendeine Fehlermeldung dazu?

inetdude · Beitrag von **inetdude** » 26.11.2019, 18:01

Zu dem Zeitpunkt (25.11.2019 16:38:46) der letzten Beeinträchtigungsmeldung von MsMpEngCP.exe (Eintrag in der Ereignisanzeige), ist im Zuverlässigkeitsverlauf nicht viel zu sehen...

Deskmodder13.PNG

Deskmodder14.PNG

Ja, im Bild sieht man ein Systemabsturz - seit langem mal wieder... Aber erst viel später!

Ist jetzt nur komisch, dass ich seitdem keine Meldung mehr bzgl. MsMpEngCP.exe habe, obwohl ich 4x den PC neu gestartet habe! Jetzt wird stattdessen die Beeinträchtigungszeit von MsMpEng.exe (ohne das CP am Ende) aufgeführt - 2x 15 Sek. + 21 Sek. + 23 Sek.! Und im Task-Manager unter "Details" ist nur noch MsMpEng.exe zu sehen!

Gibt es vielleicht in der Ereignisanzeige geeignetere Möglichkeiten, um das/die Problem/e zu analysieren? Kenne mich allerdings nicht gut aus damit... Tipps wo man suchen könnte?

DK2000 · Beitrag von **DK2000** » 26.11.2019, 18:54

Wovon ist das eigentlich abhängig, ob der Defender in seiner Sandbox läuft oder nicht?

Habe hier die 1909 (18363.476) mit Defender 4.18.1910.4 und da läuft sie nicht. Kein MsMpEngCP.exe Prozess im Taskmanager.

Sie läuft aber, wenn ich die Umgebungsvariable MP_FORCE_USE_SANDBOX=1 setze. Ist die Variable nicht vorhanden, scheint das bei mir MP_FORCE_USE_SANDBOX=0 zu entsprechen. In der Ereignisanzeige finde ich auch nichts, was auf ein Problem damit hindeuten würde.

Ok, woran liegt das jetzt? Oder geht es hier um die 20H1? (OK, in der meiner 20H1 läuft auch keine MsMpEngCP.exe)

Oder hast Du das selber aktiviert?

inetdude · Beitrag von **inetdude** » 26.11.2019, 20:16

Sorry, habe die Angaben meines BS nicht angegeben... Momentan installiert (seit dem 23.11.) ist 1903 Insider Preview Build 19030.1 (20H1)!

Defender-Version, keine Ahnung! Wo kann man das fest stellen?

Und nein, ich habe im Defender weder etwas aktiviert oder de-aktiviert... Alles so wie es bei der Installation des Builds eingerichtet wurde! Und andere Virenscanner habe ich schon seit zig Jahren nicht mehr im Einsatz.

DK2000 · Beitrag von **DK2000** » 26.11.2019, 20:21

Das komisch. Wie gesagt, bei mir läuft die MsMpEngCP.exe nur, wenn ich MP_FORCE_USE_SANDBOX=1 setze.

Ansonsten, in der 18363.476 und 19030.1 läuft die nicht von sich aus. Nur mit MP_FORCE_USE_SANDBOX=1, dann startet sie.

Per Default scheint das nicht aktiviert zu werden. Oder das ist wieder ein A/B Test und bei Dir ist es aktiviert und bei mir nicht.

inetdude · Beitrag von **inetdude** » 26.11.2019, 20:36

Interessant! Wusste nicht, dass es solche A/B Tests gibt...

Dann wäre das ja eine reine Insider-Thematik! Und somit gehören die ganzen Beiträge hier in der Rubrik "Windows 10 Insider"... Aber ich bin davon ausgegangen, dass die Funktion "in Betrieb" gegangen ist und nicht mehr im "Test-Betrieb" (27. Oktober 2018 07:38 --> "Windows Defender in der Sandbox ausgerollt!) - hab ich das was falsch verstanden?

Bin mal gespannt, ob die MsMpEngCP.exe bei mir demnächst mal wieder auftaucht...

DK2000 · Beitrag von **DK2000** » 27.11.2019, 05:47

Ja, Microsoft mach tda gerne mal A/B Test im Insider Programm. Aber meistens steht das dann auch irgendwo.

Bin jetzt auch davon ausgegangen, dass die Sandbox für den Defender mittlerweile per Default für alle aktiviert ist, scheint aber offensichtlich nicht der Fall zu sein. Jedenfalls bei mir ist das nicht so.

Die Defender Version steht in der GUI unter Einstellungen/Info oder alternativ in der Powershell über Get-MpComputerStatus.

inetdude · Beitrag von **inetdude** » 27.11.2019, 10:31

inetdude · Beitrag von **inetdude** » 29.11.2019, 08:44

Nach dem Update des Insider Preview Build 19033.1 von vor 2 Tagen wollte ich nun bestätigen, dass bei mir seitdem auch nicht mehr MsMpEngCP.exe gestartet wird... Doch heute morgen war es wieder da:

Deskmodder15.PNG

Im Task-Manager taucht es aber nicht auf!

inetdude · Beitrag von **inetdude** » 30.11.2019, 13:36

Und gerade eben wieder gestartet (heute morgen aber nicht):

Deskmodder17.PNG

.
Und diesmal auch im Task-Manager zu sehen:

Deskmodder16.PNG

.
Beeinträchtigungszeit diesmal "nur" 6 Sek. (im vorhergehenden Build waren es immer 15 - 25 Sek.)!

Gibt es neben den A/B-Tests noch eingeschaltet-/ausgeschaltet-Tests?

DK2000 · Beitrag von **DK2000** » 30.11.2019, 13:48

Bei mir gibt es diese Einträge nicht, weder in der 1909 noch in der 2004. Das Einzige, was ich dazu finde:

Code: Alles auswählen

Der Start der Anwendung hat länger als erwartet gedauert und dadurch die Leistung des Systemstartprozesses beeinträchtigt: 
    Dateiname		:	MsMpEng.exe
    Anzeigename		:	Antimalware Service Executable
    Version		:	4.18.1911.3 (WinBuild.160101.0800)
    Gesamtzeit		:	4265ms
    Beeinträchtigungszeit	:	1765ms

Aber Einträge mit einer MsMpEngCP.exe gibt es da nicht.

inetdude · Beitrag von **inetdude** » 01.12.2019, 13:21

Schon seltsam das Ganze... Heute morgen war sie wieder aktiv - jetzt wieder nicht!

@DK2000 --> Ist die Datei (MsMpEngCP.exe) bei Dir überhaupt vorhanden?
Pfad: C:\ProgramData\Microsoft\Windows Defender\Scans

Die andere Datei (MsMpEng.exe) ist ganz woanders...
Pfad: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1911.3-0