Defender: Kann Dynamcic Signatures nicht entfernen

Gast99 · Beitrag von **Gast99** » 03.05.2020, 11:26

Ich hatte eine Datei als falsch-positiv gemeldet.
Nun sollte ich die Signaturen updaten:

Analyst comments:

We have removed the detection. Please follow the steps below to clear cached detection and obtain the latest malware definitions.

1. Open command prompt as administrator and change directory to c:\Program Files\Windows Defender
2. Run “MpCmdRun.exe -removedefinitions -dynamicsignatures”
3. Run "MpCmdRun.exe -SignatureUpdate"

Gesagt getan.
Klappt aber nicht.

Code: Alles auswählen

c:\Program Files\Windows Defender>MpCmdRun.exe -removedefinitions -dynamicsignatures

Service Version: 4.18.2004.6
Engine Version: 1.1.16900.4
AntiSpyware Signature Version: 1.313.2822.0
AntiVirus Signature Version: 1.313.2822.0

Starting Dynamic Signature removal.Failed! Error 0x80070005

Service Version: 4.18.2004.6
Engine Version: 1.1.16900.4
AntiSpyware Signature Version: 1.313.2822.0
AntiVirus Signature Version: 1.313.2822.0
CmdTool: Failed with hr = 0x80070005. Check C:\Users\Admin1\AppData\Local\Temp\MpCmdRun.log for more information

c:\Program Files\Windows Defender>

Log zeigt:

Code: Alles auswählen

-------------------------------------------------------------------------------------
MpCmdRun: Command Line: MpCmdRun.exe  -removedefinitions -dynamicsignatures
 Start Time: ‎So ‎Mai ‎03 ‎2020 11:20:12

MpEnsureProcessMitigationPolicy: hr = 0x1
Start: MpRemoveDefinitions(0)
ERROR: MpRollbackSignature failed with hr=80070005
MpCmdRun: End Time: ‎So ‎Mai ‎03 ‎2020 11:20:12
-------------------------------------------------------------------------------------

Was ist von dem fehler zu halten?

Beitrag von **Tante Google** » 03.05.2020, 11:26

moinmoin · Beitrag von **moinmoin** » 03.05.2020, 11:43

Du könntest es auch mit dem Befehl mpcmdrun.exe -removedefinitions -all probieren.

Aber eigentlich werden diese Befehle nur ausgeführt, wenn der Defender keine Updates mehr lädt.

https://www.deskmodder.de/wiki/index.ph ... stallieren

ecerer · Beitrag von **ecerer** » 03.05.2020, 11:46

Geht bei mir auch nicht. Mehr kann ich dazu aber nicht sagen.

DK2000 · Beitrag von **DK2000** » 03.05.2020, 12:19

Du musst den Manipulationsschutz deaktivieren. Ansonsten Endet das alles mit "Zugriff verweigert (0x80070005)".

Und nach Möglichkeit die aktuell installierte Version verwenden:

Code: Alles auswählen

C:\ProgramData\Microsoft\Windows Defender\Platform\<Version>\

GwenDragon · Beitrag von **GwenDragon** » 03.05.2020, 16:11

DK2000 hat geschrieben: 03.05.2020, 12:19Du musst den Manipulationsschutz deaktivieren.

Wieso das? Ich hatte sowas letzhin auch, aber ich verstehe nicht, wieso das selbst mit erhöhten Rechten (CMD als Administrator) nicht geht. Wieso schlägt dann ein MS-Support das vor?

DK2000 · Beitrag von **DK2000** » 03.05.2020, 16:53

Das ist halt Microsoft. Ein Teil der Möglichkeiten, welche MpCmdRun.exe einem bietet, geht nur, wenn man den Manipulationsschutz deaktiviert. Ansonsten gibt es nur Error 0x80070005, weil man halt nicht darf, was man will.

Mit Manipulationsschutz:

Code: Alles auswählen

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2004.6-0>mpcmdrun.exe -removedefinitions -all

Service Version: 4.18.2004.6
Engine Version: 1.1.16900.4
AntiSpyware Signature Version: 1.313.2828.0
AntiVirus Signature Version: 1.313.2828.0

Starting engine and signature rollback to none...Failed! Error 0x80070005

Service Version: 4.18.2004.6
Engine Version: 1.1.16900.4
AntiSpyware Signature Version: 1.313.2828.0
AntiVirus Signature Version: 1.313.2828.0
CmdTool: Failed with hr = 0x80070005.

Manipulationsschutz deaktiviert:

Code: Alles auswählen

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2004.6-0>mpcmdrun.exe -removedefinitions -all

Service Version: 4.18.2004.6
Engine Version: 1.1.16900.4
AntiSpyware Signature Version: 1.313.2826.0
AntiVirus Signature Version: 1.313.2826.0

Starting engine and signature rollback to none...
Done!

Das mit dem Manipulationsschutz sollte Microsoft auch mal so langsam auf die Supportseiten schreiben. Ist ja schon etwas, dass sie folgendes hinzugefügt haben:

If you're running an updated Windows Defender Platform version, please run MpCmdRun from the following location: C:\ProgramData\Microsoft\Windows Defender\Platform\<version>.

moinmoin · Beitrag von **moinmoin** » 03.05.2020, 17:00

Wobei der alte Pfad auch noch funktionieren sollte / funktioniert. Ist MS aber erst später zurückgerudert und hat es möglich gemacht.

GwenDragon · Beitrag von **GwenDragon** » 03.05.2020, 17:04

Na, wenigstens bildet sich der Defender seit dem letzten Update vor ein paar Stunden nicht mehr ein, dass Wordpress-SuperCache-Dateien gefährliche Trojaner sind und blockiert werden müssen.
So kann ich endlich wieder Backups des Wordpress-Blogs runter laden.

DK2000 · Beitrag von **DK2000** » 03.05.2020, 17:10

@moinmoin:

Das ist halt das etwas widersprüchliche daran. Einerseits soll man die neue Version verwenden, anderseits geht auch noch die Version, welche als erstes installiert war. Gut, hat den Vorteil, dass man mittels MpCmdRun.exe -resetplatform die neue Version komplett deinstallieren kann und wieder bei der Version ist, welche in "%programfiles%\Windows Defender\" installiert ist.

@GwenDragon:

Oh, gab es wieder nette false-positive Ereignisse. Und das am Sonntag. Herje.

GwenDragon · Beitrag von **GwenDragon** » 03.05.2020, 17:22

Ja, sehr spaßig, wenn dann mal mehrere 3 GB tarball blockiert werden, weil da Cache-Dateien drin sind, die aber False-Positive.

Das Schlimme ist, dass Microsoft es Leuten erschwert sowas als False-Positive zu erkenne und einfach zu melden.
Dass man im Defender den Administrator bemühen muss, damit den Nutzern angezeigt werden kann, was für ein Schädling es angeblich ist, finde ich antiquiert, aber ich kenne das seit Jahren (Win 7), war mit früheren "Sicherheits"tools von MS auch schon so, dass sie Nutzer für dumm hielt.