Fehlerhafte Meldung im Windows Defender löschen

[SaCre]

Hallo zusammen,

wie kann man im Windows Defender die Historie unter Schutzverlauf löschen?
Betriebssystem Windows 11 Pro aktuelle Version und Patchstand. Auch der Windows Defender ist aktuell.

Hintergrund:

Es wurde eine E-Mail mit schadhaftem Anhang im Thunderbird heruntergeladen und frühzeitig erkannt. Entsprechend wurde diese auch gelöscht, bevor sie Schaden anrichten konnte. (Anhang wurde auch nicht geöffnet)

Der Defender meldet diese aber nahezu täglich erneut, mit Angabe des ursprünglichen Datums, wo diese erkannt wurde.

Was wurde schon getan:

• E-Mail wurde zeitnah entfernt und auch die von Thunderbird erstellen beiden Dateien (Datei ohne Endung und .msf), welche Teile der E-Mail enthalten haben, wurden gelöscht und neu erstellt, nachdem sichergestellt wurde, dass diese E-Mail auch nicht mehr auf dem IMAP Postfach existent ist.
• Diverse Anleitung aus der Google Suche wurden versucht, um die Historie Dateien zu löschen, hier laufe ich aber immer wieder gegen die Wand, da Microsoft diese nicht löschen möchte.
  Pfad: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
  • Löschversuch über den Windows Explorer, cmd, Powershell, jeweils mit administrativen Rechten. Per Skript als Aufgabe mit SYSTEM Rechten.
  • Setzen von „Set-MpPreference -ScanPurgeItemsAfterDelay 1“
  • Dieses wurde getestet mit aktiven Windows Defender und auch mit abgeschalteten Windows Defender über die entsprechenden Schaltflächen über Einstellungen
• Eine manuelle Schädlingssuche per Defender „Schnellprüfung, Vollständige Überprüfung und auch Offlineüberprüfung behaupten alle, dass keine Schädlinge gefunden wurden.
• Auch ein ct Bootstick und temporär installierte Virenscanner von anderen Anbietern wie F-Secure und Macrium zeigten keine Funde.
• Da ich mir sicher bin, dass hier nichts mehr ist, wurde im Schutzverlauf „Auf Gerät zulassen“ bestätigt, hier wird der Fund übrigens immer in einem Verzeichnis angezeigt, welches mittlerweile gar nicht mehr existiert.
  Danach ist der Windows Defender wieder grün und am nächsten oder übernächsten Tag, poppt dieselbe Meldung wieder auf.

Das ganze kann nur etwas mit dem Schutzverlauf zu tun haben, dass dieser immer noch nicht ganz verstanden hat, dass das Problem nicht mehr existiert, da ja auch weiterhin ein Verzeichnis angemeckert wird, welches wie gesagt, gar nicht mehr existiert mit einem Datum, was mittlerweile fast 2 Wochen alt ist.

Achja, die Löschen und Quarantäne Funktion über den Windows Defender hatte ich vor all dem natürlich auch schon versucht 😊, aber gerade gehen mir die guten Ideen aus.

Testweise habe ich Thunderbird auf einem anderen System installiert und dasselbe IMAP Postfach eingerichtet und dort meldet sich der Windows Defender auch nicht. Eine Neuinstallation sehe ich hier als keine Option an, da dies, in meinen Augen, nur eine historische Meldung und kein Befall ist.



Vielleicht hat ja noch jemand eine Idee…

 

[dms]

Eventuell hilft die das noch gegen "den Verteidiger"

https://secinfinity.net/so-loschen-sie-den-microsoft-defender-schutzverlauf-windows-11/

 

[jodd2021]

Ich hatte vor ein paar Tagen das selbe Problem und keine brauchbare Lösung gefunden. Habe mir dann so beholfen:

Avast Free Antivirus installiert, einen Scann gemacht der natürlich nix gefunden hat.

Mit den Uninstall Tool von Avast den Spaß wieder entfernt und die fehlerhafte Meldung von Defender war Geschichte.

