Deskmodder.de

windows 10 22H2 19045.5965. Habe eine offline scan mit dem Defender gestartet. Offline scan startet öffnet aber nicht mehr wie gewohnt ein Terminal Fenster mit Fortschritt (es flackert auch nicht wie üblich die Zugriffs LED am Gerät). Es wird lediglich Offlinescan mit dem Grünen Fortschrittbalken angezeigt. Nach einiger Zeit Reboot ohne Rückmeldung. Im Ereignis log steht unter Operational Event 2030 ok. Aber ich finde keine aktuelle msssWrapper.log mehr unter: C:\Windows\Microsoft Antimalware\Support.

Frage: Hat MS da was geändert oder liegt hier bei der Installation im Argen?

Edit: 14.06.25
Starte ich einen Online Scan z.B. gesamte C Partition wird dieser Scan nach wenigen Minuten abgebrochen bzw. der Rechner startet neu? Auf C sind 17,2 GB frei. Ist das die Ursache für den Abbruch? Oder geht kein Scan der gesamten Partition C?

Ein Online Scn als Full Scan ist ohne Ergebnis.
Nach erneuten Offline Scan fällt mir auf das keine Zugriffs LED flackert beim Scan. Suche ich im Win Explorer nach der Datei: msssWrapper.log auch keine neue Datei in einem mir nicht erwarteten Verzeichnis. Lediglich die alten msssWrapper.log Logs. Lediglich in Ereignislog finde ich unter Operational die Einträge.

Ein Scan nach bösartiger Software im schnell Scan ist ohne Ergebnis.

Gibt es keine Offline Scan mehr? Gibt es eine andere Möglichkeit im abgesichteren Modus zu scannen?

Liegt was im Argen?

Danke vorab! LG Jeremias

ja, da hat sich wohl etwas geändert:
https://www.bleepingcomputer.com/forums ... d-for-me/?
https://learn.microsoft.com/en-us/defen ... r-offline?
kannst ja den Offline Scanner nehmen:
https://go.microsoft.com/fwlink/?LinkId=212732
oder
Kaspersky Rescue Disk
Bitdefender Rescue CD
ESET SysRescue Live

irgendwo habe ich mal gelesen, dass die msssWrapper.log nicht mehr erzeugt wird, bzw. wo anders abgelegt wird. Kannst ja mal die Festplatte danach suchen lassen (https://www.voidtools.com/Everything-1. ... -Setup.exe

ach noch was:
vlt. mal die Ereignisanzeige/EventViewer nach Defender untersuchen:
Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational
bzw. deutsch:
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Operational

OFFLINE SCANS laufen über WINRE

START 2025/06/14 11:06:42:287 TID:1628 PID:1596
INFO 2025/06/14 11:07:07:539 TID:1628 PID:1596
Automatic scan started


INFO 2025/06/14 11:18:25:402 TID:1628 PID:1596
Scan completed successfully, attempting to clean any active malware. Number of threats from scan: 0

INFO 2025/06/14 11:18:25:418 TID:1628 PID:1596
Offline scan completed with 0x00000000

Klingt eigentlich mehr nach defektem Defender. bei mir läuft der Offline-Scan mit der 19045.5965 wie gewohnt ab. keine Veränderungen festgestellt. Auch die msssWrapper.log wird am bekannten Ort erstellt. Auch die Online-Scans laufen wie gewohnt ab.

Eventuell mal versuchen (Eingabeaufforderung mit Adminrechten):
Danach Neustart und im Anschluss den aktuellen Defender über Windows Update neu installieren lassen.

Hallo DK2000,
danke für Deine Antwort.
Leider hat Dein Tipp nicht geholfen. Aber ich habe ggf. was falsch gemacht. Siehe unten:

Ich habe nun per CMD mit Adm Rechte eingegeben:
C:\Program Files\Windows Defender\MpCmdRun.exe -ResetPlatform
hat er gemacht. Dann aber statt Neustart Winupdate ausgeführt.

Er wollte die folgenden KB herunterladen:
KB2267602
KB4052623 wobei dies 2 Versionen waren.

Bei der ersten Version aktueller Kanal kam jeweils der Downloadfehler: 0x80070643 auf. Habe das dann dreimal Wiederholt. Anschließend die Suchmaschine mit dem Code bemüht. Lt. Heise Fehler für WinRe zu klein. Komisch denn es ist auf C und nicht in einer eigenen Partition.

Dann habe ich neu gestartet und nochmal Win update ausgeführt. Win update lief erfolgreich.

Anschließend Offline Scan ausgeführt. Ergebnis: Leider unverändert!
D.h. Das System meldet sich ab, starte neu mit der mit dem Fenster
Defender und dem Grünen Balken. Da öffnet sich keine CMD Fenster und auch kein Zugriff LED lampe Blinkt. Nichts. irgendwann meldet der sich zurück und ich Checke aber es wurde kein neues msssWrapper.log. Das aktuellest msssWrapper.log ist von 23.02.2025.

