[Abigail]

Hi Fans,
ich würde gerne den Defender weiter nutzen, aber mich nervt diese Schadsoftware gefunden UND gelöscht Aktion.
Ich finde keine Aktion wie bei einigen anderen Virenscannern, dass er mich vor dem Löschen wenigstens FRAGT.
Es gibt ja viele (auch Freeware) Programme, die von Schutzprogrammen heuristisch als Schadsoftware eingestuft werden. Wenn ich also aus dem Internet z.B. eine Datei herunterladen möchte, lässt mich der Defender schön alles runterladen um mir dann am Schluss zu sagen, Sorry, war wohl nix. Und komplettes Abschalten und dann ins Internet zu gehen um den Download zu wiederholen, kann ja wohl nicht die Lösung sein.
Gibt es also eine Möglichkeit mit dem aktivierten Defender die vermeintliche Schadsoftware wahlweise zu löschen oder zu behalten?

MfG,

Abigail

[moinmoin]

Wenn etwas in Quarantäne gesteckt wird findest du es im Reiter Verlauf/Details einblenden.
Dort kannst du dann auswählen, was passieren soll.

[Doodle]

Zitat (Abigail: 03. April 2016 - 10:11)

Wenn ich also aus dem Internet z.B. eine Datei herunterladen möchte, lässt mich der Defender schön alles runterladen um mir dann am Schluss zu sagen, Sorry, war wohl nix.

Wenn du das nicht willst, dann musst du den Echtzeitschutz vor dem Download abschalten. Aber das ist ja eigentlich nicht Sinn der Sache.

[Samstag]

Seltsam. Ich nutze den Defender jetzt seit 2008, und bisher hab ich noch kein False positive erhalten. Wenn der Defender dann mal angesprungen ist war es ein Positive, ohne wenn und aber.
Deswegen meine Frage: Kannst du hier mal einen Link zu so einer fragwürdigen Datei posten?
Oder, vielleicht doch besser, hier oder hier mal zur Überprüfung hochladen?
Kannst du sicher ausschliessen dass du schon einen Befall hast und der Defender deswegen seltsam reagiert? Den Fall hatte ich vor 2, 3 Jahren bei Bekannten. Da ging auch kein Download mehr aufgrund Malwarebefall. Allerdings hat die Malware da im G-Data rumgewütet.

Dieser Beitrag wurde von Samstag bearbeitet: 03. April 2016 - 12:01

[Abigail]

Erst Mal Danke für die Antworten, Ihr habt das Problem richtig erkannt.

Zu moinmoin: Wäre toll, aber Quarantäne ist (bei mir) seit Windows 8 nicht mehr. Brutal gelöscht UND überschrieben.

Zu Doodle: Eben, genau das möchte ich nicht.

Zu Samstag: Momentan kann ich Dir hier mal nur ein Beispiel nennen, weil ich gerade davon gefrusted die Frage gestellt hatte. Ist ein Progrämmchen, das die Neugier (auch) von Windows 10 etwas einschränkt. Ist von Computerbild annonciert unter:

http://www.computerb...n-11225850.html

In der Beschreibung heisst es unter anderem:

Hinweis: Manche Sicherheits-Programme melden das Tool „Ereignisanzeige löschen“ als Schadprogramm und verweigern den Download oder die Nutzung. Hierbei handelt es sich um einen Fehlalarm. Sollten Sie davon betroffen sein, fügen Sie das Tool „Ereignisanzeige löschen“ in den Programmeinstellungen Ihrer Antivirus-Software als Ausnahme hinzu.

Ach ja, schwachsinnigerweise läßt mich der Defender JEDES .RAR oder .ZIP downloaden, um dann erst beim Entpacken zuzuschlagen. Ich habe in den Ausnahmeeinstellungen jedwede .EXE Datei als vertrauenswürdig eingestuft, aber der Defender ignoriert es ganz einfach. Sehr clever ist übrigens auch, das er (z.B. unter XP auf HD gespeicherte) Files in Subdirectories übersieht, beim Brennen auf CD oder DVD aber dann das vermeintlich infizierte File löscht und das Brennprogramm dann freudig in die Hände klatscht. Seit Win 10 und einigen zerschossenen Medien verfahre ich dann nach Doodles Vorschlag, aber manchmal vergisst man es halt und dann ist nicht nur der Rohling Müll, sondern auch das Programm, weil ja der Defender locker gelöscht hat

Dieser Beitrag wurde von Abigail bearbeitet: 03. April 2016 - 19:00

[DK2000]

Wer weiß, was die da wieder gepackt haben. Muss das gleich mal testen.

Prinzipiell brazchst Du aber dafür kein extra Tool, das geht auch mit Boardmitteln in der Powershell:

wevtutil el | Foreach-Object {Write-Host "Leere $_"; wevtutil cl "$_"}

bzw. als Batch (*.cmd):

@echo off for /F "tokens=*" %%X in ('wevtutil.exe el') DO (call :clear_eventlogs "%%X")
goto :eof

:clear_eventlogs
echo Leere %1
wevtutil.exe cl %1
goto :eof

Das löscht auch zuverlässig alle Einträge in allen Ereignisanzeigen.

