Windows Defender Offline Scan bricht ab

[SandihcE]

Hallo,

ich wollte gern den Windows Defender Offline Scan nutzen und habe dabei gemerkt, dass es bei mir damit Probleme gibt. Er lässt sich zunächst problemlos starten, führt dann aber den Scan nicht vollständig aus (100 wird nicht erreicht) und startet Windows neu ohne seine Ergebnisse zu hinterlegen (unter Viren- und Bedrohungsschutz wird der Scan nicht als "Letzte Überprüfung" aufgeführt). Ich mache mir nun aufgrund der Angaben in der Ereignisanzeige Sorgen, dass ich mir etwas eingefangen habe.

Folgendes wird mir dort ausgegeben:

Ereignis ID: 2030

"Windows Defender Antivirus hat Windows Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus."

Ereignis ID: 5007

"In der Konfiguration von Windows Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x1
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0"

Gut 12 min später dann nochmal Ereignis ID: 5007 mit

"In der Konfiguration von Windows Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: Default\IsServiceRunning = 0x0
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1"


Die Wiederherstellungspartition, auf die hier (https://www.computerbase.de/forum/threads/windows-defender-offline-scan.1913912/) verwiesen wurde, ist „Enabled“.

Kann mir jemand weiterhelfen?

 

[Dancefly]

Du könntest das mal testen, wenn der offline Scanner nicht geht, um Schadsoftware auszuschließen.
https://support.kaspersky.com/de/8528

Sollte er was finden, würde ich Windows neuinstallieren, vorher natürlich die wichtigsten Daten sichern.

 

[SandihcE]

Ich habe auf zwei Systemen das gleiche Problem und auf beiden Malwarebytes laufen lassen. Der Scanner hat auf beiden nichts gefunden. Reicht das schon, um einen Befall aususchließen oder muss ich einen Offline Scanner veerwenden?

 

[areiland]

Und wo liegt jetzt das Problem? In Deinen Angaben ist nichts zu entdecken, was tatsächlich auf Probleme hinweisen könnte. Die Statusänderungen sind auf die Anforderung und Beendigung des offline Scans zurückzuführen und die 100% beim Scan sind ein geschätzter Wert, der den gesamten Vorgang einschliesst. Geloggt werden zudem nur Funde, aber nicht der Scanvorgang an sich.

 

[SandihcE]

Und wo liegt jetzt das Problem? In Deinen Angaben ist nichts zu entdecken, was tatsächlich auf Probleme hinweisen könnte. Die Statusänderungen sind auf die Anforderung und Beendigung des offline Scans zurückzuführen und die 100% beim Scan sind ein geschätzter Wert, der den gesamten Vorgang einschliesst. Geloggt werden zudem nur Funde, aber nicht der Scanvorgang an sich.

Vielleicht liegt das Problem in meiner (falschen?) Erwartung an die Software. Ich bin davon ausgegangen, dass ich an irgendeiner Stelle eine Information über das Ergebnis des Scans bekomme, auch wenn dieser nichts gefunden hat. Nachdem mir nach dem Neustart nichts dergleichen angezeigt wurde, habe ich unter Viren- und Bedrohungsschutz nachgesehen. Dort wird der Windows Defender Offline Scan weder im Scanverlauf noch als "Letzte Überprüfung" geführt. Ist das richtig so? Bedeutet keine Rückmeldung, dass nichts gefunden wurde und alles in Ordnung ist?

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

In diesem Video sieht es so aus als müsste der Scan unter Viren- und Bedrohungsschutz vermerkt werden.

 

[areiland]

Nö, der Defender offline vermerkt nur Auffälligkeiten.

 

[ciscoccna]

Zunächst ein Hallo an die ganze Forum community v.a. an die Admins.

Ich habe das gleiche "Problem" . V.a. aus diesen Grund=> Ereignis ID: 5007: "In der Konfiguration von Windows Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.