Was nun? Ich habe es erneut versucht mit der CMD und ADM Rechten mit den Befehl und Ausgabe Kopie:

C:\Program Files\Windows Defender>MpCmdRun.exe -ResetPlatform
CmdTool: Failed with hr = 0x80501116. Check C:\WINDOWS\TEMP\MpCmdRun.log for more information

Frage könnte es an WinRe liegen? In Registry steht:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 10.0.19041.5728

Edit:
meine Version lt. winver ist ja 19045.5965. Ist das das Problem? Soll ich ggf ein Inplace machen? Oder bringt das nichts?

Was Nun? Danke vorab! LG Jeremias

Hallo Holgi, danke für Deine Antwort. Auch wenn DK2000 schreibt es sei alles bei ihm unverändert und ich das umgesetzt habe was er vorgeschlagen hat, ohne Änderung. Ich habe das Offline Tool vom MS genutzt das du mir per Link gesendet hast. Es ist wohl analog zu dem alten KB bösartige Software. Ergebnis ist keine Einträge!

Die msssWrapper.log habe ich gesucht aber kein anderes Verzeichnis gefunden. Lediglich die alten Einträge von Feburar 2025...

Nun der Offline Scan über den Defender läuft ja außerhalb v Win10 in der WinRE. Ich befürchte die funktioniert nicht richtig. In der Registry nachgeschaut steht dort:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 10.0.19041.5728
lt. WinVer habe ich die 19045.5965 komisch! Vielleicht ist das der Grund?

Das Tool von Kaspersky kann ich mal nutzen. Mache ich gleich mal. das Void Everything-1.4.1.1027.x86.Lite-Setup.exe ist auch ein Malwarescanner? Ok. Und Malwarebytes ja das mache ich. Dann bin ich auf der sicheren Seite. Das mit WinRe kapiere ich irgendwie nicht. Kompliziert was da MS sich ausgedacht hat. Nun da bin ich vielleicht das Problem weil ich davon null Ahnung habe...

Also werde ich mir einfach den Offline Scan in Zukunft sparen.

Danke!

Getestet habe ich es bei mir (reale Hardware und VM):

Windows: 19045.5965, WinRE: 19041.5847, Defender Platform: 4.18.25040.2

Habe jetzt auch einmal aus Spaß "MpCmdRun.exe -ResetPlatform" mit sofortigem Neustart ausgeführt. Über Windows Update kamen dann die beiden passenden Updates:
Danach läuft alles ganz normal weiter. Ich kann da im Moment Dein Problem nicht reproduzieren.

Wenn 10.0.19041.5728 bei Dir im Schlüssel "WinREVersion" steht, dann fehlt Dir das letzte Update für die WinRE (SafeOS Update). Aber glaube nicht, dass es daran liegt.

Hallo Dk2000, danke für dein melden und versuch das Problem nachzustellen. Ich weiß nun nicht wie ich das Thema angehen kann. Nun die WinRE ist aktiv. Sonst würde der Offline Scan nicht starten. Woran es liegt und ob ein Inplace hilft keine Ahnung. Ich habe gerade geschaut welches Update mir fehlt aber ich glaube das WinRe Update wird per winupdate und nicht per update Katalog angeboten. winupdate bietet es mir nicht an. Ich meine mein WinRe ist auf Partition mit dem windows und dort sind 17 GB (das ist nicht viel) aber ich denke genügend frei für die WinRe. Keine Ahnung was nun. Ich habe den Offline Scanner böswillige Software geprüft ohne Fund. Der Online Scan war mit 5 Std. Laufzeit war auch ohne Befund aber Rootkits verstecken sich ja schon mal. Mir kommt es halt komisch vor das wenn ich im Updatekatalog herunterladen will und da russische Buchstaben stehen. Habe extra den Browser gewechselt aber analog. Die SHA Key sind ja schon mal abweichend. Aber gerade in der Schulferienzeit bin ich besonders wachsam... Hast du ne Idee was ich machen kann? Vermutlich nicht. Einfach ignorieren? Hmm LG Jeremias

Edit:
Würde ein Inplace mit ISO von Deskmodder was bringen? Denn winupdate bietet mir ja keine Updates an. SFC Scan war ohne Befund. Das wäre evtl. noch eine letzte Option oder Ignorieren. Aber Offline Scan erkennt Rootkits die sich im laufen Online Scan verstecken können wie ich gelesen habe.. WinRE ist ja in Windows Partion u da is noch Diskspace (17 GB) zwar wenig wolle größere SSD einsetzen aber die 17 sollten für WinRE ausreichen...