offline scan geändertes Verhalten kein msssWrapper.log?

[Jeremias]

windows 10 22H2 19045.5965. Habe eine offline scan mit dem Defender gestartet. Offline scan startet öffnet aber nicht mehr wie gewohnt ein Terminal Fenster mit Fortschritt (es flackert auch nicht wie üblich die Zugriffs LED am Gerät). Es wird lediglich Offlinescan mit dem Grünen Fortschrittbalken angezeigt. Nach einiger Zeit Reboot ohne Rückmeldung. Im Ereignis log steht unter Operational Event 2030 ok. Aber ich finde keine aktuelle msssWrapper.log mehr unter: C:\Windows\Microsoft Antimalware\Support.

Frage: Hat MS da was geändert oder liegt hier bei der Installation im Argen?

Edit: 14.06.25
Starte ich einen Online Scan z.B. gesamte C Partition wird dieser Scan nach wenigen Minuten abgebrochen bzw. der Rechner startet neu? Auf C sind 17,2 GB frei. Ist das die Ursache für den Abbruch? Oder geht kein Scan der gesamten Partition C?

Ein Online Scn als Full Scan ist ohne Ergebnis.
Nach erneuten Offline Scan fällt mir auf das keine Zugriffs LED flackert beim Scan. Suche ich im Win Explorer nach der Datei: msssWrapper.log auch keine neue Datei in einem mir nicht erwarteten Verzeichnis. Lediglich die alten msssWrapper.log Logs. Lediglich in Ereignislog finde ich unter Operational die Einträge.

Ein Scan nach bösartiger Software im schnell Scan ist ohne Ergebnis.

Gibt es keine Offline Scan mehr? Gibt es eine andere Möglichkeit im abgesichteren Modus zu scannen?

Liegt was im Argen?

Danke vorab! LG Jeremias

[Tante Google]

[Holgi]

ja, da hat sich wohl etwas geändert:
https://www.bleepingcomputer.com/forums ... d-for-me/?
https://learn.microsoft.com/en-us/defen ... r-offline?
kannst ja den Offline Scanner nehmen:
https://go.microsoft.com/fwlink/?LinkId=212732
oder
Kaspersky Rescue Disk
Bitdefender Rescue CD
ESET SysRescue Live

irgendwo habe ich mal gelesen, dass die msssWrapper.log nicht mehr erzeugt wird, bzw. wo anders abgelegt wird. Kannst ja mal die Festplatte danach suchen lassen (https://www.voidtools.com/Everything-1. ... -Setup.exe

ach noch was:
vlt. mal die Ereignisanzeige/EventViewer nach Defender untersuchen:
Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational
bzw. deutsch:
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Operational

[Gast]

OFFLINE SCANS laufen über WINRE

START 2025/06/14 11:06:42:287 TID:1628 PID:1596
INFO 2025/06/14 11:07:07:539 TID:1628 PID:1596
Automatic scan started


INFO 2025/06/14 11:18:25:402 TID:1628 PID:1596
Scan completed successfully, attempting to clean any active malware. Number of threats from scan: 0

INFO 2025/06/14 11:18:25:418 TID:1628 PID:1596
Offline scan completed with 0x00000000

[DK2000]

Klingt eigentlich mehr nach defektem Defender. bei mir läuft der Offline-Scan mit der 19045.5965 wie gewohnt ab. keine Veränderungen festgestellt. Auch die msssWrapper.log wird am bekannten Ort erstellt. Auch die Online-Scans laufen wie gewohnt ab.

Eventuell mal versuchen (Eingabeaufforderung mit Adminrechten):

Code: Alles auswählen

 "C:\Program Files\Windows Defender\MpCmdRun.exe" -ResetPlatform

Danach Neustart und im Anschluss den aktuellen Defender über Windows Update neu installieren lassen.

[Jeremias]

Hallo DK2000,
danke für Deine Antwort.
Leider hat Dein Tipp nicht geholfen. Aber ich habe ggf. was falsch gemacht. Siehe unten:

Ich habe nun per CMD mit Adm Rechte eingegeben:
C:\Program Files\Windows Defender\MpCmdRun.exe -ResetPlatform
hat er gemacht. Dann aber statt Neustart Winupdate ausgeführt.

