Versentlich "allowed Threat" bei Windows Defender zurücknehmen

[XamBonX]

Ich habe ne .exe kompiliert von meinem code, und zack hat Win 10 Defender eine Gefahr gemeldet, soweit, sogut.

Ich hab dann auf "Allow on this Device" geklickt und erstmal solange die .exe kompiliert bis ich zufrieden war. Dann wollte ich die Ausnahme entfernen und müsste feststellen, dass es die Option gar nicht gibt.

In der "Protection History" taucht das auf, aber da ist auser "Learn More" nichts mehr. Keine Option zum zürcknehmen, kein gar nichts.

Weiß jemand wo man im Windows Defender erlaubte Gefahren wieder zurücknehmen kann?

Also in Beispiel-Bilder (nicht meine .exe), ich hatte das gemacht bei der kompilierter .exe:

und nach dem Zulassen, wollte ich dann im Schutzverlauf das Zulassen wieder wegnehmen. Da ist aber keine Option dafür.

 

[Conqi]

Einfach mal gefragt: warum willst du das zurücknehmen? Du hast ja im Endeffekt nur diese exe zugelassen und nicht eine Lücke generell.

 

[XamBonX]

Ja, eben, ich habe diese .exe erlaubt, und nun weiß ich nicht ob nach dem testen und kompilieren die .exe immer noch Alarm schlägt bei einem Rechner der das nicht zugelassen hat.

Ich muss das wissen.

 

[PC295]

Du musst unter "Zulässige Bedrohungen", nicht im Schutzverlauf, schauen.
Dort gibt es dann einen Button "Nicht zulassen":

 

[TorenAltair]

kleiner allgemeiner Tipp.. Software im Development testet man meist in VMs.

 

[XamBonX]

Ich find die Option bei mir nicht...wo issen die?? Hab natürlich WIn 10 in Englisch...🤦‍♀️

kleiner allgemeiner Tipp.. Software im Development testet man meist in VMs.

Ja, ich weiß, Asche auf mein Haupt.

 

[PC295]

wo issen die

Aktuelle Win 10 Version:

 

[XamBonX]

Du musst unter "Zulässige Bedrohungen", nicht im Schutzverlauf, schauen.
Dort gibt es dann einen Button "Nicht zulassen":

Anhang anzeigen 1538961

Also da ist jetzt was komisch:

Habe ich jetzt bei mir. Ich hab nochmal die .exe kompiliert die vorhin Alarm geschlagen hat, und die .exe schlägt nun keinen Alarm.

 

[PC295]

Der Screenshot im Eröffnungspost zeigt, dass die Datei bereits im Temp-Ordner abgefangen wurde, nicht im Arbeitsverzeichnis...
Es sieht auch so aus, ob würde ein zufälliger Dateiname während des Kompilierens erzeugt werden.
Eventuell taucht der Eintrag deswegen nicht mehr auf.

 

[XamBonX]

Das Screenshot war ein Beispiel-Screenshot, meine .exe wirft ja keinen Alarm mehr aus. Wollte es halt mit Bild zeigen was ich meinte. Bilder sagen mehr als Worte.

 

[PC295]

Dann wird die Einstellung hinfällig sein.
Du kannst noch unter "Einstellungen verwalten" (Manage settings) -> Ausschlüsse (Exclusions)
schauen, ob was eingetragen ist.

Ansonsten sind keine Ausnahmen mehr aktiv.

 

[BFF]

Hab natürlich WIn 10 in Englisch...

Erlaubter... Allowed...

 

[XamBonX]

Ich weiß, schon gefunden. Siehe https://www.computerbase.de/forum/t...defender-zuruecknehmen.2215896/#post-29928162 , da is aber nix 😔 ...scheiße...und nu?

Dann wird die Einstellung hinfällig sein.
Du kannst noch unter "Einstellungen verwalten" (Manage settings) -> Ausschlüsse (Exclusions)
schauen, ob was eingetragen ist.

Ansonsten sind keine Ausnahmen mehr aktiv.

In Exclusions is auch nix. Aber siehe oben, ich hab die .exe die vorhin Alarm geschlagen hat, nochmal kompiliert in der Version, und nun nix. Trotzdem tauch die nirgendwo auf.

Edit: Gerade die gleiche .exe auf einem Schlappi probiert mit Win 10, da schlägt es wieder Alarm. Also irgendwo auf meinem PC muss die Ausnahme versteckt eingetragen sein 😢. Was ist das wieder für ein riesengroßer Scheißhaufen von Windows...

 

[BFF]

Schalt den Defender fuer den Moment ab und lad Deine EXE zur Pruefung nach Microsoft hoch.
Hab ich mit meinem AutoIT Krams damals auch schon machen muessen. @XamBonX

https://www.microsoft.com/en-us/wdsi/filesubmission
https://learn.microsoft.com/en-us/defender-office-365/air-report-false-positives-negatives

Da alles Eintragen was wichtig ist und abwarten.

Wenn der Automat nix findet ist spaetestens beim naechsten SignaturUpdate des Defenders das Problem weg.
Sollte der Automat mosern, lass die Pruefung erneut machen. Irgendwann schaut da ein Mensch drueber.

Kannst Du fuer Deinen Kompiler Pfade anlegen wo hin kompiliert wird und welches TEMP benutzt wird? Wenn ja mach da einen extra Ordner ausserhalb des Profiles und erklaere den Ordner als Ausschluss.

 

[JennyCB]

Als Entwickler hat man eigentlich seine Verzeichnisse ausgegrenzt vor dem Defender.
So etwas wie Add-MpPreference -ExclusionPath

 

[areiland]

@JennyCB
Diese Erfahrung musste ich auch machen, nachdem der Defender fast jede Neukompilierung mit Blockaden beantwortete. Erst der Ausschluss der Debug und Release Ordner löste das.

 

[PC295]

Aber siehe oben, ich hab die .exe die vorhin Alarm geschlagen hat, nochmal kompiliert in der Version, und nun nix.

Der Defender verwendet einen Zwischenspeicher, um Dateien nicht jedesmal erneut scannen zu müssen.
Den kannst du über System -> Storage -> Temporary Files -> Microsoft Defender Antivirus bereinigen.