Windows Defender findet Bedrohung, Schutzverlauf jedoch leer?

[Cinematic]

Hallo zusammen,

eine Bedrohung wurde gefunden:

Der Verlauf ist aber leer. Warum? Und wie kann ich nun herausfinden was für eine Bedrohung das war?

 

[3dfx]

Die Bedrohung kann auch wo anders sein, ich hatte mal den Fall wo ich etwas in den Einstellung deaktiviert hatte, bei einem Scann wurde dann das als Bedrohung identifiziert.
Wenn du dir dennoch unsicher bist, scanne mit einem anderen Scanner außerhalb von Windows, zum Beispiel damit : https://support.kaspersky.com/de/14227

 

[Hauro]

Vermutlich ein Fehler.

Wiederherstellen isolierter Dateien in Microsoft Defender AV | Microsoft Docs

Verwandte Artikel

• Verwenden von PowerShell-Cmdlets zum Überprüfen der Scanergebnisse | Microsoft Docs

Wird etwas blockiert, wird dies unter 'c:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\ abgelegt.'


Windows-Tool zum Entfernen bösartiger Software (64-bit)

Das Windows-Tool zum Entfernen bösartiger Software (MSRT) schützt Windows vor weit verbreiteter Schadsoftware. MSRT findet und entfernt Bedrohungen und macht Änderungen rückgängig, die von diesen Bedrohungen vorgenommen wurden. MSRT wird in der Regel monatlich als Teil von Windows Update geliefert oder hier als eigenständiges Tool zum Herunterladen bereitgestellt.

Was steht in c:\Windows\debug\mrt.log - Windows-Tools zum Entfernen bösartiger Software (KB890830)? Wird meist mit dem Update am ersten Dienstag heruntergeladen und ausgeführt.

 

[Cinematic]

@3dfx Danke, das werde ich mal machen. Damit ich das besser planen kann: wie lange dauert so ein Scan wohl? Meine PC-Details sind in der Signatur zu sehen.

Sollte ich das so lassen? Damit würden ja nur OS-Files und Boot-Sektoren gescannt werden, was vermutlich auch das wichtigste ist. Aber wenn das nicht signifikant länger dauert, lohnt es sich ggf. auch ALLES scannen zu lassen? Hab ca. 1TB an Programmen und Daten, verteilt auf zwei interne SSDs.

@Hauro

Microsoft Windows Malicious Software Removal Tool v5.91, (build 5.91.18330.1)
Started On Wed Jul 14 13:27:33 2021

Engine: 1.1.18200.4
Signatures: 1.341.1182.0
MpGear: 1.1.16330.1
Run Mode: Scan Run From Windows Update

Results Summary:
----------------
No infection found.
Successfully Submitted Heartbeat Report
Microsoft Windows Malicious Software Removal Tool Finished On Wed Jul 14 13:29:42 2021

Return code: 0 (0x0)

Das ist der neueste Eintrag (14. Juli). Jedoch scheinen hier keine Quick-Scans aufgeführt zu sein, denn die Bedrohung wurde ja in einem Quick-Scan am 16. Juli gefunden.

 

[Hauro]

denn die Bedrohung wurde ja in einem Quick-Scan am 16. Juli gefunden.

Ich gehe von einem Fehler aus.

Einfach das PowerShell-Cmdlet zum Überprüfen der Scanergebnisse Get-MpThreatDetection ausführen.

 

[Cyberskunk77]

Kaspersky oder Bitdefender unter einem Live-Linux den PC scannen lassen. Ich bevorzuge mittlerweile Bitdefender nachdem ein Scan mit Kaspersky auf dem PC einer Bekannten mehrfach kommentarlos abbrach.
https://www.heise.de/download/product/bitdefender-rescue-cd-56298

Verrückt machen lassen würde ich mich zunächst aber nicht, denn Fehlalarme kommen öfter mal bei allen
AV-Programmen vor.

 

[Hauro]

Da hab ich auch noch etwas: Desinfec’t 2021 | c't | Heise Magazine

Die c’t-Ausgabe 12/21 mit Desinfec’t 2021 gibt es auch im heise Shop als Print- und Digital-Ausgabe für 5,50 Euro. Da sind Avast, Eset, F-Secure und Sophos dabei.

Das Medium sollte aber auf einer anderen Gerät erstellt werden, von das sauber sein muss.

 

[Cinematic]

@Hauro Das habe ich versucht, jedoch passiert dabei nichts bei mir. Dabei habe ich PowerShell sogar als Administrator ausgeführt.