Er wollte die folgenden KB herunterladen:
KB2267602
KB4052623 wobei dies 2 Versionen waren.

Bei der ersten Version aktueller Kanal kam jeweils der Downloadfehler: 0x80070643 auf. Habe das dann dreimal Wiederholt. Anschließend die Suchmaschine mit dem Code bemüht. Lt. Heise Fehler für WinRe zu klein. Komisch denn es ist auf C und nicht in einer eigenen Partition.

Dann habe ich neu gestartet und nochmal Win update ausgeführt. Win update lief erfolgreich.

Anschließend Offline Scan ausgeführt. Ergebnis: Leider unverändert!
D.h. Das System meldet sich ab, starte neu mit der mit dem Fenster
Defender und dem Grünen Balken. Da öffnet sich keine CMD Fenster und auch kein Zugriff LED lampe Blinkt. Nichts. irgendwann meldet der sich zurück und ich Checke aber es wurde kein neues msssWrapper.log. Das aktuellest msssWrapper.log ist von 23.02.2025.

Was nun? Ich habe es erneut versucht mit der CMD und ADM Rechten mit den Befehl und Ausgabe Kopie:

C:\Program Files\Windows Defender>MpCmdRun.exe -ResetPlatform
CmdTool: Failed with hr = 0x80501116. Check C:\WINDOWS\TEMP\MpCmdRun.log for more information

Frage könnte es an WinRe liegen? In Registry steht:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 10.0.19041.5728

Edit:
meine Version lt. winver ist ja 19045.5965. Ist das das Problem? Soll ich ggf ein Inplace machen? Oder bringt das nichts?

Was Nun? Danke vorab! LG Jeremias

[Jeremias]

Hallo Holgi, danke für Deine Antwort. Auch wenn DK2000 schreibt es sei alles bei ihm unverändert und ich das umgesetzt habe was er vorgeschlagen hat, ohne Änderung. Ich habe das Offline Tool vom MS genutzt das du mir per Link gesendet hast. Es ist wohl analog zu dem alten KB bösartige Software. Ergebnis ist keine Einträge!

Die msssWrapper.log habe ich gesucht aber kein anderes Verzeichnis gefunden. Lediglich die alten Einträge von Feburar 2025...

Nun der Offline Scan über den Defender läuft ja außerhalb v Win10 in der WinRE. Ich befürchte die funktioniert nicht richtig. In der Registry nachgeschaut steht dort:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 10.0.19041.5728
lt. WinVer habe ich die 19045.5965 komisch! Vielleicht ist das der Grund?

Das Tool von Kaspersky ist ja auch ein Offline Scanner. Malwarebytes werde ich auch mal checken. Dann bin ich auf der sicheren Seite. Das mit WinRe kapiere ich irgendwie nicht. Kompliziert was da MS sich ausgedacht hat. Nun da bin ich vielleicht das Problem weil ich davon null Ahnung habe... Habe noch ein Inplace gemacht aber das Problem ist unverändert.

Also werde ich mir einfach den Offline Scan in Zukunft sparen.

Danke!

[DK2000]

Getestet habe ich es bei mir (reale Hardware und VM):

Windows: 19045.5965, WinRE: 19041.5847, Defender Platform: 4.18.25040.2

Habe jetzt auch einmal aus Spaß "MpCmdRun.exe -ResetPlatform" mit sofortigem Neustart ausgeführt. Über Windows Update kamen dann die beiden passenden Updates:

Screenshot 2025-06-14 200522.png

Danach läuft alles ganz normal weiter. Ich kann da im Moment Dein Problem nicht reproduzieren.

Wenn 10.0.19041.5728 bei Dir im Schlüssel "WinREVersion" steht, dann fehlt Dir das letzte Update für die WinRE (SafeOS Update). Aber glaube nicht, dass es daran liegt.