1. Warum wird hier die Schadsoftware erwähnt ?

2. kann mir jemand bestätigen ob folgende winDef logfile ok sind ?
2021-04-12T13:23:32.268Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-12T13:23:32.440Z Version: Product 4.18.1909.6 Service 4.18.1909.6 Engine 0.0.0.0 AS 0.0.0.0 AV 0.0.0.0
2021-04-12T13:26:26.561Z Version: Product 4.18.1909.6 Service 4.18.1909.6 Engine 1.1.18000.5 AS 1.335.693.0 AV 1.335.693.0
2021-04-12T13:36:55.643Z Service stopped with exit code 0x0
2021-04-12T13:36:57.288Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-12T13:36:57.616Z Service stopped with exit code 0x0
2021-04-12T13:37:00.679Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-12T13:37:03.367Z Version: Product 4.18.1909.6 Service 4.18.1909.6 Engine 1.1.18000.5 AS 1.335.693.0 AV 1.335.693.0
2021-04-12T14:01:07.385Z Service stopped with exit code 0x0
2021-04-12T14:01:10.437Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-12T14:01:10.963Z Service stopped with exit code 0
2021-04-14T23:57:02.703Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-14T23:57:05.453Z Version: Product 4.18.2103.7 Service 4.18.2103.7 Engine 1.1.18000.5 AS 1.335.878.0 AV 1.335.878.0
2021-04-15T15:34:17.149Z Version: Product 4.18.2103.7 Service 4.18.2103.7 Engine 1.1.18000.5 AS 1.335.889.0 AV 1.335.889.0
2021-04-15T17:47:00.892Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-15T17:47:03.407Z Version: Product 4.18.2103.7 Service 4.18.2103.7 Engine 1.1.18000.5 AS 1.335.889.0 AV 1.335.889.0
2021-04-17T21:23:47.198Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-17T21:23:51.398Z Version: Product 4.18.2103.7 Service 4.18.2103.7 Engine 1.1.18000.5 AS 1.335.1040.0 AV 1.335.1040.0
2021-04-17T21:34:16.390Z Service stopped with exit code 0
2021-04-17T21:34:19.334Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-17T21:34:20.025Z Service stopped with exit code 0
2021-04-19T08:01:26.486Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-04-19T08:01:29.702Z Version: Product 4.18.2104.5 Service 4.18.2104.5 Engine 1.1.18000.5 AS 1.335.1183.0 AV 1.335.1183.0
2021-05-03T17:33:17.689Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-03T17:33:19.970Z Version: Product 4.18.2104.5 Service 4.18.2104.5 Engine 1.1.18000.5 AS 1.335.1206.0 AV 1.335.1206.0
2021-05-03T17:34:50.568Z Version: Product 4.18.2104.5 Service 4.18.2104.5 Engine 1.1.18100.5 AS 1.337.518.0 AV 1.337.518.0
2021-05-03T17:44:27.365Z Service stopped with exit code 0
2021-05-03T17:44:29.303Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-03T17:44:29.897Z Service stopped with exit code 0
2021-05-03T17:44:32.936Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-03T17:44:35.730Z Version: Product 4.18.2104.7 Service 4.18.2104.7 Engine 1.1.18100.5 AS 1.337.518.0 AV 1.337.518.0
2021-05-04T08:02:47.133Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-04T08:02:49.998Z Version: Product 4.18.2104.7 Service 4.18.2104.7 Engine 1.1.18100.5 AS 1.337.564.0 AV 1.337.564.0
2021-05-04T08:13:04.177Z Service stopped with exit code 0
2021-05-04T08:13:07.186Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-04T08:13:12.980Z Service stopped with exit code 0
2021-05-04T08:31:08.019Z Service started - Microsoft Defender Antivirus (77BDAF73-B396-481F-9042-AD358843EC24)
2021-05-04T08:31:10.691Z Version: Product 4.18.2104.9 Service 4.18.2104.9 Engine 1.1.18100.5 AS 1.337.572.0 AV 1.337.572.0

zusätzliche info :
Es handelt sich um einen nuen PC , Win10ver20H2 , wo eine vorinstallierter Bitdefender vorhanden war und trotz einstall der win def nicht aufrufbar war. Dannach habe ich sogar Avira installiert und deinstalliert, mit dem Ergebnis dass der Windef weiterhin nicht aufrufbar war. Erst nach einem zurücksetzen des win , konnte ich endlich den winDef nutzen.