---

Unter Windows 8.1 schlägt der Defender nicht an, aber dieses Tool ist auch nichts anderes als eine *.bat, welche mittels Konverter zu einer *.exe gemacht wurde. Führt letztendlich auch nur die wevtutil.exe in einer FOR Schleife aus. also nichts wirklich besonderes.

[Abigail]

Hi Admin, ist ja recht.
War auch nur, weil mir gerade das als Beispiel noch im Gedächtnis war
Die hatten auch erst das von Dir o.a. Batchfile veröffentlicht und das läuft bei mir im Startup auch ganz flüssig, da aber in Ihrem neuen File Version für x86 und 64 enthalten sind, wollte ich es eventuell auch mal auf meinem alten Lappi probieren.

Trotzdem Danke für das Workaround für DIESES Progrämmle.

[DK2000]

Ja, da gibt es keinen Unterschied. wevtutil.exe macht das sowohl unter 32bit als auch 64bit. Das es jetzt da zwei Versionen Gibt, liegt nur an dem verwendetet bat->exe Konverter.

[Abigail]

Sicherlich ist das wohl so richtig.

Allerdings war es ja auch nur als EIN Beispiel für viele andere gedacht.

Ich will auch nicht auf meinen Festplatten jetzt herumwühlen um andere Beispiele zu finden, denn wenn ich den Defender abschalte, ist halt alles in Ordnung, lasse ich ihn an, sind dann eben einige Programme weg.

Ach ja, noch zu erwähnen, selbst wenn ich den Papierkorb für das Laufwerk einschalte, sind die vermeintlichen Schadprogramme weg. Auch diverse Undeleter oder Uneraser finden nichts mehr.
Das macht der Defender schon ganz toll....

[DK2000]

Die landen ja auch nicht im Papierkorb. Die landen in der "Quarantäne". Dort bleiben die dann auch erst einmal. Irgendwann werden die dann automatisch gelöscht. Aber so lange sie da drin sind, kann man sie auch wieder herstellen bzw. in eine 'White List' als Ausnahme eintragen. Dann werden sie nicht mehr entfernt.Das sollte man aber auch wirklich nur dann machen, wenn man sich 100% sicher ist, dass es sich nicht um Schadsoftware handelt.

So ist das jedenfalls bei Windows 8.1. Weiß jetzt nicht, ob Microsoft da grundlegend etwas geändert hat. Wirklich gelöscht wird es erst, wenn man es aus der Quarantäne löscht.

[Abigail]

Tja, bei mir hat sich da bei Wechsel von 8.1 auf 10 wirklich was geändert.
Speziell für mein Programm. Ich kann das Problem jetzt auch als gelöst melden, weil:

Natürlich landen (auch die heruntergeladenen) Programme in der Quarantäne.
Was ich aber feststellen musste ist, das dieser Ordner bei mir nicht mehr vorhanden war!
Dieser Ordner fiel wohl einem Update, Stromausfall etc zum Opfer und Windows hat sich nicht beschwert. Daher hatte ich eben das Phänomen, dass die Programme im Nirvana landeten. Habe diesen Ordner ganz einfach per Hand neu erstellt und nun klappt es auch mit dem Defender. Ist zwar immer noch etwas holperig (Abschalten vor Disc Brennen), aber zumindest sind die Programme nicht unwiederholbar zerstört.

Danke für die Assistenz,

Abigail

[Kirill]

Warum sagst du dem Defender nicht, er soll die betroffenen Funde einfach ignorieren? So musst du ihn nicht vorm Brennen abschalten.

[Abigail]

Hi Kirill,

genau was ich suche. Diese Option, den Defender zu veranlassen MICH ZU FRAGEN.
Wenn Du da eine Einstellmöglichkeit hast, nur heraus damit. Manchmal ist man ja betriebsblind

[Kirill]

Die gibt es nicht. Aber warum willst du nicht einfach nachdem der Fund getätigt wurde, den Defender anweisen, den Fund für die Zukunft zu ignorieren?

[Abigail]

Ich habe Folgendes versucht.
1. Ignoriere dieses File funktioniert wunderbar, solange es stets am selben Platz bleibt.
Kopiere ich es auf einen USB Stick z.B., ist es für den Defender was Neues und dieses Quarantäne Geschiebe beginnt wieder.
2. Ich habe dem Defender gesagt: Alle .EXE Files sind vertrauenswürdig.
Er hat sich wohl gedacht: Kann ich nicht glauben und ignoriert diese Whitelist Anweisung ganz einfach.

Das gibt es nicht ist so nicht ganz richtig. Bis inclusive Windows 8.1 hat der Defender mir stets gesagt: Oops, was gefunden - In der Meldung Details anschauen - und dann konnte man als Aktion Quarantäne/Lösche/Ignoriere immer/Ignoriere nur diesmal auswählen.

Seit Win 10 erhalte ich stets nur als Neue Benachrichtigung Gefunden und entfernt