[Jeremias]

Hallo Dk2000, danke für dein melden und versuch das Problem nachzustellen. Ich weiß nun nicht wie ich das Thema angehen kann. Nun die WinRE ist aktiv. Sonst würde der Offline Scan nicht starten. Woran es liegt und ob ein Inplace hilft keine Ahnung. Ich habe gerade geschaut welches Update mir fehlt aber ich glaube das WinRe Update wird per winupdate und nicht per update Katalog angeboten. winupdate bietet es mir nicht an. Ich meine mein WinRe ist auf Partition mit dem windows und dort sind 17 GB (das ist nicht viel) aber ich denke genügend frei für die WinRe. Keine Ahnung was nun. Ich habe den Offline Scanner böswillige Software geprüft ohne Fund. Der Online Scan war mit 5 Std. Laufzeit war auch ohne Befund aber Rootkits verstecken sich ja schon mal. Mir kommt es halt komisch vor das wenn ich im Updatekatalog herunterladen will und da russische Buchstaben stehen. Habe extra den Browser gewechselt aber analog. Die SHA Key sind ja schon mal abweichend. Aber gerade in der Schulferienzeit bin ich besonders wachsam... Hast du ne Idee was ich machen kann? Vermutlich nicht. Einfach ignorieren? Hmm LG Jeremias

Edit:
Habe heute noch ein Inplace mit ISO von Deskmodder durchgeführt. Hat leider nichts geändert. Winupdate bietet mir ja keine Updates an auch nicht für WinRE. SFC Scan war ohne Befund. Offline Scan erkennt Rootkits die sich im laufen Online Scan verstecken können wie ich gelesen habe.. WinRE ist ja in Windows Partition u da is noch Diskspace (17 GB) zwar wenig wolle größere SSD einsetzen aber die 17 sollten für WinRE ausreichen... Also entweder mit Kaspersky oder ESET wie Holgi schrieb noch checken oder ignorieren. Hmm

[Sinnvoll]

Hi !
Holgi hatte mal was sehr Interessantes dazu gepostet....
Recherchen:
Echtzeitüberwachung in Windows deaktiviren
RealTimeMonitoring
Defender Virenschutz wird de-aktiviert
(Das ging mit powershell)

Des weiteren existieren sogenannte Plattform Updates für den Defender!
Latest security intelligence updates for Microsoft Defender Antivirus = mpam-fe.exe

Anstatt dem Befehl -ResetPlatform

Die normalen Updates manuell anstoßen:
Um den aktuellen Cache zu leeren und ein Update auszulösen,
verwenden Sie ein Batchskript, das die folgenden Befehle als Administrator ausführt:
(Datei erstellen- txt umbenennen natürlich!)
TriggerDefenderupdatenow.bat
cd %ProgramFiles%\Windows Defender
MpCmdRun.exe -removedefinitions -dynamicsignatures
MpCmdRun.exe -SignatureUpdate

Auslösen eines Updates
Ein manuell ausgelöstes Update lädt sofort die neuesten Sicherheitsinformationen herunter und wendet sie an. Dieser Vorgang kann auch Probleme mit automatischen Updates beheben.

Oder:
mpam-fe.exe herunterladen und mit Rechtsklick als Admin ausführen "zum manuellen Updaten"
Wo befindet sich nun die letzten/aktuellsten VDM Dateien?
Diese Dateien befinden sich unter
C:\ProgramData\Microsoft\Windows Defender\Definition Updates\<RandomGUID>\ .
Beispiel:
{AA1BEB1C-2BF7-4218-9961-4EBD849F4E9F}

Damit wird wohl auch im "Offline Modus" gearbeitet

Der Ordner Windows Defender Advanced Threat Protection ist vor Zugriff /Einsehen geschützt

[Jeremias]

Hallo Sinnvoll, danke wo finde ich diesen Post den Du von Holgi beschreibst? Ich habe soeben danach gesucht. Lt. dem Windows Sicherheits Center sind die Virendef. aktuell. Ich lade die Definitionen manuelle von der Adresse: https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64 bzw.: https://www.microsoft.com/en-us/wdsi/defenderupdates. Aber den Weg den Du beschreibst werden ich mal intensiv recherchieren. Bei Deskmodder habe ich auf die schnelle das nicht gefunden. Werde morgen mal intensiver danach suchen und berichten.