3: infos aus dem Ereignisanzeige in Bezug auf den WinDef:

-

System

- Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}

EventID 4672

Version 0

Level 0

Task 12548

Opcode 0

Keywords 0x8020000000000000

- TimeCreated [ SystemTime] 2021-05-04T19:42:59.9669591Z

EventRecordID 28350

- Correlation [ ActivityID] {bd9afee7-4118-0006-29ff-9abd1841d701}

- Execution [ ProcessID] 888 [ ThreadID] 7696

Channel Security

Computer DESKTOP-KNEK3PV

Security

-

EventData

SubjectUserSid

S-1-5-18

SubjectUserName

SYSTEM

SubjectDomainName

NT-AUTORITÄT

SubjectLogonId

0x3e7

PrivilegeList

SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege

Muss ich mir Sorgen machen ?

Vielen Dank im voraus.

MfG
ciscoccna

 

[areiland]

Die Erwähnung der Schadsoftware ist ein Beispiel, warum die Konfiguration geändert worden sein könnte. Tatsächlich ist doch aber wohl die Installation und Deinstallation von Bitdefender und Avira der Grund gewesen. Denn das führt nun mal jedesmal zu einer solchen Änderung, weil sich die ja schliesslich als Echtzeitscanner an- und abmelden am System, was den Defender als Echtzeitschutz deaktiviert. Und das muss nun mal zu solchen Meldungen führen!

Dass der Defender nicht direkt wieder ansprang, lag mit grosser Wahrscheinlichkeit einfach nur daran, dass Du Bitdefender und/oder Avira nicht mit den Removal Tools der Hersteller vollständig beseitigt hattest.

 

[ciscoccna]

Danke für die rasche Antwort : Also kann ich davon ausgehen, dass mit meinem System alles ok ist in Bezug auf Schadsoftware? Sorry dass ich nochmal nachfrage,jedoch bin ich wirklich ein paranoider Mensch.

eine bitte habe ich noch: ich habe in Bezug auf das lange winDef log file einen weiteren thread erstellt:
hier der link: https://www.computerbase.de/forum/threads/windef-log-file.2021025/#post-25602247

Kann ich Dich bitten dies auch noch zu beurteilen? Würde mich sehr freuen.
P.s. die log filer habe ich als datei upload hinzugefügt da der text zu lange war. Ist aber eine normale .txt Datei .

Danke im voraus solong ciscoccna

 

[ciscoccna]

Dass der Defender nicht direkt wieder ansprang, lag mit grosser Wahrscheinlichkeit einfach nur daran, dass Du Bitdefender und/oder Avira nicht mit den Removal Tools der Hersteller vollständig beseitigt hattest.

nein, ich habe jeweils die notwendigen deinstalls verwendent. Und erst ein zurücksetzen des Win half.

 

[Michele Halagar]

Grabe das Thema neu aus, weil bei Start von Defender Offline Scann überhaupt nichts passiert. Startet nicht. Vor etlichen Wochen ist der noch ohne Probleme gestartet. Dann hatte Defender im Verlauf der Zeit mehrere Sachen gefunden und in Quarantäne gesteckt. Könnte man die total löschen und falls ja, wie? Danke Michele

 

[JX666]

Grabe das Thema neu aus, weil bei Start von Defender Offline Scann überhaupt nichts passiert. Startet nicht. Vor etlichen Wochen ist der noch ohne Probleme gestartet. Dann hatte Defender im Verlauf der Zeit mehrere Sachen gefunden und in Quarantäne gesteckt. Könnte man die total löschen und falls ja, wie? Danke Michele

Den PC würde ich als kompromittiert betrachten. Ich würde empfehlen, dass du eine Windows 10 Clean Install durchführst, damit das Betriebssystem wieder vertrauenswürdig ist.
Zusätzlich macht es Sinn, dass du alle Passwörter von deinen Konten änderst und 2FA aktivierst, sofern die Konten die Möglichkeit dazu haben.