@Cyberskunk77 Danke für den Tipp!

 

[Nobody007]

@Cinematic
Das Problem hatte ich auch schon, bin dem aber nie nachgegangen, da ich dachte es handelt sich um einen Anzeigefehler.

 

[.Silberfuchs.]

Hatte ich auch letztens. Wird ein Bug sein - im Protokoll war nix von Bedrohungen zu sehen.

 

[Hauro]

Dabei habe ich PowerShell sogar als Administrator ausgeführt.

Dann wurde vermutlich nichts gefunden.

---

Anti Malware Testfile (EICAR-Testdatei | Wikipedia)

Beim Download schlägt Windows-Sicherheit (Defender) sofort an:

Info-Center

Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

Lernen Sie das neue plattformübergreifende PowerShell kennen – https://aka.ms/pscore6

PS C:\Windows\system32> Get-MpThreatDetection


ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 1
DetectionID                    : {97DEF89E-70F0-4376-BEBC-279209985B79}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 10.10.2020 20:36:09
LastThreatStatusChangeTime     : 10.10.2020 21:00:25
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 10.10.2020 21:00:25
Resources                      : {file:_C:\Users\riyousha\Downloads\clipgrab-3.8.14-cgorg.exe.part}
ThreatID                       : 268653
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 104
PSComputerName                 :

ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 3
CurrentThreatExecutionStatusID : 1
DetectionID                    : {621D718A-8C7C-4F74-8495-92069916E8D7}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 11.10.2020 10:48:17
LastThreatStatusChangeTime     : 11.10.2020 10:57:07
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 11.10.2020 10:57:07
Resources                      : {file:_C:\Users\riyousha\Downloads\clipgrab-3.8.14-cgorg.exe.part}
ThreatID                       : 268653
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 104
PSComputerName                 :

ActionSuccess                  : True
AdditionalActionsBitMask       : 0
AMProductVersion               : 4.18.2106.6
CleaningActionID               : 2
CurrentThreatExecutionStatusID : 1
DetectionID                    : {459C10CB-BA08-4972-8FF2-372A5B5F6BD1}
DetectionSourceTypeID          : 3
DomainUser                     : WORKSTATION\riyousha
InitialDetectionTime           : 17.07.2021 15:29:44
LastThreatStatusChangeTime     : 17.07.2021 15:30:04
ProcessName                    : C:\Program Files\Mozilla Firefox Nightly\firefox.exe
RemediationTime                : 17.07.2021 15:30:04
Resources                      : {file:_C:\Users\riyousha\AppData\Local\Temp\Xep1LJFZ.com.part}
ThreatID                       : 2147519003
ThreatStatusErrorCode          : 0
ThreatStatusID                 : 3
PSComputerName                 :

(Safe) Safe Browsing Testing Links

 

[abulafia]

Naja, der Defender halt.

Ich bevorzuge auch Bitdefender, alternativ halt Kaspersky oder Norton. Im Zweifel noch F-Secure.

 

[Hauro]

Jede Antivirensoftware hat Fehlalarme:
False Alarm Test | AV compaeratives

False Alarm ... Represents the amount of wrongly detected clean samples. (Lower is better)

Dies ändert sich aber ständig.

 

[Cyberskunk77]

Ich bevorzuge auch Bitdefender, alternativ halt Kaspersky oder Norton. Im Zweifel noch F-Secure.

Bitdefender Rescue war auch eher was für meine Bekannte, da es ziemlich intuitiv zu bedienen ist. Gefunden wurde auf ihrem PC glücklicherweise nur halbwegs harmlose Adware, die dann nach dem Scan auch restlos
beseitigt wurde.

 

[clooney77]

Du kannst festlegen, wie Defender mit gefundenen Bedrohungen umgeht. In deinem Fall hat er etwas gefunden und entfernt (damit hast du "0 Bedrohungen"). Alternativ kannst du gefundene Objekte in Quarantäne setzen lassen. Dass ist dann sinnvoll, wenn es sich um einen false positiv handelt, den du vielleicht auf die Ausschlussliste setzen willst.

 

[Cyberskunk77]

Dass ist dann sinnvoll, wenn es sich um einen false positiv handelt, den du vielleicht auf die Ausschlussliste setzen willst.

So z. B. die beliebten "Game Trainer", welche die AV-Programme gerne blocken. Nicht zu Unrecht, denn diese
kleinen Cheat-Programme weisen halt oft ein Verhalten auf, das einem Virus ähnlich ist.