[moinmoin]

Findest du zum Teil hier
https://www.deskmodder.de/wiki/index.ph ... stallieren

[sinnvoll]

Das war mal das hier:
Script von Holgi (Thema zum Defender) betreffs Erstellung von ISO's

Damit das klappt, musst du vorher den Manipulationsschutz in den Einstellungen des Defenders abschalten. Das geht nicht per Powershell.
Der überwachte Ordnerzugriff in Windows hindert verdächtige Programme daran, Benutzerdateien zu ändern.

echo Der Virenschutz wird de-aktiviert
echo bitte warten ...
powershell.exe -command "Set-MpPreference -DisableRealtimeMonitoring $true"
powershell.exe -command "Set-MpPreference -MAPSReporting Disabled"
powershell.exe -command "Set-MpPreference -SubmitSamplesConsent SendAllSamples"
powershell.exe -command "Set-MpPreference -SubmitSamplesConsent NeverSend"
powershell.exe -command "Set-MpPreference -DisableIntrusionPreventionSystem $true"
powershell.exe -command "Set-MpPreference -DisableIOAVProtection $true"
powershell.exe -command "Set-MpPreference -DisableScriptScanning $true"
powershell.exe -command "Set-MpPreference -EnableControlledFolderAccess Disabled"
powershell.exe -command "Set-MpPreference -EnableNetworkProtection Disabled"
powershell.exe -command "Set-MpPreference -ScanOnlyIfIdleEnabled $false"
powershell.exe -command "Set-MpPreference -DisableRemovableDriveScanning $true"
powershell.exe -command "Set-MpPreference -DisableEmailScanning $true"
powershell.exe -command "Set-MpPreference -PUAProtection Disabled"

echo Der Virenschutz wird wieder aktiviert
echo bitte warten ...
powershell.exe -command "Set-MpPreference -DisableRealtimeMonitoring $false"
powershell.exe -command "Set-MpPreference -MAPSReporting Advanced"
powershell.exe -command "Set-MpPreference -SubmitSamplesConsent SendAllSamples"
powershell.exe -command "Set-MpPreference -DisableIntrusionPreventionSystem $false"
powershell.exe -command "Set-MpPreference -DisableIOAVProtection $false"
powershell.exe -command "Set-MpPreference -DisableScriptScanning $false"
powershell.exe -command "Set-MpPreference -EnableControlledFolderAccess Enabled"
powershell.exe -command "Set-MpPreference -EnableNetworkProtection Enabled"
powershell.exe -command "Set-MpPreference -ScanOnlyIfIdleEnabled:$false"
powershell.exe -command "Set-MpPreference -DisableRemovableDriveScanning:$false"
powershell.exe -command "Set-MpPreference -DisableEmailScanning:$false"
powershell.exe -command "Set-MpPreference -PUAProtection Enabled"

Dann noch die Ereignisanzeige dazu auswerten

[Gast]

Zum Testen:
Wenn der Windows Defender Offline-Scan NICHT STARTET, überprüfen Sie den Status von Windows RE mit REagentc über eine Administrator-Eingabeaufforderung.
reagentc /info

reagentc /info bestätigte, dass RE nicht aktiviert war

reagentc /enable aktivierte RE

reagentc /info bestätigte, dass RE jetzt aktiviert war

...dann tat der Offline-Scan tatsächlich das, was er tun sollte.
---
ok, also ich konnte es aktivieren, nachdem ich mit sfc /scannow in cmd nach Fehlern gesucht hatte.

[Jeremias]

Hallo Gast danke, die WinRE ist aktiv, aber der Fehler ist dennoch da. Ich bin fast geneigt es zu ignorieren da der Online Scan wenn auch statt 15 Min (übliche Zeit im offline Scan) mit 5 Std ohne Ergebnis zurück kam. Aber das Problem ist im Online Scan kann sich die Software verstecken. Daher macht der Offline Scan schon Sinn. Muss also auf Eset oder Kaspersky beide als bootbare Lösungen ausweichen. Wie es scheint. Blöd da beim Kaspersky ggf Windows Dateien geändert werden, lt. Info von Kasperksy.

[Jeremias]

Hallo Sinnvoll, vielen Dank. Probiere ich aus und melde mich zurück! Muss mich da mal rein fuchsen...