Wie lange hast du den PC nach entdecken der Schadsoftware noch genutzt?

Viele Grüße

 

[Michele Halagar]

Lieber JX666, danke Dir für den Hinweis auf clean Install. Meintest Du, ich soll Windows 10 vollkommen neu installieren? Aber das kann ich nicht, weil keine Ahnung wie das geht und auch, weil dann alle anderen Daten weg wären. Oder meintest Du, den MCT-Stick nehmen und die Reparatur damit versuchen? Das könnte klappen, wenn mir jemand schreibst, step by step , was ich dann alles machen muss und wie. Ist weniger komliziert denke ich. Noch schöne Pfingsten Michele

 

[purzelbär]

Michele, so schwer ist eine Windows 10 Neuinstallation gar nicht, dazu gint es genug gute Anleitungen im www: https://www.deskmodder.de/wiki/index.php/Windows_10_clean_neu_installieren https://www.trojaner-board.de/51262-anleitung-neuaufsetzen-systems-windows-10-uefi.html voher musst du aber eine Datensicherung dir wichtiger Dateien wie Fotos, Musik, Dokumente usw. machen auf ein externes Speichermedium wie eine USB Festplatte, die nicht verloren gehen sollen.

 

[JX666]

Lieber JX666, danke Dir für den Hinweis auf clean Install. Meintest Du, ich soll Windows 10 vollkommen neu installieren? Aber das kann ich nicht, weil keine Ahnung wie das geht und auch, weil dann alle anderen Daten weg wären. Oder meintest Du, den MCT-Stick nehmen und die Reparatur damit versuchen? Das könnte klappen, wenn mir jemand schreibst, step by step , was ich dann alles machen muss und wie. Ist weniger komliziert denke ich. Noch schöne Pfingsten Michele

@purzelbär Hat es schon echt mega gut erklärt.
Ich denke auch, dass es genügend einfache Anleitungen im Internet gibt, die dir Step-by-Step erklären wie du eine Windows 10 Neuinstallation vornehmen kannst.

Auf dem neuen System würde ich definitiv ein Backup anlegen. Zu empfehlen wären hier Programme wie z.B. Aomei Standard Backupper oder Macrium Reflect

Viele Grüße

 

[purzelbär]

Auf dem neuen System würde ich definitiv ein Backup anlegen. Zu empfehlen wären hier Programme wie z.B. Aomei Standard Backupper oder Macrium Reflect

Nicht auf dem System ein Backup anlegen sondern vom neuen Windows 10 Backups machen auf eine externe USB Festplatte. Und warum Aomei Backupper Standard nehmen, wenn man Aomei Backupper Pro kostenlos als Jahreslizenz bekommt: https://www.google.com/search?q=aom...ABeACAAQCIAQCSAQCYAQDIAQrAAQE&sclient=gws-wiz

 

[JX666]

Nicht auf dem System ein Backup anlegen sondern vom neuen Windows 10 Backups machen auf eine externe USB Festplatte. Und warum Aomei Backupper Standard nehmen, wenn man Aomei Backupper Pro kostenlos als Jahreslizenz bekommt: https://www.google.com/search?q=aomei+backupper+pro+–+kostenlose+vollversion+für+1+jahr&client=firefox-b-d&ei=w9qcYrKVKNjwkgXUz6yADw&oq=Aomei+Backupper+Pro&gs_lcp=Cgdnd3Mtd2l6EAEYATIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQRxCwAzIHCAAQsAMQQzIHCAAQsAMQQ0oECEEYAEoECEYYAFAAWABg_hdoAXABeACAAQCIAQCSAQCYAQDIAQrAAQE&sclient=gws-wiz

Das stimmt, da hast du einen guten Punkt. Ich habe es tatsächlich nicht gut beschrieben. Selbstverständlich sollte das Backup extern auf ein Speichermedium geschrieben werden.