 

[tRITON]

Wenn imap Konto, dann die email direkt beim Anbieter löschen, sonst wird diese immer wieder gesynced

 

[SaCre]

Eventuell hilft die das noch gegen "den Verteidiger"

https://secinfinity.net/so-loschen-sie-den-microsoft-defender-schutzverlauf-windows-11/

Leider zeigt diese Seite auch nur die Punkte, welche nicht wirklich funktionieren
Versuche gerade mal die Avast Methode, vielleicht klappts ja ;-)

 

[SaCre]

Wenn imap Konto, dann die email direkt beim Anbieter löschen, sonst wird diese immer wieder gesynced

Hatte ich schon erledigt ;-)

Avast ist ja ein gruseliges Tools geworden, hat Sicherheitsprobleme mit meiner Webcam gefunden und wollte mir auch direkt ein passendes Stück Software dafür anbieten, naja, irgendwie habe ich gar keine Webcam ...
Der Schutzverlauf wurde nun bei der Deinstallation nicht bereinigt, aber der Defender ist erstmal wieder grün, dann muss ich wohl abwarten, ob dieser sich in den nächsten Tagen wieder meldet.

 

[purzelbär]

Wegen Defender Schutzverlauf löschen, hast du mal diesen Artikel dazu gelesen? https://www.deskmodder.de/wiki/inde...efender_Windows_Sicherheit_löschen_Windows_10

 

[SaCre]

Ja, spannend ist, dass das schon jemand geschrieben hatte und sein Post und meine Antwort darauf wurden gelöscht. Die Seite war ich schon durchgegangen, aber das passt alles nicht mehr für die aktuelle W11 Version

 

[cyberpirate]

Moin,

versuch mal den Inhalt dieses Ordner zu löschen:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

Defender ist kaputt bzw war schon immer unbedienbar.

Wie kannst du es wagen so etwas zuhaupten? damit verärgerst du ja die ganzen Defender Befürworter hier im Forum. Übrigens ich nutze nicht den Defender.

Ich frage mich wie solche ein Beiträge dem TE jetzt helfen soll?

 

[SaCre]

Genau das lässt Microsoft nicht zu

 

[cyberpirate]

Das löschen? Dann eben mit einer Live Linux Version.

 

[SaCre]

Ich habe mir noch einmal den Punkt „Schutzverlauf mit einem Skript löschen“ von der Deskmodder Seite angesehen, da dort ja auch stand, dass das Beenden des Dienstes seit Feb 2023 blockiert wird, weshalb das Skript dort nicht funktioniert.

Somit bin ich die Punkte gerade nochmal händisch durchgegangen und der Defender blockiert selbst die Beendigung des Dienstes, was dieser auch im Schutzverlauf dokumentiert und was man dort auch mit „Auf Gerät zulassen“ trotzdem ausreichend hinbekommt.

Es sah jetzt nicht so aus, als ob alle Dienste damit sauber beendet werden, aber zumindest wurden Zugriffe auf die Dateien freigegeben. Ausreichend, um diese zu löschen.

Neustarten konnte/brauchte ich den Dienst nicht, da sich dieser wohl im Hintergrund wieder gestartet hatte.

Ich bin wie folgt vorgegangen, möchte aber dabei klarstellen, dass diese Anleitung mit Vorsicht zu genießen ist, da ich aktuell nicht sagen kann, ob dabei komische Dinge passieren 😉

• per RunX.exe (runas Administrator) eine cmd für TrustedInstaller öffnen
• cd C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service # in das Zielverzeichnis wechseln
• sc stop WinDefend # wird vom Defender blockiert, deshalb im Schutzverlauf den Befehl zulassen
• del *.log # alle log Dateien löschen
• del /s /q DetectionHistory # alle Dateien unterhalb vom Ordner DetectionHistory gelöscht, auch in allen Unterverzeichnissen
• mit rmdir alle Unterverzeichnisse von DetectionHistory gelöscht
• Neustart Windows

Möglicherweise hätte es ausgereicht, das detections.log zu löschen.

Mal sehen, wie sich das System in den nächsten Tagen verhält.