Das wusste ich gar nicht, dass es die Pro Version auch kostenlos gibt. Bisher habe ich aber nicht mehr als die Standard Version gebraucht. Benutzt du die Pro Version?

 

[Michele Halagar]

Liebe Heinzelmännchen, erstmal vielen herzlichen Dank für Eure Mühen mit mir. Bin schon sehr dumm und lerne kaum etwas hinzu. Im 87. Lj. und als Pflegepatient sollte ich die Sache am PC aufgeben. Aber dann bin ich total isoliert. Denn ich kann nicht raus aus Haus, nicht gut sehen (muss mit Lupe vom Monitor lesen) und auch nicht gut hören. Keine Hilfen aus Youtube ziehen. Spreche kein englisch. Nur Mailverkehr möglich zur Außenwelt. Ist der einzigste Kanal. Jedes mal wenn ich den PC anschalte habe ich Ängste, falls er streikt, habe niemand der mir helfen könnte, wenn, dann nur die lieben Heinzelmännchen im Forum. Und die verstehen bei Ihren Ratschlägen oft nicht, dass ich die einfachsten Sachen nicht verstehe. Für die ist das dass kl. Einmaleins am PC und für mich sowas wie eine Gleichung mit 3 Unbekannten in der 4. Dimension. Themenwechsel, frage jetzt hier, ob ich alles richtig verstanden habe. Will neue, leere HDD kaufen, stecke die in PC, stecke den USB Stick mit Cr-Tool in USB, Starte PC mit F2. der Stick startet die Installation. Als Lizenz, kann ich da den Code angeben, den ich damals vom PC- Verkäufer mitbekommen hatte? Den hatte ich ja auch bezahlt, für das derzeitige Wds.10. Bei Installation werden sicherlich ne Menge Fragen und Einstellungen auftauchen, auf die ich vielleicht keine Antworten habe oder etwas falsch einrichte und somit den PC für jeden, von außen, unfreiwillig zum offenen Tor mache. Das alles plagt mich und raubt mir die Nächte. Deswegen die derzeitigen Versuche, an dem jetzigen System nichts zu ändern, obwohl das bestimmt schon etliche Fehler hat, aber irgendwie noch benutzbar ist. Daher auch die Angst, warum der" offline Defender" nicht mehr läuft. Kann ihn anklicken, kommt Abfrage ob ich die APP wirklich nutzen will. Gebe mein Ok, alles bis dahin total normal. Nur, es tut sich nichts. Auch nach Std. nichts. PC geht nicht an oder aus oder offline und startet auch nicht von selbst, bleibt still an. Nochmal für Eure Mühe, vielen herzlichen Dank, hoffe, wenn Ihr auch mal so alt seit, dass Ihr auch dann Heinzelmännchen für Euch habt. Meine Erfahrung sagt mir aber, die werden von Jahr zu Jahr weniger, aber dafür mehr Meckerer und Wichtigtuer. Statt zu helfen, kritisieren manche nur. Michele

 

[Michele Halagar]

Hallo Spezialisten,
kann mir denn von den vielen Könnern und Kennern zu Nr. 18 was schreiben, ob es so richtig ist, eine neues Windows so zu installieren? Die Arbeitsabläufe? Oder sind da meine Vorstellungen falsch oder zu grob. Oder ist es noch komplizierter als ich mir das hier vorstelle? Liebe Grüßen Michele